多くの端末(50台以上)が存在する環境ではモチロン必要ですが、少数だとしても私は必要だと思います。
端末が少数しかない場合というのは、だいたいシステムの管理を行うスタッフも少数、いやむしろ専任の人材は存在しないことが多く、そんなケースこそ管理の手間を軽減する仕組みが必要です。
(ただし、ITリテラシの高い人材が豊富な職場(ITベンチャ等)、もしくは10台以下の本当に少数の場合は、ADが必須とは言えない場合もあります。)
ではActiveDirectoryを構築する上でのメリットを、私自身確認したいと思います。
1.権限が体系的に管理できる
本当に当たり前の基本機能ですが、これが体系的に管理できるかどうかでは、TCOに大きく差が出ます。当然ファイルサーバ上のファイルの権限のことも含めていますが、それ以上のメリットがあります。
例えば「私のデスクトップにあるファイルが開かない」なんて言った問い合わせがあって、リモートで調べたい場合、ワークグループ(WG)だと、相手のPCの管理者権限のIDを知っている必要があります。例えパスワードが統一されていても、時間が経つにつれて様々な例外、変更が発生するのが常です。
どうしても分からない場合もあるかも知れません。
相手のPCの前まで行けば済む事です。
でも、何時でもそうすることにしますか?
ファイル名の末尾に拡張子を付けてやるだけに、何分もかけるのはナンセンスです。
管理する端末の数%から一斉にそんなヘルプコールがある事もあります
そうすると重要なサーバの管理や、他のヘルプができません。
大事なあなたの手が埋まってしまうのは、企業全体に影響が出るではないでしょうか。
AD環境下ならばドメイン管理者は、リモートPCの管理共有下の以下のアドレスを辿るだけで、確実に問題のファイルを取得できます。
\\computer_name\c$\documents and settings\user_profile_name\デスクトップ
またレジストリにもアクセス可能です。
regedit → ファイル → ネットワークレジストリへの接続 → コンピュータ名指定
ファイル、レジストリのアクセス権限の設定も可能です。
つまらない事に思えるかもしれませんが、こういった小さい事こそよく起きます。ユーザのPCに対して特別な操作無く、フルコントロール権限を持てるという事は、大変大きな効果をもたらします。
つまらない事こそ、時間を取られないように対策するのです。
2.PCの基本設定を統一できる
PCは道具なので、ユーザの手に馴染む様に、多少のカスタマイズの余地は残しておくべきです。Office系ソフトは完全にユーザの仕事道具ですから、その余地幅は広げるべきです。
一方、管理上統一してカスタマイズを禁止するべき部分もあります。
例
ドメインの参加設定
リモートデスクトップの強制有効 → リモートからのメンテには必須です
Windowsファイアーウォールの設定 → 特殊な通信は管理端末からのみアクセス可能に
起動禁止ソフトの指定 → Winnyなんかの起動を不可に
こうしておく事で、事前に決めた前提条件に対して例外が発生する事を防げます。
これはセキュリティのUPやストレスの無いサポート環境を実現します。
3.好きなタイミングで好きなPCに好きなスクリプトを実行できる
AD導入して私一番嬉しいのが実はこれです。
手軽にやるならグループポリシーのスクリプトの項目で、
起動、終了、ログオン、ログオフ
それぞれのタイミングで、任意のスクリプトを実行できます。
また、ユーザPCのタスクを利用すれば、任意の時間にスクリプトを実行することもできます。
おまけに起動、終了、タスクで走らせるスクリプトは、ユーザ権限に依存せず、ドメイン全体にアクセス可能です。
グループポリシーの項目に載っていないことも、WMIを使ってスクリプトを書けば何でもできます。Windows管理をとことん効率化するのならば、WSH、WMI、ADSIは絶対に必要です。
WSH ・・・
Windowsの基本的なスクリプト環境
これが持っている基本的なオブジェクトで事足りる事も多いが、それだけでは実現不可な事もたくさん。
WMI ・・・
Windowsのほぼ全ての操作をスクリプトで実行可能。
WSHを使ってWMIを呼び出す。最初のうちは理解が難しい。
ADSI ・・・
Windowsクライアントの管理より、AD自体のメンテナンスに使用することが多い。ADオブジェクトの取得、作成、更新、削除が可能。
これもWSHから呼び出す。難度は中くらい?
