Windows Server 2012 R2 最新 Active Directory の機能 & 移行ガイド第 1.4 版日本マイクロソフト株式会社 Published: 2014 年 1 月 5 日 Updated: 2015 年 6 月 5 日概要このガイドについてこのガイドは企業や組

(1)

Windows Server 2012 R2

概要

このガイドについて

このガイドは、企業や組織の IT 環境で現在稼働中の Windows Server 2003、Windows Server 2003 R2、Windows Server 2008 ベースの Active Directory ドメインコントローラーを、Windows Server 2012 R2 ベースの最新オペレーティングシステム (OS) 環境に移行するための、製品の機能やテクノロジ、運用管理に関する情報を提供します。特に、製品サポートライフサイクルの終了期限が迫っている Windows Server 2003 および Windows Server 2003 R2 環境からの移行の必要性と移行のメリットについて解説します。

対象ユーザー

この評価ガイドは、企業やサービスプロバイダーにおいて IT インフラストラクチャの設計、導入、運用を担当する管理者、担当者、および IT プロフェッショナルを対象としています。

著作権情報

このドキュメントは、 "現状のまま" 提供されます。このドキュメントに記載されている情報 (URL などのインターネット Web サイトに関する情報を含む) は、将来予告なしに変更することがあります。このドキュメントは、Microsoft 製品の知的財産権に関する権利をお客様に許諾するものではありません。お客様は、内部的な参照目的に限り、ドキュメントを複製して使用することができます。

Microsoft、Active Directory、Hyper-V、MS-DOS、Windows、Windows NT、Windows Server、および Windows Vista は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

(4)

- 3 -

概要 ... 1 はじめに ... 4 最新 Active Directory の機能とメリット ... 5 セキュリティとデスクトップのコントロールの強化 ... 5 ドメインの運用管理の強化 ... 8 ドメインコントローラーの仮想化対応 ... 13 Active Directory ベースのボリュームライセンス認証 ... 14 BYOD 対応の強化 ... 15 クラウドとの連携 ... 17 Active Directory ドメインのアップグレード ... 19 移行の準備 ... 20 Windows Server 2012 R2 ドメインコントローラーの追加... 21 操作マスターの転送 ... 23 Windows Server 2003 ドメインコントローラーの降格 ... 26 フォレストおよびドメインの機能レベルの昇格 ... 26 ドメインの再編とオブジェクトの移行について ... 27 Active Directory ドメインの運用管理 ... 28 サーバーマネージャーによるサービスと構成の監視 ... 28 Active Directory の管理ツール ... 29 グループポリシーの管理 ... 32 Operations Manager による監視 ... 34 ディレクトリのバックアップと回復 ... 34 まとめ ... 36 評価リソース ... 37

(5)

- 4 -

はじめに

マイクロソフトは 2013 年 11 月 1 日に、Windows Server と System Center 管理製品の最新バージョンである Windows Server 2012 R2 および System Center 2012 R2 の発売を開始しました。この最新のサーバー OS とシステム管理製品は、多くの企業がいま本当に必要としている IT 環境を実現する、および現在抱えている IT の課題を解決する、さまざまな新機能やテクノロジを提供します。

新しいサーバー OS の登場の一方で、少なからぬ企業において、Windows Server 2003 および Windows Server 2003 R2 の製品サポートの終了という、対処しなければならない課題のタイムリミットが迫ってきました。マイクロソフトは企業向け製品に対して、最短 5 年のメインストリームサポートと最短 5 年の延長サポートの合計最短 10 年の製品サポートを提供しています。Windows Server 2003 および Windows Server 2003 R2 のすべての製品サポートは、2015 年 7 月 15 日 (日本時間) に終了します。製品サポートが終了すると、以後、重大なセキュリティ問題が発見されたとしても、その詳細な情報が公開されることも、セキュリティ更新プログラムが提供されることもなくなり、セキュリティリスクは日に日に増大していきます。まだタイムリミットまでには 1 年以上ありますが、現在、サポート終了対象のサーバーを運用している場合は、すぐにでも移行プロジェクトを開始してください。Windows Server 2003 のレガシなテクノロジと Windows Server 2012 R2 の最新テクノロジのギャップは大きく、移行プロジェクトは単純な作業というわけにはいかないでしょう。しかし、Windows Server 2012 R2 は、Windows Server 2003 からの移行に標準で対応する最後のサーバー OS になる予定です。この機会を逃すと、移行はさらに困難になります。

このガイドでは、Windows Server 2003、Windows Server 2003 R2、または Windows Server 2008 のドメインコントローラーで運用中の Active Directory フォレスト/ドメインを、Windows Server 2012 R2 の最新の Active Directory 環境に移行する手順、および移行後の運用管理について説明します。その前に、Windows Server 2012 R2 の Active Directory ドメインサービスの新機能を紹介します。Active Directory は企業における ID とセキュリティの重要な基盤サービスです。最新の Active Directory 環境に移行することで得られるメリットを是非とも知ってください。Windows Server 2012 R2 への移行は、単に製品サポートを得るだけではない、さまざまな付加価値を提供します。

(6)

- 5 -

セキュリティとデスクトップのコントロールの強化

Active Directory は、ID とアクセス制御の基盤を提供します。加えて、企業内のクライアント PC のセキュリティとデスクトップ環境を IT 部門がコントロールする基盤を提供します。Windows Server 2012 R2 の Active Directory は、レガシな Windows から最新の Windows を実行するクライアント PC までを完全にコントロールできます。

グループポリシーの基本設定

グループポリシーの基本設定は、Windows Server 2008 の Active Directory で初めて提供されたグループポリシーの拡張機能です。グループポリシーの基本設定を使用すると、Windows の環境変数の設定、ファイルやフォルダーの作成、レジストリの設定、共有のドライブマッピング、ショートカットの登録、コントロールパネルの各種設定をグループポリシーで行って、クライアントに展開できます。通常のグループポリシーは、グループポリシーの対象外になるとポリシー設定が削除されますが、グループポリシー基本設定は各種設定を永続的に変更します。例えば、スタートメニューに業務アプリケーションのショートカットメニューを作成したり、管理用のローカルユーザーをすべてのクライアントに作成したり、サービスのスタートアップを変更したりといった目的で利用できます。画面: グループポリシーの基本設定を利用して、Windows のシステム設定を行う

細かい設定が可能なパスワードポリシー

Windows Server 2003 以前の Active Directory ドメインでは、パスワードポリシー (パスワードの長さや複雑さの要件など) はドメインに 1 つだけというのが仕様でした。そのため、異なるパスワードポリシーを利用したいという理由で、ドメインを分割するということもあったようです。パスワードポリシーがドメインに 1 つという仕様は現在も同じですが、Windows Server 2008 の Active Directory からは

