ドメイン移行で最も面倒くさく、トラブルが起きやすいのが
クライアントのドメイン移行です。
ざっくりというと以下の3つ
・ドメインの参加
・DNSのIPアドレス設定の変更
・ユーザプロファイルの移行
最悪、上を全てのクライアントPCに対して設定しなくてはいけないのです。
続きを読む
2007年05月29日
2007年05月25日
ADMTを使ってSIDを引き継ぐ / NTドメインーActiveDirectory移行
NTドメインからActiveDirectoryへ移行する際に、
必ずやっておくべきことがあります。
SIDの移行です。
ドメイン、ActiveDirectoryではユーザ、コンピュータ、プリンタなど
全てのものをSIDによって管理されています。
いわば、これが本当のIDです。
あれ?IDってユーザアカウントのことじゃないの?
と思われる方がいるかもしれませんが、これはユーザに分かりやすい名前に過ぎません。内部ではこんなところでID管理はされていません。
続きを読む
必ずやっておくべきことがあります。
SIDの移行です。
ドメイン、ActiveDirectoryではユーザ、コンピュータ、プリンタなど
全てのものをSIDによって管理されています。
いわば、これが本当のIDです。
あれ?IDってユーザアカウントのことじゃないの?
と思われる方がいるかもしれませんが、これはユーザに分かりやすい名前に過ぎません。内部ではこんなところでID管理はされていません。
続きを読む
2007年05月21日
ドメインコントローラの配置その2/NTドメインーActiveDirectory移行
ドメインコントローラ(DC)の配置にあたっての基本的な方針
最低限押さえるべき点は以下です。
本社などの一番アクセス回線の太い拠点に、複数台のDCを設置する事。
次に検討する事は、パワーユーザが集まってる拠点、ユーザ数が多い拠点にDCの設置する事。
続きを読む
最低限押さえるべき点は以下です。
本社などの一番アクセス回線の太い拠点に、複数台のDCを設置する事。
次に検討する事は、パワーユーザが集まってる拠点、ユーザ数が多い拠点にDCの設置する事。
続きを読む
2007年05月20日
ドメインコントローラの配置/NTドメインーActiveDirectory移行
ActiveDirectoryにはサイトという概念が有ります。
ActiveDrectory内には膨大な量のデータが存在するため、複数の拠点にドメインコントローラ(DC)を配置すると、拠点を結ぶネットワークに大きなトラフィックを発生させる恐れが有ります。
そのトラフィックをコントロールするためのものです。
続きを読む
ActiveDrectory内には膨大な量のデータが存在するため、複数の拠点にドメインコントローラ(DC)を配置すると、拠点を結ぶネットワークに大きなトラフィックを発生させる恐れが有ります。
そのトラフィックをコントロールするためのものです。
続きを読む
2007年05月18日
ワンフォレスト、ワンドメイン/NTドメイン-ActiveDirectory移行
NTドメインからActiveDirectoryの移行は、何かと手間のかかる仕事です。手間がかかる故に必ずやっておきたい事や、工夫すべき部分があります。
1.ワンドメイン、ワンフォレストを目指す
せっかく手間をかけるのだから、どうせなら理想的な設計を目指しましょう。ActiveDirectoryでいう理想的な設計とはずばり(という程でもないですが)、ワンドメイン、ワンフォレストです。
ドメインを分ける理由のはいろいろ有るようです。
詳しくは@ITのActiveDirectoryの導入準備(全編)をご覧ください。
しかし、重要な点としては、以下を中心に考えると良いのではないでしょうか?
・パスワードポリシーの範囲
・現在のNTドメイン環境
続きを読む
1.ワンドメイン、ワンフォレストを目指す
せっかく手間をかけるのだから、どうせなら理想的な設計を目指しましょう。ActiveDirectoryでいう理想的な設計とはずばり(という程でもないですが)、ワンドメイン、ワンフォレストです。
ドメインを分ける理由のはいろいろ有るようです。
詳しくは@ITのActiveDirectoryの導入準備(全編)をご覧ください。
しかし、重要な点としては、以下を中心に考えると良いのではないでしょうか?
・パスワードポリシーの範囲
・現在のNTドメイン環境
続きを読む
2007年05月17日
ネットワークの必須知識
システム管理者というものは、なかなか大変な仕事です。
コンピュータだけ知っていれば良い、というものではありません。コンピュータを取り巻く、その他の環境についても知っておく必要があります。
ネットワーク、プリンタ、携帯電話、その他様々なデバイス。これらは、システム管理をやっていれば、必ず仕事にあがってきますし、ユーザからの質問、要望にも含まれます。
今回はネットワークについてです。
これはどこまで知っておくべきか?
システムの担当にもよりますが、TCP/IPくらいまでの下位階層までは知っておくべきと思います。
続きを読む
コンピュータだけ知っていれば良い、というものではありません。コンピュータを取り巻く、その他の環境についても知っておく必要があります。
ネットワーク、プリンタ、携帯電話、その他様々なデバイス。これらは、システム管理をやっていれば、必ず仕事にあがってきますし、ユーザからの質問、要望にも含まれます。
今回はネットワークについてです。
これはどこまで知っておくべきか?
