Windows Server 2008でも、Active Directoryに関する考え方に大きな違いはなく、管理ツールの使い方にも似た部分が多い。それでも、細かい部分にはいろいろな仕様変更がある。今回は、Active Directoryの管理ツールに関連する仕様変更について取り上げよう。

コンピュータアカウントの登録に関する仕様変更

Windows 2000 ServerベースのActive Directoryでは、コンピュータアカウントを登録する際には、コンピュータ名の指定だけを行えばよかった。

Windows Server 2003では2画面構成のウィザードになり、1画面目でコンピュータ名の指定、2画面目でGUIDの登録を行う内容に変わっている。これはRIS(リモート インストール サービス)を使用する場合に関わってくる機能だ。

RISでは、事前にGUIDを指定してコンピュータアカウントを登録したコンピュータ以外は、RISによるリモートセットアップを行えないように設定できる。こうすることで、管理者が把握しているクライアントPCにだけWindowsを展開できるようにしている。

Windows Server 2008では、Active Directoryドメインサービスの役割を追加してドメインコントローラとして稼働させるだけなら、Windows 2000 Serverと同様、コンピュータ名の指定だけで済む。それではGUIDの登録は行えないのかというと、そういうわけではない。

Windows Server 2008では、RISの後継としてWindows展開サービス(WDS:Windows Deployment Service)を用意しているが、このWindows展開サービスの役割をドメインコントローラになっているサーバに追加すると、[Active Directoryユーザーとコンピュータ]管理ツールでコンピュータアカウントを追加する際に、GUIDを指定できるようになる。

GUIDの指定

Windows Server 2003では、コンピュータアカウントを作成する際に必ず、このGUID登録画面を表示した。Windows Server 2008では、展開サービスの役割を併用しているドメインコントローラに限って、この画面を表示する。展開サービスでコンピュータを事前登録するにはGUIDの登録が必要なので、どのサーバで展開サービスを動作させるかが重要な問題になる。

RISやWDSでは、既知のクライアントにのみ応答してWindowsを展開する設定が可能になっている。この「既知のクライアント」とは、GUIDの情報を併用してコンピュータアカウントを作成してある、という意味だ。

PXE 応答設定

Active Directory管理ツールに関する仕様変更

ドメインコントローラになっているWindowsサーバには、自動的にActive Directory用の管理ツールをインストールする。具体的には、以下の3種類だ。

・Active Directoryユーザーとコンピュータ
・Active Directoryサイトとサービス
・Active Directoryドメインと信頼関係

通常、これらの管理ツールはサーバの管理業務を担当している人だけが使用するものなので、管理者権限を持っているユーザーしかログオンできないドメインコントローラにインストールしてあれば、それで用が足りる。

ところが、OUに対して管理の委任を設定すると、事情が違ってくる。管理の委任とは、特定のOUに限定して、一般ユーザーに特定の管理作業を行う権限を付与する機能だ。たとえば、ユーザーアカウントの作成やパスワードのリセットといった機能だけを現場の人間に任せることができる。人の出入りが激しいアルバイトやパートが多い部署に限定して、管理権限を委任する使い方が考えられる。

もちろん、委任を受けたユーザーが管理業務を行うには、そのための管理ツールが必要になる。ユーザーアカウント関連の管理業務であれば、先に挙げた3つの管理ツールのうち、「Active Directoryユーザーとコンピュータ」が必要だ。

Windows 2000 ServerやWindows Server 2003では、これらのActive Directory管理ツールはWindowsインストーラでセットアップする「*.MSI」形式になっていたので、それをサーバOSのインストールCDから取り出して、委任を受けたユーザーのクライアントPCにセットアップできた。ファイル名は「ADMINPAK.MSI」だ。

ところがWindows Server 2008では、Active Directory管理ツールは「*.MSI」形式になっていない。これも「機能」の1つになっており、サーバーマネージャで機能の追加を指示して、[Active Directoryドメインサービスツール]以下の[Active Directoryドメインコントローラツール]を追加する必要がある。

Windows Server 2008ベースのActive Directoryを、旧バージョンの管理ツールを使って管理することはできないので、古い管理ツール「ADMINPAK.MSI」をセットアップする方法は使えない。そのため、委任を受けたユーザーに対しては、Windows Server 2008が稼働するサーバにログオンできる体制を整える必要がある。

必ずしもそれはドメインコントローラである必要はなく、Windows Server 2008が動作していて、管理対象となるActive Directoryに一般サーバとして参加していて、所要の機能を([Active Directoryドメインサービスツール]以下の[Active Directoryドメインコントローラツール])追加してあればよい。

Windows Server 2008では、Active Directory関連の管理ツールは「*.MSI」形式になっておらず、機能の1つとして追加するようになった。そのため、管理の委任を受けたユーザーに対しては、Windows Server 2008が動作するサーバを利用可能にして、そこに管理ツールの機能を追加しておかなければならない