(8)

- 7 -

「細かい設定が可能なパスワードポリシー (File-Grained Password Policy) 」を利用して、ユーザーやグループに個別のパスワードポリシーを適用できるようになりました。

細かい設定が可能なパスワードポリシーを設定するには、パスワード設定オブジェクト (Password Setting Object: PSO) という特別なディレクトリオブジェクトを作成し、PSO をユーザーやグループにリンクするという複雑な設定が必要でした。Windows Server 2012 以降の Active Directory では、この複雑な設定を［Active Directory 管理センター］の GUI インターフェイスから簡単に行えるように改善されています。

画面: 細かい設定が可能なパスワードポリシーの GUI による構成

ダイナミックアクセス制御

「ダイナミックアクセス制御」は、Windows 8 および Windows Server 2012 以降に導入された、承認とアクセス制御の上級の機能です。これまでは、例えばファイルサーバーの共有に対してアクセス制御を行う場合、Active Directory のユーザーやグループに対してアクセス許可 (アクセス制御エントリ: ACE) を設定したアクセス制御リスト (ACL) をファイルやフォルダーごとに設定する必要がありました。ダイナミックアクセス制御を利用すると、「集約型アクセス規則」というアクセス許可設定を中央で一元的に作成し、「集約型アクセスポリシー」としてグループポリシーを通じてファイルサーバーに配布できます。ファイルサーバー管理者は、集約型アクセスポリシーを共有に割り当てるだけで、適切なアクセス許可設定を簡単に実装できます。集約型アクセス規則では、従来のアクセス制御エントリ (ACE) に加えて、ユーザーやグループの属性、リソースプロパティに基づいた動的なアクセス許可を構成できます。Windows 8 および Windows Server 2012 以降の Kerberos 認証の拡張により可能になったもので、例えば、ユーザーの所属や役職、アクセス元のコンピューターの種類や場所、ファイルやフォルダーの分類 (ファイルサーバーリソースマネージャーの機能) に基づいて、アクセスの許可または拒否または監査を動的に評価できます。

(9)

- 8 - 画面: ダイナミックアクセス制御の集約型アクセス規則

Protected Users グループ

Windows Server 2012 R2 の Active Directory ドメインには、Protected Users というビルトインの新しいグローバルセキュリティグループが存在します。このグループは、Windows 8.1 を実行する PC やデバイスからの認証セキュリティをさらに強化するために利用できます。

Protected Users のメンバーは、AES 暗号化による Kerberos 認証が必須とされ、強度の弱い暗号化の Kerberos 認証、NTLM 認証、ダイジェスト認証、CredSSP 認証、ユーザーアカウントの Kerberos 委任は使用できなくなります。また、既定の Kerberos チケット保証チケット (TGT) の有効期限が 4 時間になり、4 時間ごとの再認証を要求されます。さらに、Windows 8.1 クライアントのローカルにパスワードがキャッシュされなくなります。

ドメインの運用管理の強化

Active Directory ドメインの運用管理面での主な強化点を説明します。

Actvie Directory 管理センター

Active Directory のフォレスト/ドメインは、［Active Directory ユーザーとコンピューター］、［Active Directory ドメインと信頼関係］、［Active Directory サイトとサービス］の各スナップインを使い分けて構成および管理します。Windows Server 2008 R2 以降は、Windows PowerShell 用の ActiveDirectory モジュールが標準提供され、Windows PowerShell でほとんどの構成と管理ができるようになりました。場合によっては、Windows PowerShell でなければ構成できないものもあります。

Windows Server 2008 R2 以降では、Windows PowerShell に基づいて開発された［Active Directory 管理センター］も利用できます。［Active Directory 管理センター］は、Windows Server 2012 で大幅に改善、強化され、日常的な管理タスクのほとんどを 1 つの管理コンソールで実行できるようになりました。［Active Directory ユーザーとコンピューター］スナップインでユーザーを新規作成する場合、ユーザー名とパスワードを設定してユーザーを作成してから、ユーザーオブジェクトのプロパティを開いて、フリガ

(10)

- 9 -

ナやグループメンバーシップ、移動ユーザープロファイル、組織の情報などの詳細な設定を行いました。同じ管理タスクを［Active Directory 管理センター］から行う場合、［ユーザーの作成］フォームでそのすべてを一度に設定できます。

前述したように、［Active Directory 管理センター］は Windows PowerShell 上で動作するツールです。［Active Directory 管理センター］で行った操作は、Windows PowerShell のコマンドラインとして実行され、その履歴は［Active Directory 管理センター］の下部にある［Windows PowerShell 履歴］エリアで確認することができます。実行されたコマンドラインはクリップボードにコピーできるので、Windows PowerShell が得意でないという管理者であっても、ID 管理の繰り返しタスクをスクリプト化して、バッチ実行することができます。

画面: ［Active Directory 管理センター］を使用したユーザーの新規作成

Active Directory ごみ箱

Windows Server 2012 以降の［Active Directory 管理センター］には、従来、Windows PowerShell でしか構成できなかった 2 つの機能が GUI として統合されています。その 1 つは、前述した細かい設定が可能なパスワードポリシーの作成とユーザーやグループへの適用です。もう 1 つは、「Active Directory ごみ箱」の機能です。Active Directory ごみ箱を利用すると、Active Directory のバックアップから特定のオブジェクトを回復するという複雑な手順を踏まなくても、削除済みオブジェクトを復元することができます。

Active Directory ごみ箱は Windows Server 2008 R2 の Active Directory で初めてサポートされましたが、有効化するには Windows PowerShell のコマンドラインを実行する必要がありました。また、機能名とは異なり、視覚的なごみ箱は提供されなかったため、Windows PowerShell で削除済みのオブジェクトを検索して、復元するという操作が必要でした。Windows Server 2012 以降の［Active Directory 管理センター］では、Active Directory ごみ箱をクリック操作で有効化することができます。また、視覚的なごみ箱として［Deleted Objects］コンテナーが提供され、簡単な操作で目的のオブジェクトを復元できます。

(11)

- 10 -

画面: Windows Server 2012 以降の［Active Directory 管理センター］では視覚的なごみ箱を利用できる

オフラインドメイン参加

コンピューターを Active Directory ドメインに参加させるには、通常、システムのプロパティから GUI で参加設定を行うか、NETDOM コマンドや Windows PowerShell の Add-Computer コマンドレットを使用します。Windows 7 および Windows Server 2008 R2 以降のコンピューターは、これらの方法に加えて「オフラインドメイン参加」という方法を利用できます。オフラインドメイン参加を利用すると、企業内のネットワークに接続されていないコンピューターや、オフラインのイメージ (仮想マシンの仮想ハードディスクなど) に対して、Active Directory のドメイン参加設定を行い、次に企業内ネットワークに接続した際に参加設定を完了させることができます。オフラインドメイン参加を行うには、ドメイン環境で DJOIN /PROVISION ... コマンドを実行してプロビジョニングデータを作成し、オフラインコンピューターで DJOIN /REQUESTODJ ... コマンドを実行してオフラインドメイン参加要求を構成します。

