ステップバイステップ ガイド : Active Directory の管理

  • [アーティクル]

公開日: 2005年1月7日

このガイドでは、Windows Server 2003 Active Directory サービスおよび Active Directory ユーザーとコンピュータ スナップインの管理について説明します。

トピック

はじめに  はじめに

概要  概要

Active Directory ドメインと信頼関係スナップインの使用  Active Directory ドメインと信頼関係スナップインの使用

Active Directory ユーザーとコンピュータ スナップインの使用  Active Directory ユーザーとコンピュータ スナップインの使用

関連資料  関連資料

はじめに

ステップバイステップ ガイド

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、多くの共通点を持つオペレーティング システム構成における実際上の操作を説明します。これらのガイドでは、Windows Server 2003 をインストールして共通ネットワーク インフラストラクチャを構築することから説明を始めます。そして、Active Directory の構成、Windows XP Professional ワークステーションのインストールについて説明し、最後にワークステーションをドメインに追加する方法について説明します。これらのステップバイステップ ガイドの各分冊では、この共通ネットワーク インフラストラクチャが構築されていることを前提としています。このガイドで説明するネットワーク インフラストラクチャとは異なるインフラストラクチャを構築する場合は、適宜変更を加えながらガイドを読み進めてください。

共通ネットワーク インフラストラクチャの構築には、以下のガイドで説明する操作を完了する必要があります。

共通ネットワーク インフラストラクチャを構築すると、その他のステップバイステップ ガイドの操作を実行できるようになります。ただし、その他のステップバイステップ ガイドでは、共通ネットワーク インフラストラクチャ構築の要件に加えて、その他の前提条件が必要になる場合があります。詳細については、各ステップバイステップ ガイドの説明を参照してください。

Microsoft Virtual PC

Microsoft Windows Server 2003 展開のステップバイステップ ガイドで説明する内容は、現実のラボ環境で実装することができ、Microsoft Virtual PC 2004 や Microsoft Virtual Server 2005 のような仮想化テクノロジを使って実装することもできます。仮想コンピュータ テクノロジを使用すると、単一の物理サーバー上で複数のオペレーティング システムを並行して稼働させることができます。Virtual PC 2004 と Virtual Server 2005 は、ソフトウェアのテストや開発、レガシ アプリケーションの移行、サーバー統合の各シナリオにおいて、業務効率を高めるように設計されています。

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、現実のラボ環境での構成を前提としています。ただし、大部分の構成はそのまま仮想環境に適用できます。

このステップバイステップ ガイドに記載する概念を仮想環境に適用する場合の説明については、ここでは割愛します。

重要

このドキュメントで使用している会社、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、イベントなどの名称は架空のものです。実在する会社名、組織名、製品名、ドメイン名、電子メール アドレス、ロゴ、個人名、場所名、イベント名などは一切関係ありません。

この共通インフラストラクチャは、プライベート ネットワークで使用する目的で設計されています。共通インフラストラクチャで使用する架空の企業名と DNS (Domain Name System) 名は、インターネット上で使用するための登録が行われていません。パブリック ネットワークやインターネット上では、この名前を使用しないようにしてください。

この共通インフラストラクチャの Active Directory サービス構造は、Windows Server 2003 の変更と構成管理機能の概要、および Active Directory との関連を示すために設計されたものです。企業で Active Directory を構成する場合を想定して設計されているわけではないことに注意してください。

ページのトップへページのトップへ

概要

このガイドでは、Windows Server 2003 Active Directory サービスの管理について説明します。Active Directory 管理ツールを使用すると、ディレクトリ サービスの管理が容易になります。標準装備のツールである MMC (Microsoft Management Console) などを使って、管理タスクを重点的に取り扱うカスタム ツールを作成することもできます。また、1 つのコンソールに複数のツールを統合したり、特定の管理タスクを担当する管理者に対して、個別にカスタム ツールを割り当てたりすることも可能です。

Active Directory 管理ツールを使用するには、ドメインへのアクセスが可能なコンピュータであることが必要です。[管理ツール] メニューから、次のような Active Directory 管理ツールを使用できます。

  • Active Directory ユーザーとコンピュータ
  • Active Directory ドメインと信頼関係
  • Active Directory サイトとサービス

ドメイン コントローラではないコンピュータ (Windows XP Professional を実行しているコンピュータなど) から、リモートで Active Directory を管理することもできます。この場合、Windows Server 2003 の管理ツール パックをインストールする必要があります。

スキーマを管理するための Active Directory 管理ツールとして、Active Directory スキーマ スナップインがあります。このスナップインは、既定では管理ツールで有効になっていないため、手動で追加する必要があります。

