1000台のWindowsを管理するシステム管理者のblog

NTドメインからActiveDirectoryの移行は、何かと手間のかかる仕事です。手間がかかる故に必ずやっておきたい事や、工夫すべき部分があります。

１．ワンドメイン、ワンフォレストを目指す

せっかく手間をかけるのだから、どうせなら理想的な設計を目指しましょう。ActiveDirectoryでいう理想的な設計とはずばり（という程でもないですが）、ワンドメイン、ワンフォレストです。
ドメインを分ける理由のはいろいろ有るようです。
詳しくは＠ITのActiveDirectoryの導入準備（全編）をご覧ください。

しかし、重要な点としては、以下を中心に考えると良いのではないでしょうか？

　・パスワードポリシーの範囲
　・現在のNTドメイン環境




・パスワードポリシーの範囲
一つのドメイン内では同じパスワードポリシーを共有します。例えば６文字以上とか、英数記号を混ぜるというポリシーを決定すると、ドメイン全体でそれを適用しなければなりません。

OUを分けて、グループポリシーで個別に適用しようとしても、パスワードポリシーはドメインセキュリティポリシーか、ドメインのルートでしか反映できません。グループポリシーエディタの設定画面に出てくるので、一見設定できるかと思いがちですが・・・。
　　

・現在のNTドメイン環境
現在のNTドメインの環境によっては、移行時に無理に設計を変える事で、様々なトラブルの火種を抱える事になります。
もちろん、理想はワンフォレスト、ワンドメインなのですが、そうも言ってられない場合も有ります。

現在の環境で、システム全体が最適化されていて、これを変えるには時間が足りない、説得ができない、という事も有ると思います。

そのような場合はワンドメインを泣く泣く諦めて、マルチドメインで・・・というのも有りかと思います。ただし、その際にもワンフォレストという部分だけは守るべきです。一つの企業でマルチフォレストにする必要性はありません。

マルチフォレストを許してしまうと、権限の集中的な管理が難しくなります。Enterprise Adminsというグループは、フォレスト内の全ての管理者権限を持ちますが、フォレスト外には影響を持ちません。よってそのフォレストは別の管理を行う必要が発生し、TCOが上昇してしまいます。

複数企業間でフォレストを構築して、それを結ぶのであれば理解できる設計ですが、１企業でマルチフォレストというのは、理解に苦しむ部分も有り、特殊なケースです。

ちなみに私の環境では、NTドメインで２つ（内、私の管理分が一つ）、ActiveDirectoryで１つあった、合計３つの複数ドメイン環境をワンフォレスト、ワンドメインに移行しました。

私の会社はシステム部門がそれほど強い企業ではないのですが、上記のように、他部門との統合に成功しました。その背景には、各ドメイン管理者はドメイン管理に積極的で無かった、という理由があります。

大抵の管理者はドメインの登録、削除、更新作業が煩わしく思っているので、そこを理解しつつ、統合による集中管理がユーザのメリットになる、という提案をすれば大規模な統合も可能なのではないでしょうか。


続き

２．DCの構成配置を練ろう　　
３．SID Historyを引き継ごう
４．クライアントのドメイン移行は手数を少なく
５．移行期間は期限をつけよう