Windows 8 および Windows Server 2012 以降は、オフラインドメイン参加のプロビジョニングデータにグループポリシーオブジェクトやルート証明書を含めることができるようになりました。 DirectAccess クライアントはグループポリシーで構成されるため、オフラインドメイン参加を利用すると、コンピューターを一度も企業内ネットワークに持ち込むことなく、社外のコンピューターをドメインメンバーとして構成し、DirectAccess で社内ネットワークにリモートアクセスできるように構成することができます。

グループの管理されたサービスアカウント

「グループの管理されたサービスアカウント (Group Managed Service Account: gMSA)」は、サービスの実行アカウントとして利用可能な、パスワード管理の不要な特殊なアカウントです。グループの管理されたサービスアカウントは、ドメインコントローラーでパスワードが定期的に自動でリセットされ、複数のドメインメンバーでサービスアカウントとして利用できます。グループの管理されたサービスアカウントはパスワードの管理が不要であり、Windows のサインイン認証には使用できないため、通常のドメイン

(12)

- 11 -

アカウントをサービスアカウントとして利用するよりも適しています。

グループの管理されたサービスアカウントは、New-ADServiceAccount コマンドレットを使用して Windows Server 2012 以降のドメインコントローラーで作成でき、1 台以上の Windows 8 および Windows Server 2012 以降のドメインメンバーに使用を許可できます。なお、Windows Server 2008 R2 および Windows 7 で導入された「管理されたサービスアカウント (Managed Service Account: MSA)」についても引き続きサポートされます。

画面: グループの管理されたサービスアカウントは、パスワードの入力が不要

BitLocker ドライブ暗号化の回復キーの一元管理

BitLocker ドライブ暗号化は、Windows Vista Enterprise および Ultimate エディションで初めて提供された、ドライブ全体を暗号化して保護する企業向けのセキュリティ機能です。BitLocker の暗号化キーは、コンピューターに搭載される TPM (Trusted Platform Module) セキュリティチップに安全に格納され、さらに追加の認証として PIN の入力や USB キーを組み合わせることができるます。これにより、紛失や盗難にあった PC が不正に利用されたり、ハードディスクを取り出して不正にアクセスされたりとった、リスクからシステムやデータを保護できます。Windows 8 以降は Enterprise エディションだけでなく、 Pro エディションおよび RT デバイスでも BitLocker ドライブ暗号化がサポートされました。 BitLocker ドライブ暗号化を利用する場合は、通常の方法でドライブのロックを解除できなくなってしまった場合に備えて、暗号化を有効にする際にロックを解除するための 48 桁の回復キーが生成されます。この回復キーがあれば、誰でもロックを解除できてしまうため、安全な場所に厳重に保管しなければなりません。通常、回復キーはファイルに保存するか、印刷するか、Windows 8 以降の場合は Microsoft アカウント (クラウド) に保存するかを選択します。Active Directory のドメインメンバーであれば、グループポリシーを使用して、回復キーを Active Directory に自動的に保存するように構成することができ、ユーザー自身による回復キーの管理を不要にできます。TPM 所有者パスワードのハッシュについても、同様に Active Directory に保存するように構成できます。ドメインの管理者は、ユーザーからの問い合わせに対して、Active Directory から回復キーを検索してユーザーに提供できます。また、TPM 所有者パスワードのハッシュから TPM 所有者パスワードファイルを作成して、ユーザーに提供することもできます。企業や組織によっては、ドメインの管理者が回復キーを参照できることが望ましくない場合もあるでしょう。その場合は、Microsoft Desktop Optimization Pack for Software Assurance (MDOP) に含まれる

(13)

- 12 -

「Microsoft BitLocker Administration and Monitoring (MBAM)」を利用する方法があります。MBAM では、透過的なデータ暗号化 (TDE) が有効な SQL Server データベースに回復情報を安全に格納し、特定のユーザーやグループだけに回復情報へのアクセスを制限できます。

Microsoft BitLocker Administration and Monitoring

http://technet.microsoft.com/ja-jp/windows/hh826072

画面: Active Directory から回復キー (回復パスワード) を検索する

認証ポリシーサイロ

「認証ポリシーサイロ (Authentication Policy Silos)」は、フォレストレベルで管理される Kerberos 認証の新しいポリシーです。認証ポリシーサイロを使用すると、ユーザーアカウント、コンピューターアカウント、管理されたサービスアカウントのそれぞれに対して、Kerberos チケット保障チケット (TGT) の有効期限を制限したり、ユーザーやデバイスの属性に基づいたアクセス制御条件を定義した認証ポリシーを適用することができます。認証ポリシーサイロは、Windows 8.1 および Windows Server 2012 R2 でサポートされます。

(14)

- 13 -

ドメインコントローラーの仮想化対応

Active Directory のドメインコントローラーを仮想マシンとして実行することは以前から可能でしたが、ドメインコントローラーを仮想化する上ではさまざまな制約がありました。Windows Server 2012 以降の Hyper-V および Active Directory ドメインサービスは、ドメインコントローラーの仮想化対応が強化されており、これまでの制約が解消されます。

USN ロールバックを自動回避するセーフガード機能

ドメインコントローラーを仮想マシンで実行する場合、これまでは仮想マシンのスナップショット (チェックポイント) 機能を使用してはいけない、仮想マシンをバックアップから単純に回復してはいけないなど、運用上の注意が必要でした。なぜなら、仮想マシンを過去の状態にロールバックする操作は、USN (更新シーケンス番号)ロールバックを発生させ、レプリケーションエラーや残留オブジェクトの発生、ディレクトリの不整合といった重大な問題を生じさせるからです。

Windows Server 2012 以降の Hyper-V 仮想マシンで Windows Server 2012 以降のドメインコントローラーを実行する場合、スナップショット (チェックポイント) の適用やバックアップからの仮想マシンの回復は制限されません。

Windows Server 2012 以降の Hyper-V は、仮想マシンに対して「世代 ID (Generation ID)」という識別子を設定します。世代 ID は、スナップショット (チェックポイント) の適用や仮想マシンのインポート、バックアップからの仮想マシンの回復などのタイミングで新しい ID に更新されます。Windows Server 2012 以降の仮想化されたドメインコントローラーは、世代 ID の不一致を検出して、仮想マシンの状態がロールバックしたことを判断し、他のドメインコントローラーから最新のディレクトリのレプリケーションを受信して USN ロールバックを回避します。