システムの担当にもよりますが、TCP/IPくらいまでの下位階層までは知っておくべきと思います。
続きを読む
2007年05月16日
グループポリシはまとめるべきか、細かく分けるべきか
3回連続ActiveDirectoryネタです。
グループポリシーを、初めて設計する段階でまず困ったのが、全てのポリシーを一つにまとめるべきか、ポリシーごとに分けていくべきか、という事でした。
後々に影響するのでかなり考えましたが、私がとった方法は現在の状況を見ると、まあまあ成功だったのではないかと思います。
結論から言うと、私の環境では折衷案で運用しています。
続きを読む
グループポリシーを、初めて設計する段階でまず困ったのが、全てのポリシーを一つにまとめるべきか、ポリシーごとに分けていくべきか、という事でした。
後々に影響するのでかなり考えましたが、私がとった方法は現在の状況を見ると、まあまあ成功だったのではないかと思います。
結論から言うと、私の環境では折衷案で運用しています。
続きを読む
2007年05月15日
クライアントPCのローカルAdministratorsには、ドメインのグループを追加しておくと便利
ActiveDirectoryのメリットは「集中」と「分散」管理があります。
相反する二つの管理手法ですが、ActiveDirectoryでは割とうまく実現できています。
AD上ではOUという単位で全てを管理すると効率的です。
全てとは例えばユーザ、グループ、コンピュータです。
誰かにある範囲のものを管理して欲しければ、
1.OUを作って、
2.その中に管理して欲しいものを放り込み、
3.OUに対して委任すれば完了です。
ただし、委任された人ができる事というのは、
そのOUの中のオブジェクトの追加、更新、削除です。
例えば、クライアントPCにソフトをインストールする権限などは持てません。
これが可能なのはDomain Adminsのメンバーだけで、
このメンバーはドメイン全ての者に対して、管理者権限を有します。
普通、管理を委任するという事は、その範囲のもの対して
フルコントロール権限を持つ事ですが、ADではそこまで大きな権限を委任できません。
しかし、あるOUにあるコンピュータに対して、ある担当者に管理者権限を与えたい、といった要件はよくある事です。
予めコンピュータのAdministratorsグループに、ドメインのグループを追加しておいて、そのドメイングループのメンバーに担当者を加えるのがその際の解決策です。
ただ、こういった案件は突発的に起きたりするもの。
また、異動者のPCまで管理を再設定する必要があるので、
その手間を省きたいと思います。
続きを読む
相反する二つの管理手法ですが、ActiveDirectoryでは割とうまく実現できています。
AD上ではOUという単位で全てを管理すると効率的です。
全てとは例えばユーザ、グループ、コンピュータです。
誰かにある範囲のものを管理して欲しければ、
1.OUを作って、
2.その中に管理して欲しいものを放り込み、
3.OUに対して委任すれば完了です。
ただし、委任された人ができる事というのは、
そのOUの中のオブジェクトの追加、更新、削除です。
例えば、クライアントPCにソフトをインストールする権限などは持てません。
これが可能なのはDomain Adminsのメンバーだけで、
このメンバーはドメイン全ての者に対して、管理者権限を有します。
普通、管理を委任するという事は、その範囲のもの対して
フルコントロール権限を持つ事ですが、ADではそこまで大きな権限を委任できません。
しかし、あるOUにあるコンピュータに対して、ある担当者に管理者権限を与えたい、といった要件はよくある事です。
予めコンピュータのAdministratorsグループに、ドメインのグループを追加しておいて、そのドメイングループのメンバーに担当者を加えるのがその際の解決策です。
ただ、こういった案件は突発的に起きたりするもの。
また、異動者のPCまで管理を再設定する必要があるので、
その手間を省きたいと思います。
続きを読む
2007年05月13日
ActiveDirectory構築のメリット
もうあえて言うほどの事ではないですが、複数のWindows端末を管理しなくてはならない企業にとって、ActiveDirectoryは必須の代物です。
多くの端末(50台以上)が存在する環境ではモチロン必要ですが、少数だとしても私は必要だと思います。
端末が少数しかない場合というのは、だいたいシステムの管理を行うスタッフも少数、いやむしろ専任の人材は存在しないことが多く、そんなケースこそ管理の手間を軽減する仕組みが必要です。
(ただし、ITリテラシの高い人材が豊富な職場(ITベンチャ等)、もしくは10台以下の本当に少数の場合は、ADが必須とは言えない場合もあります。)
ではActiveDirectoryを構築する上でのメリットを、私自身確認したいと思います。
続きを読む
多くの端末(50台以上)が存在する環境ではモチロン必要ですが、少数だとしても私は必要だと思います。
端末が少数しかない場合というのは、だいたいシステムの管理を行うスタッフも少数、いやむしろ専任の人材は存在しないことが多く、そんなケースこそ管理の手間を軽減する仕組みが必要です。
(ただし、ITリテラシの高い人材が豊富な職場(ITベンチャ等)、もしくは10台以下の本当に少数の場合は、ADが必須とは言えない場合もあります。)
ではActiveDirectoryを構築する上でのメリットを、私自身確認したいと思います。
続きを読む