ADSIとWMIを連携させて、ActiveDirectoryから情報を取得してPCに対して設定する、という離れ業が可能になる。
上記のスクリプトの作り方を知っていれば、AD環境下の端末をそれこそ王のように自由自在に操れます。
4.ユーザ管理を集中できる
これも超基本機能ですね。ADのユーザを使用するのだから、ADを見れば全体が見えます。
また、統一した命名規則を展開できます。
これは非常に重要です。
WGだと各々好きなユーザが作れて、ユーザIDが、姓だけだったり、漢字だったりします。ペットの名前かも知れません。会社名を設定して同じユーザ名だったりするとログとしてユーザ名が残っても意味が無いです。
また、一応ADはLDAPとしての機能を持っているので、認証の機能を多くをここで集約できるはずです。
Aというシステムにユーザを登録して、Bというシステムにユーザを登録して、という作業が極力減らせます。
5.環境が変わっても(そんなに)大変じゃない
上に上げた1,2,3を駆使すれば、例えIPアドレスを全端末変更しなくてはいけなくても、DNSのアドレスが変わっても、イントラHPのアドレスが変わっても、少なくとも全端末を設定して回らなくても大丈夫です。
経験的には7〜8割を自動で変更して、例外やエラーが発生したものだけの対応ですみます。
新しいシステムの構築などを、過度に恐れることは無くなるかもしれません。
6.Windows標準ツールのユーザビリティがUP → 高いサードパーティツールがいらない
安くシステムを構築できるのは、経営層に分かりやすいアピールになります。
AD環境下だと、Windowsの標準ツール類の使い勝手が上がる事が多いです。
標準ツールの多くは、なんと追加投資が0で使用可能で、サードパーティーツールを買う必要がなくなります。結果としてコストは下がります。
Windows自動更新 ・・・
ADから更新のタイミングや方法を統一できます。
暗号化 ・・・
強制的にHDの暗号化がかけれます。解除の鍵はドメイン管理者も共有できます。
分散ファイルシステム ・・・
ファイルサーバ用簡易クラスタみたいなものですかね。
7.運用自体の難度は低い
バリバリに使いこなす事もできますが、それなり使用することもできます。運用は全然簡単です。
普通に使用してもメリットに挙げた1と4は達成できますし、十分にメリットは出ます。
また、システム管理初心者には情報量の多さと、GUI操作の豊富さは心強いです。
基本部分を触るだけなら、完全にGUIだけでいけます。
もし操作に詰まったりトラブルに遭遇した場合は、WEBに多くの情報がありますし、書籍も充実しています。そうしたことは専任のシステム管理者が不在の企業にとっては、とても重要です。
Windows環境下ではActiveDirectoryがあると無しでは大きく違います。
管理者が忙しさで殺気立っておらず、気軽に質問できるならユーザにとっても仕事がしやすいです。
すばやく新システムの展開を図れるなら、企業の力にも関わってきます。
そして何よりあなたの退社時間は大幅に変わるでしょう。
もし、大変な手間を現在かけているのなら、一度考えて見てください。
----------------------------------------------
他に何か気がついたらまた書き足していきます。
勉強に使用した図書
ひと目でわかるMicrosoft Active Directory
ActiveDirectoryて何?なんか既に会社にあるんだけど?て感じの人が手元においておくと、少し幸せになる予感。
基本的な操作を、ふんだんに用意されたスクリーンショットで、丁寧に解説してくれます。ADを知っている人も、たまにしかやらない操作をやる前に、これを見て確認したりすると不安が消えるかな。
1冊は職場にあると便利。
Windows2000 ADドメイン設計ガイド―NTからActive Directoryへの移行手順
NTからADへの環境はこれと、外部研修の教材でやりました。
移行を行う前に確認するべき事、移行中にする事などが分かります。面白い内容かといわれると、面白くはない。移行の時の基礎知識を養う目的で読みました。まあ、読んで良かったと思います。