画面: Windows Server 2012 以降の Hyper-V で稼働する仮想化されたドメインコントローラーは、世代 ID の変更を検出すると、他のドメインコントローラーからのレプリケーションによって USN ロールバックを自動回避する

ドメインコントローラーのクローン展開

Windows Server 2012 以降の仮想化されたドメインコントローラーは、仮想マシンの複製によるクローン展開に対応しています。この機能もまた、Windows Server 2012 以降の Hyper-V が提供する世代 ID を利用した新機能です。

(15)

- 14 - 通常、Windows はディスクイメージを複製しただけでは、固有のシステムとして機能しません。同じディスクイメージを使用して複数のコンピューターを展開するには、システム準備ツール (Sysprep) を実行してイメージを一般化するという手続きが必要になります。仮想化されたドメインコントローラーのクローン展開は、システム準備ツール (Sysprep) による一般化を必要としません。ドメインコントローラーとして運用中の仮想マシンの複製 (仮想マシンをエクスポートしてインポート) から、IP アドレスやコンピューター名などのパラメーターを記述した構成ファイル (DCCloneConfig.xml) を使用して、次々に新しいドメインコントローラーを展開できます。画面: 仮想マシンの複製にクローン構成ファイルを読み込ませて起動することで、新しいドメインコントローラーを展開できる

Active Directory ベースのボリュームライセンス認証

Windows Vista および Windows Server 2008 以降の Windows および Office 2010 以降のボリュームライセンス製品では、ライセンス認証方式として「ボリュームアクティベーション 2.0 (VA 2.0) 」が採用されています。ボリュームアクティベーション 2.0 では、通常、キー管理サービス (KMS) サーバーによる自動ライセンス認証とマルチプルアクティベーションキー (MAK) による個別のライセンス認証のいずれかの方式を利用しますが、Windows Server 2012 以降の Active Directory ドメインでは、もう 1 つ Active Directory によるライセンス認証の方式が提供されます。

Active Directory によるライセンス認証は、Windows Server 2012 以降の「ボリュームライセンス認証サービス」が提供する機能です。Active Directory によるライセンス認証では、Windows 8 以降、Windows Server 2012 以降、および Office 2013 のボリュームライセンス認証を、コンピューターが Active Directory のドメインに認証された時点で完了します。KMS は導入するために最小台数要件 (クライアントは 25 台以上、サーバーは 5 台以上) がありますが、Active Directory によるライセンス認証には台数要件がありません。Active Directory によるボリュームライセンス認証に対応したボリュームライセンス製品だけを使用している場合は、この方式が導入しやすく、ボリュームライセンスの管理も簡素化されます。

(16)

- 15 -

画面: Active Directory によるライセンス認証は 1 台のクライアントやサーバーから利用できる

BYOD 対応の強化

Windows Server の機能の多くは、Windows を実行するドメインメンバーに対して、完全な機能を提供できます。例えば、DirectAccess は、クライアントが社内外のとこにあっても、シームレスで安全な社内リソースへのアクセスを可能にします。Windows 以外の PC やデバイス、ドメインメンバーではない個人の PC やデバイスに対しても社内リソースへのアクセスを提供することはできましたが、その場合、コントロール機能が制限されたり、必要な範囲を超えて社内リソースへのアクセスを提供せざるを得なかったりすることが課題でした。

Windows Server 2012 R2 は、BYOD (Bring Your Own Device: 個人所有デバイスの業務利用) のニーズに対応したいくつかのソリューションを提供します。ここでは、Active Directory に関連する機能について説明します。

ワークプレース参加

Windows 8.1 のすべてのエディション、Windows RT 8.1 デバイス、および iOS を実行するデバイス (iPad や iPhone) は、「ワークプレース参加 (Workplace Join)」というドメイン参加 (Domain Join) とは別の方法で Active Directory に登録することができます。登録済みデバイスに対しては、デバイス認証に基づいて Web アプリケーションに対するシングルサインオンを提供できます。

ワークプレース参加のために Active Directory フェデレーションサービス (AD FS) に「デバイス登録サービス (Device Registration Service)」が追加されました。デバイス登録サービスは、ワークプレース参加要求に対して、Active Directory のディレクトリにデバイスオブジェクトを登録し、デバイスを識別する証明書をデバイスに提供します。Active Directory フェデレーションサービスは、Active Directory と連携して登録済みデバイスを認証し、アプリケーションへのアクセスを提供します。

(17)

- 16 -

画面: Windows 8.1 および Windows RT 8.1 には、ワークプレース参加のための設定が用意されている

Web アプリケーションプロキシ

Active Directory フェデレーションサービスはこれまで、クレーム (要求) 対応アプリケーションに対する AD FS 認証を提供するものでした。Windows Server 2012 R2 では、新たにクレーム非対応アプリケーションの AD FS 認証もサポートします。これは、Windows Server 2012 R2 に追加された「Web アプリケーションプロキシ」と組み合わせることで実現されます。 Web アプリケーションプロキシは、HTTPS のリバースプロキシとして機能し、社内の Web アプリケーションをインターネット上のクライアントに公開するために利用できます。Web アプリケーションプロキシは、AD FS 事前認証をサポートしており、クレーム対応およびクレーム非対応アプリケーションに AD FS 認証に基づいたアクセス許可を提供できます。Web アプリケーションプロキシは AD FS プロキシとしても機能するため、ワークプレース参加設定をインターネット経由で可能にすることもできます。画面: Web アプリケーションプロキシによる社内アプリケーションの公開

多要素認証

Windows Server 2012 R2 の Active Directory フェデレーションサービスは、多要素認証の実装が容易になりました。標準で証明書認証 (スマートカード認証) に対応しており、追加の認証として簡単に有効化

(18)

- 17 - できます。多要素認証は、ワークプレース参加と併用することが可能です。Active Directory フェデレーションサービスは、デバイスが登録済みであるかないか、アクセス元の場所がイントラネットかエクストラネットであるかどうかを評価することができるので、例えば、エクストラネットからの未登録デバイスに対しては、ワークプレース参加やアプリケーションへのサインインのために ID 認証に加えて、スマートカード認証を要求するといった対応が可能です。画面: スマートカード認証による多要素認証は標準対応

クラウドとの連携

Windows Server 2012 R2 は“クラウド OS (the Cloud OS)”の中核として開発されたサーバー OS です。クラウド OS とは、内部設置型 (オンプレミス)、マイクロソフトのパブリッククラウドである Microsoft Azure、およびサービスプロバイダーのクラウドに、1 つのプラットフォームを提供するものです。例えば、Hyper-V の仮想マシンは、Microsoft Azure 仮想マシンとしてクラウド上に展開できます。Visual Studio で開発した Web アプリケーションは、内部設置型の IIS Web サイトと Microsoft Azure クラウドサービスのどちらにでも展開できます。ID 認証についても、Active Directory が 1 つのプラットフォームを提供します。

Active Directory フェデレーションサービス

クラウドのサービスやアプリケーションの利用が促進される中、Windows Server 2012 R2 の Active Directory フェデレーションサービスはこれまで以上に重要な役割を担うようになります。 Active Directory フェデレーションサービスは、クレーム対応アプリケーションに対して信頼に基づいた認証を提供するものですが、この機能は企業の境界を超えて、クラウドにまで拡張できます。例えば、内部設置型の Active Directory で管理される ID を使用して、クラウドのサービス (Office 365 など) やアプリケーションをシングルサインオンで利用することができます。

(19)

- 18 - 画面: Active Directory フェデレーションサービス

Microsoft Azure Active Directory

Microsoft Azure Active Directory は、Microsoft Azure が提供する ID およびアクセス制御の基盤サービスです。Microsoft Azure Active Directory は、Microsoft Azure のクラウドサービスに展開したアプリケーションやその他のクラウドサービスに対して ID 管理と認証機能を提供します。例えば、Office 365 や Microsoft Intune といったマイクロソフトの SaaS は、ID 管理に Microsoft Azure Active Directory を使用しています。

Microsoft Azure Active Directory は、内部設置型の Active Directory と Active Directory フェデレーションサービスを介して統合することができ、両者のディレクトリ同期や、内部設置型の ID を使用したクラウドおよび内部アプリケーションのシングルサインオン、多要素認証を実装できます。

(20)

- 19 -

Active Directory ドメインのアップグレード

ここからは、運用中の Windows Server 2003 ベースの Active Directory を最新の Active Directory にアップグレードする手順について説明します。

Windows Server 2012 R2 の Active Directory は、Windows Server 2003 以降の Active Directory からのアップグレードをサポートしています。Windows Server 2012 R2 のインプレースアップグレード (アップグレードインストール) は、Windows Server 2008 R2 SP1 以降のサーバーでのみ実行可能です。Windows Server 2008 R2 SP1 以降のドメインコントローラーであれば、インプレースアップグレードで Windows Server 2012 R2 にアップグレードすることで、最新の Active Directory フォレスト /ドメインにスムーズにアップグレードできます。

アップグレードパスに含まれない Windows Server 2003 のドメインコントローラーは、直接、 Windows Server 2012 R2 にインプレースアップグレードすることはできません。Windows Server 2003 の Active Directory を Windows Server 2012 R2 の Active Directory に移行するには、次のように段階的に行うことで可能です。

1. Windows Server 2003 の既存の Active Directory ドメインに 1 台以上の Windows Server 2012 R2 のドメインコントローラーを追加する。

2. Windows Server 2012 R2 のドメインコントローラーに、Windows Server 2003 のドメインコントローラーからすべての FSMO の操作マスターの役割を転送する。

3. Windows Server 2003 のすべてのドメインコントローラーをメンバーサーバーに降格する。 4. すべてのドメインコントローラーが Windows Server 2012 R2 だけになった時点で、ドメインおよ

びフォレストの機能レベルを［Windows Server 2012 R2］に昇格する。

図: Windows Server 2003 Active Directory から Windows Server 2012 R2 Active Directory への段階的なアップグレード

(21)

- 20 -

移行の準備

Windows Server 2012 R2 の Active Directory ドメインサービスは、［Windows Server 2003］以上のフォレストおよびドメインの機能レベルをサポートしているため、Windows Server 2003 の Active Directory フォレスト/ドメインからの段階的なアップグレードが可能です。アップグレード後にフォレストおよびドメインの機能レベルを［Windows Server 2012 R2］に昇格することで、最新の Active Directory のすべての機能を利用できるようになります。

フォレストおよびドメインの機能レベルは、フォレストおよびドメインでサポートされる Active Directory の機能と、ドメインコントローラーの最小バージョン要件を規定するものです。Windows Server 2003 の Active Directory フォレスト/ドメインを Windows Server 2012 R2 の Active Directory フォレスト/ドメインにアップグレードするには、アップグレードする現在のフォレストおよびドメインの機能レベルが［Windows Server 2003］以上である必要があります。

現在のフォレストおよびドメインの機能レベルは、［Active Directory ドメインと信頼関係］スナップイン (domain.msc) を使用して確認、および変更することができます。フォレストの機能レベルは、［Active Directory ドメインと信頼関係］スナップインの最上位のコンテナー (Active Directory ドメインと信頼関係) を右クリックして［フォレストの機能レベルを上げる］を選択すると確認および変更できます。ドメインの機能レベルは、［Active Directory ドメインと信頼関係］スナップインでドメインのコンテナーを右クリックして［ドメインの機能レベルを上げる］を選択すると、確認および変更できます。

現在のフォレストの機能レベルが［Windows 2000］で、ドメインの機能レベルが［Windows 2000 ネイティブ］または［Windows 2000 混在］になっている場合は、それぞれ［Windows Server 2003］に変更して機能レベルを昇格ください。機能レベルの昇格は、ドメイン、フォレストの順番で行います。

(22)

- 21 -

画面: フォレストの機能レベルを［Windows Server 2003］に昇格する

なお、フォレストおよびドメインの機能レベルを［Windows Server 2003］に昇格する場合は、Windows 2000 Server のドメインコントローラーが存在しないことを確認してから実行してください。Windows 2000 Server のドメインコントローラーが存在する場合は、Windows 2000 Server のドメインコントローラーに配置されている操作マスターを Windows Serer 2003 以降のドメインコントローラーに転送し、Windows 2000 Server のドメインコントローラーをメンバーサーバーに降格する必要があります。 Windows 2000 Server のドメインコントローラーからの操作マスターの転送とドメインコントローラーの降格の手順については、このあと説明する Windows Server 2003 の手順と共通です。

［Windows Server 2003］機能レベルのサポート

Windows Server 2012 R2 の Active Directory ドメインサービスは、フォレストおよびドメインの最小の機能レベルとして［Windows Server 2003］をサポートしていますが、新規に作成するドメインにおいて［Windows Server 2003］の機能レベルを選択することはできません。［Windows Server 2003］の機能レベルは、既存のフォレスト/ドメインに追加するドメインコントローラーでサポートされます。なお、［Windows Server 2003］の機能レベルのサポートは、将来の Windows Server バージョンから削除される可能性があります。

Windows Server 2012 R2 ドメインコントローラーの追加

既存のドメインに Windows Server 2012 R2 のサーバーをメンバーサーバーとして追加し、既存のドメインの追加のドメインコントローラーとしてセットアップします。 1. Windows Server 2012 R2 を新規インストールし、静的な IP アドレスを設定して、既存のドメインのメンバーサーバーとして構成します。 2. ［サーバーマネージャー］から［役割と機能の追加ウィザード］を開始し、［Active Directory ドメインサービス］の役割をインストールします。

(23)

- 22 -

画面: Windows Server 2012 R2 に［Active Directory ドメインサービス］をインストールする 3. 役割のインストールが完了すると、ウィザードの最後のページに［このサーバーをドメインコントロ

ーラーに昇格する］リンクが表示されるので、このリンクをクリックして［Active Directory ドメインサービス構成ウィザード］を開始します。なお、Windows Server 2008 R2 以前は Dcpromo.exe コマンドを実行して［Active Directory のインストールウィザード］を使用してドメインコントローラーをインストールしましたが、Windows Server 2012 以降は Dcpromo.exe コマンドを使用しなくなりました。画面: ［このサーバーをドメインコントローラーに昇格する］リンクをクリックする 4. ［Active Directory ドメインサービス構成ウィザード］が開始したら、［配置構成］ページで［既存のドメインにドメインコントローラーを追加する］を選択し、追加先のドメインとドメイン管理者の資格情報を指定します。画面: 既存のドメインの追加のドメインコントローラーとして構成する

(24)

- 23 - 5. ［ドメインコントローラーオプション］ページでは、既定で選択されれるオプションを受け入れ、ディレクトリサービス復元モードのパスワードを設定します。なお、このページには［Windows Server 2008 以降を実行しているドメインコントローラーが、このドメインで見つかりませんでした...］という警告メッセージが表示されますが、問題ありません。画面: ディレクトリサービス復元モードのパスワードを設定する 6. ウィザードのその他の項目は既定のまま進んで構いません。以前のバージョンの Active Directory ドメインに Windows Server 2012 R2 のドメインコントローラーを追加するには、フォレストおよびドメインで Active Directory スキーマの拡張を行う必要があり、［準備オプション］ページに次のように表示されます。このメッセージは Active Directory スキーマの拡張が行われることを通知するものであり、Active Directory スキーマの拡張はこの後のドメインコントローラーのインストール中にウィザードが自動的に実行します。そのため、追加の手順が必要になることはありません。画面: フォレストとドメインの準備は、ウィザードが自動実行する 7. ［インストール］ボタンをクリックして、ドメインコントローラーのインストールを開始します。インストール中にコンピューターが自動的に再起動され、再起動が完了するとドメインコントローラーになります。

操作マスターの転送

Windows Server 2012 R2 のドメインコントローラーを追加したら、旧バージョンのドメインコントローラーからこのドメインコントローラーに対して、すべての FSMO (Flexible Single Master Operation) の操作マスターの役割を転送します。操作マスターには次の 5 つの種類が存在し、ドメインまたはフォレストに 1 つずつ存在します。

(25)

- 24 -  PDC エミュレーター (ドメインに 1 台)  インフラストラクチャマスター (ドメインに 1 台)  ドメイン名前付けマスター (フォレストに 1 台)  スキーママスター (フォレストに 1 台) これらの操作マスターを新しいドメインコントローラーに転送するには、次の手順で操作します。 1. 操作マスターの転送先である Windows Server 2012 R2 のドメインコントローラーに、ドメイン管理者としてサインインします。 2. RID プールマスター、PDC エミュレーター、インフラストラクチャマスターの 3 つについては、［Active Directory ユーザーとコンピューター］スナップイン (dsa.msc) を使用して役割を転送します。ドメインを右クリックして［操作マスター］を選択し、［操作マスター］ダイアログボックスを開いたら、［RID］［PDC］［インフラストラクチャ］の各タブで現在の操作マスターのドメインコントローラーと転送先のドメインコントローラーを確認し、［変更］ボタンをクリックして役割を転送します。画面: ［RID］［PDC］［インフラストラクチャ］の各タブを使用して、新しいドメインコントローラーに操作マスターの役割を転送する 3. ドメイン名前付けマスターについては、［Active Directory ドメインと信頼関係］スナップイン (Domain.msc) を使用して役割を転送します。最上位のコンテナーを右クリックして［操作マスター］を選択し、［操作マスター］ダイアログボックスで現在の操作マスターのドメインコントローラーと転送先のドメインコントローラーを確認し、［変更］ボタンをクリックして役割を転送します。

(26)

- 25 - 画面: ドメイン名前付けマスターの役割を新しいドメインコントローラーに転送する 4. 最後のスキーママスターについては、［Active Directory スキーマ］スナップインを使用します。ただし、このスナップインは、既定ではドメインコントローラーにインストールされません。コマンドプ ロンプトで regsvr32 schmmgmt.dll を実行し、システムにスナップインを登録して、空の Microsoft 管理コンソール (mmc.exe) にスナップインを追加する必要があります。

［Active Directory スキーマ］スナップインを開いたら、［Active Directory スキーマ］を右クリックして［Active Directory ドメインコントローラーの変更］を選択して、転送先のドメインコントローラーにスナップインの接続を切り替えます。続いて、［操作マスター］を選択し、［スキーママスターの変更］ダイアログボックスで現在の操作マスターのドメインコントローラーと転送先のドメインコントローラーを確認し、［変更］ボタンをクリックして役割を転送します。

(27)

- 26 -

Windows Server 2003 ドメインコントローラーの降格

Windows Server 2012 R2 のドメインコントローラーにすべての操作マスターの役割を転送したら、 Windows Server 2003 のドメインコントローラーをメンバーサーバーに降格します。それには、 Dcpromo.exe コマンドを実行して［Active Directory のインストールウィザード］を実行して、ドメインコントローラーから Active Directory を削除します。ウィザードの［Active Directory の削除］ページでは、［このサーバーはドメイン最後のドメインコントローラーです］オプションはチェックしないようにしてください。

旧ドメインコントローラーをメンバーサーバーに降格したらサーバーをドメインから削除して、撤去します。メンバーサーバーとして引き続き利用することもできますが、古い Windows バージョンのまま運用を続けるのはお勧めしません。

画面: Dcpromo.exe コマンドを実行して、Windows Server 2003 のドメインコントローラーをメンバーサーバーに降格する

フォレストおよびドメインの機能レベルの昇格

フォレストおよびドメインのすべてのドメインコントローラーが Windows Server 2012 R2 だけになったら、ドメインおよびフォレストの機能レベルをそれぞれ［Windows Server 2012 R2］に昇格します。［Active Directory ドメインと信頼関係］スナップイン (domain.msc) を開き、ドメインのコンテナーを右クリックして［ドメインの機能レベルの昇格］を選択し、［ドメインの機能レベルの昇格］ダイアログボックスでドメインの機能レベルを［Windows Server 2012 R2］に引き上げます。また、最上位のコンテナー (Active Directory ドメインと信頼関係) を右クリックして［フォレストの機能レベルの昇格］を選択し、［フォレストの機能レベルの昇格］ダイアログボックスでフォレストの機能レベルを［Windows Server 2012 R2］に引き上げます。

(28)

- 27 -

画面: ドメインの機能レベルを［Windows Server 2012 R2］に昇格する

画面: フォレストの機能レベルを［Windows Server 2012 R2］に昇格する

ドメインの再編とオブジェクトの移行について

Active Directory を最新バージョンにアップグレードするのに合わせて、ドメインの統合や再構築を行いたい場合は、Active Directory 移行ツール (ADMT) を使用できます。ADMT は、Windows Server 2003 以降のバージョンの Active Directory の移行と再構築をサポートします。このツールを使用すると、異なるフォレストに属するドメイン間、同じフォレストの異なるドメイン間で、ユーザー、グループ、サービスアカウント、コンピューターアカウントのオブジェクトを簡単な操作で移行できます。また、ユーザープロファイルやセキュリティ、パスワードの移行や変換も可能です。

ADMT の最新バージョンである ADMT 3.2 は、もともと Windows Server 2008 R2 向けに提供されたものでしたが、Windows Server 2012 以降に対応した修正版 (ADMT v3.2 QFE および関連コンポーネント PES v3.2) が 2014 年 6 月にリリースされました。修正版のインストールパッケージは次に示す Microsoft Connect サイトからダウンロードできます。なお、ダウンロードサイトにアクセスするには、 Microsoft Connect へのサインアップが必要です。

(29)

- 28 - ADMT V3.2 QFE および PES v3.2 のダウンロード http://go.microsoft.com/fwlink/?LinkId=401534

画面: Active Directory 移行ツール (ADMT)

Active Directory ドメインの運用管理

Windows Server 2012 R2 の Active Directory ドメインの構成と管理に使用する、主なツールについて説明します。また、Windows Server 2003 の Active Directory ドメインの管理との違いについても説明します。

サーバーマネージャーによるサービスと構成の監視

Windows Server 2012 R2 の［サーバーマネージャー］は、複数サーバーの統合管理に対応しており、 Windows Server 2012 R2 および Windows Server 2012 のサーバーの基本的な構成と管理をリモートから行えるように設計されています。［サーバーマネージャー］は Windows Server 2012 R2 の GUI 使用サーバーに含まれますが、Windows 8.1 用のリモートサーバー管理ツールをインストールすることで、 Windows 8.1 Pro または Windows 8.1 Enterprise のコンピューターでも利用可能です。

Windows 8.1 用のリモートサーバー管理ツール http://www.microsoft.com/ja-jp/download/details.aspx?id=39296 ［サーバーマネージャー］に Active Directory ドメイン内のすべてのドメインコントローラーを管理対象として追加すると、［サーバーマネージャー > AD DS］の管理インターフェイスを使用して、各ドメインコントローラーで発生したイベント、サービスの稼働状況、パフォーマンス (CPU およびメモリ)、インストール済みの役割サービスを確認できます。［サーバーマネージャー］にはさまざまなサーバーの役割に対応したベストプラクティスアナライザー (BPA) が付属しており、ドメインコントローラーに対してスキャンを実行することで、Active Directory の構成上の問題や推奨設定を確認することができます。［サーバーマネージャー］のサーバーの一覧から特定のドメインコントローラーを選択して右クリックすると、コンテキストメニューからドメインコントローラーの再起動 (ローカルサーバーの場合はシャッ

(30)

- 29 - トダウン) したり、後述する Active Directory の管理ツールを開始して、選択したドメインコントローラーに接続して管理できます。画面: ベストプラクティスアナライザーを使用して、構成上の問題点や推奨設定を確認する画面: ［サーバーマネージャー］から Active Directory の管理ツールを開始する

Active Directory の管理ツール

Active Directory には、さまざまな管理ツールと管理インターフェイスが用意されています。

MMC スナップイン

Active Directory の管理のために提供される MMC スナップインとしては、次の 5 つがあります。いずれも、以前のバージョンの Active Directory から存在する、お馴染みのスナップインでしょう。

 Active Directory ユーザーとコンピューター(Dsa.msc) ･･･このスナップインは、ユーザー、コン ピューター、グループ、共有プリンターなどのディレクトリオブジェクトの管理と、組織単位 (OU) による階層化、パスワードのリセットなどを行うためのツールです。ドメインの FSMO の操作マスタ

(31)

- 30 -

ーの役割 (RID プールマスター、PDC エミュレーター、インフラストラクチャマスター) の変更やドメインの機能レベルの昇格、BitLocker ドライブ暗号化の回復キーの検索にも使用します。

 Active Directory ドメインと信頼関係 (Domain.msc) ･･･このスナップインは、フォレストレベ ルの管理を行うためのツールであり、フォレスト内のドメインや外部ドメインとの信頼関係を管理します。また、フォレストの操作マスターであるドメイン名前付けマスターの役割の変更やフォレストの機能レベルの昇格、各ドメインの機能レベルの昇格、および UPN (ユーザープリンシパル名) サフィックスの管理を行います。

 Active Directory サイトとサービス (Dssite.msc) ･･･このスナップインは、Active Directory の サイトの作成とドメイン内およびサイト間のレプリケーショントポロジを管理するためのツールです。既定で Default-First-Site-Name サイトが作成されますが、物理ネットワークの IP サブネットに合わせてサイトを分割し、レプリケーションを最適化するのが一般的です。

 Active Direcroty スキーマ･･･このスナップインは、Active Directory スキーマの表示とセキュリ ティを管理するためのツールです。このスナップインは既定ではインストールされません。スナップインを利用するには、regsvr32.exe schmmgmt.dll を実行して、空の MMC スナップイン (mmc.exe) に手動で追加する必要があります。

 ADSI エディター (Adsiedit.msc) ･･･このスナップインは、LDAP 編集ツールです。フォレストお よびドメインのすべてのオブジェクトの参照と、属性値の編集が可能です。

Windows Server 2008 以降の Active Directory では、組織単位 (OU) やディレクトリオブジェクトに［誤って削除されないようにオブジェクトを保護する］というオプションが追加されました。Windows Server 2003 の Active Directory には無かった設定なので、ここで説明しておきます。

新規に作成する組織単位 (OU) では、このオプションが既定で有効になります。このオプションが有効になっている場合、組織単位 (OU) やオブジェクトを削除しようとしてもブロックされます。組織単位 (OU) はディレクトリ階層を定義する重要な要素であり、グループポリシーの適用対象にもなるため、誤って削除されると影響が大きく、既定で保護されます。オブジェクトの保護を解除するには、［Active Directory ユーザーとコンピューター］の［表示］メニューから［拡張機能］を選択してから組織単位 (OU) やオブジェクトのプロパティを開き、［オブジェクト］タブで［誤って削除されないようにオブジェクトを保護する］のチェックボックスをオフにします。

(32)

- 31 - 画面: 組織単位 (OU) ではオブジェクトの保護が既定で有効

コマンドラインツール

Active Directory には、Active Directory のさまざまな管理タスクの実行やトラブルシューティングに利用できる、多数のコマンドラインツールが用意されています。具体的には、Dcdiag.exe、Dsacls.exe、 Dsdbutil.exe、Dsmgmt.exe、Ldp.exe、Netdom.exe、Nltest.exe、Ntdsutil.exe、Repadmin.exe、 Gpfixup.exe、Dcgpofix.exe といったツールがあります。

Windows PowerShell 用の Active Directory モジュール

Windows PowerShell 用の ActiveDirectory モジュールは、150 近くの豊富なコマンドレットを提供します。コマンドレットの一覧は、次のコマンドラインを実行して取得できます。

Get-command -module ActiveDirectory

Active Directory 管理センター

［Active Directory 管理センター］(Dsac.exe) は、Windows PowerShell 用の ActiveDirectory モジュールが初めて標準搭載された Windows Server 2008 R2 から提供されている、比較的新しい管理ツールです。前述したように、この管理ツールの特徴は Windows PowerShell のテクノロジに基づいており、従来の MMC スナップインベースの管理ツールを横断して管理を行える点にあります。Active Directory の基本的な管理タスクは、この管理ツールだけで行えます。［Windows PowerShell 履歴］を使用できるので、 Windows PowerShell による管理を学んだり、繰り返しタスクをスクリプト化したりするのに利用できます。また、Active Directory ごみ箱、細かい設定が可能なパスワードポリシー、ダイナミックアクセス制御、認証ポリシーサイロの設定は、この管理ツールを使用して行います。

(33)

- 32 - 画面: Active Directory 管理センター

グループポリシーの管理

Active Directory のドメインを導入するとグループポリシーによるポリシー管理が可能になりますが、そのための管理ツールとして［グループポリシーの管理］スナップイン (Gpmc.msc) が提供されます。このスナップインは、Windows Server 2008 で初めて標準搭載されました。Windows Server 2003 に対してもオプションでダウンロード提供されていたので、ご存知の方は多いはずです。このスナップインが提供される以前は、［Active Directory ユーザーとコンピューター］で Domain Controllers コンテナーや OU (組織単位) のプロパティを開き、［グループポリシー］タブからグループポリシーオブジェクトのリンクや編集を行う必要がありました。

管理用テンプレートの追加

Windows Server 2012 R2 のグループポリシーは、グループポリシーをサポートする Windows XP および Windows Server 2003 以前の Windows の管理が可能です。Windows Server 2003 の Active Directory ドメインからアップグレードした場合は、以前のグループポリシーの設定がそのまま引き継がれます。ただし、Windows Server 2008 および Windows Vista 以降の Windows では、レジストリベースのグループポリシー設定 (管理用テンプレート) を提供するテンプレートに ADMX という新しい形式が採用されていることには注意が必要です。

新しい管理用テンプレートは言語に依存しない ADMX (.admx) ファイルと言語固有の ADMX (.adml) ファイルで構成され、既定で ADMX (.admx) ファイルは %Systemroot%\PolicyDefinitions に、 ADMX (.adml) ファイルは %Systemroot%\PolicyDefinitions\ja-JP や en-US に格納されています。［グループポリシーの管理］スナップインから起動する［グループポリシー管理エディター］スナップイン (Gpme.msc) は、これらの ADMX ファイルを参照して［コンピューターの構成\ポリシー\管理用テンプレート］および［ユーザーの構成\ポリシー\管理用テンプレート］を表示します。

ADMX 形式の管理用テンプレートは、［管理用テンプレート］を右クリックして［テンプレートの追加と削除］を選択しても追加することはできません。%Systemroot%\PolicyDefinitions の下に ADMX ファ

(34)

- 33 -

イルを保存して追加する必要があります。例えば、以下の URL から Office 2013 の管理用テンプレートを取得できますが、展開したファイルに含まれる ADMX ファイルは %Systemroot%\PolicyDefinitions の下に配置してください。

Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool http://www.microsoft.com/en-us/download/details.aspx?id=35554 この方法で追加した管理用テンプレートを利用できるのは、%Systemroot%\PolicyDefinitions の下に ADMX ファイルをコピーしたコンピューターに限られます。すべてのドメインコントローラーで常に同じ管理用テンプレートを利用するには、管理用テンプレートのセントラルストアを構成してください。

セントラルストアの構成

セントラルストアを構成するには、任意のドメインコントローラーの %Windir%\Sysvol\domain\ Policies\PolicyDefinitions にローカルの PolicyDefinitions の内容をコピーします。この場所は SYSVOL 共有に含まれるため、すべてのドメインコントローラーにレプリケーションされます。［グループポリシー管理エディター］スナップインは、SYSVOL 共有にセントラルストアを検見つけると、セントラルストアから管理用テンプレートを取得します。なお、旧形式の管理用テンプレートである ADM (.adm) ファイルの使用も引き続きサポートされます。旧形式の管理用テンプレートを追加するには、［管理テンプレート］を右クリックして［テンプレートの追加と削除］をクリックして追加します。追加した旧形式のテンプレートは、［管理用テンプレート\従来の管理用テンプレート (ADM)］の下に表示され、編集可能になります。なお、追加した旧形式の管理用テンプレートは、グループポリシーオブジェクトのリソースとして SYSVOL 共有に保存されるため、セントラルストアの存在に関係なく、すべてのドメインコントローラーで編集可能になります。画面: 管理用テンプレートのセントラルストアを構成する

グループポリシーの基本設定の旧 Windows のサポート

Windows Server 2008 以降の Active Directory ドメインサービスでは、グループポリシーの基本設定というグループポリシーの拡張機能が導入されました。Windows Vista SP1 以降の Windows はグルー

Windows Server 2012 R2 最新 Active Directory の機能 & 移行ガイド 第 1.4 版日本マイクロソフト株式会社 Published: 2014 年 1 月 5 日 Updated: 2015 年 6 月 5 日 概要 このガイドについて このガイドは 企業や組