上級のシステム管理者やネットワーク サポート エンジニア向けに、Active Directory の構成、管理、トラブルシューティングに使用できるコマンドライン ツールが数多く用意されています。また、Active Directory サービス インターフェイス (ADSI) を使うスクリプトを作成することもできます。オペレーティング システムのインストール メディアには、いくつかのサンプル スクリプトが収録されています。

前提条件

本ガイドでの要件

  • このガイドで説明する手順を実行するためには、管理者特権を持つユーザーとしてログオンする必要があります。

  • ドメイン コントローラ上で作業している場合は、Active Directory スキーマ スナップインがインストールされていない可能性があります。このスナップインをインストールする手順は次のとおりです。

    • コマンド プロンプトで次のコマンドを入力します。
      regsvr32 schmmgmt.dll 

    このコマンドにより、MMC の Active Directory スキーマ管理スナップインが有効になります。

  • Windows Server 2003 ベースのスタンドアロン サーバーまたは Windows XP Professional ワークステーションでは、Active Directory 管理ツールはオプションです。[コントロール パネル] の [プログラムの追加と削除] からの Windows コンポーネント ウィザードと Windows Server 2003 の CD にある ADMINPAK のいずれかを使ってインストールしてください。

ページのトップへページのトップへ

Active Directory ドメインと信頼関係スナップインの使用

Active Directory ドメインと信頼関係スナップインは、フォレスト内のすべてのドメイン ツリーをグラフィック表示します。このツールを使用することで、管理者はフォレスト内の各ドメインやドメイン間の信頼関係を管理したり、各ドメインの動作モード (ネイティブ モードまたは混在モード) やフォレストのユーザー プリンシパル名 (UPN) の代替サフィックスを設定したりすることができます。

Active Directory ドメインと信頼関係スナップインの起動

スナップインを起動するには

  1. HQ-CON-DC-01 で、[スタート] メニューの [すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[Active Directory ドメインと信頼関係] をクリックします。Active Directory ドメインと信頼関係スナップインが開きます (図 1)。

    図 1.   Active Directory ドメインと信頼関係スナップイン

    図 1. Active Directory ドメインと信頼関係スナップイン
    拡大表示する

ユーザー プリンシパル名 (UPN) は、ユーザーが Active Directory にログオンするための使いやすい名前付けスタイルを提供します。UPN のスタイルはインターネット標準の RFC 822 に基づくもので、"メール アドレス" と呼ばれることもあります。既定の UPN サフィックスはフォレストの DNS 名です。これは、フォレストの 1 番目のツリーで最初に位置するドメインの DNS 名に該当します。このガイドや本シリーズのステップバイステップ ガイドでは、"contoso.com" を既定の UPN サフィックスとして説明しています。

ログオンのセキュリティ レベルを高める代替ユーザー プリンシパル名サフィックスを追加することができます。また、すべてのユーザーに 1 つの UPN サフィックスを付与することで、ユーザー ログオン名を簡素化することもできます。UPN サフィックスは Windows Server 2003 ドメイン内でのみ使用されるものであり、有効な DNS ドメイン名である必要はありません。

追加の UPN サフィックスを作成するには

  1. 左上のペインで [Active Directory ドメインと信頼関係] を選択し、[プロパティ] をクリックします。
  2. [代わりの UPN サフィックス] ボックスに代替 UPN サフィックスを入力し、[追加] をクリックします。
  3. [OK] をクリックし、ウィンドウを閉じます。

ドメインとフォレストの機能の変更

Windows Server 2003 Active Directory で導入されたドメイン機能とフォレスト機能によって、ドメイン全体またはフォレスト全体の Active Directory の機能をネットワーク環境で有効にすることができます。ドメインとフォレストで利用できる機能レベルは、ネットワーク環境によって異なります。

ドメインまたはフォレストのすべてのドメイン コントローラが Windows Server 2003 を実行しており、機能レベルが Windows Server 2003 に設定されている場合、ドメイン全体およびフォレスト全体の機能をすべて使用できます。Windows Server 2003 を実行しているドメイン コントローラが存在するドメインまたはフォレストに、Windows NT® 4.0 または Windows 2000 のドメイン コントローラが含まれる場合、Active Directory の機能は制限されます。

Active Directory で追加機能を有効にするという概念は、混在モードとネイティブ モードを持つ Windows 2000 に当てはまります。混在モードのドメインは、Windows NT 4.0 バックアップ ドメイン コントローラを含むことができ、ユニバーサル セキュリティ グループ、グループの入れ子、およびセキュリティ ID (SID) の履歴の各機能を使用することはできません。ドメインをネイティブ モードに設定すると、ユニバーサル セキュリティ グループ、グループの入れ子、および SID の履歴の各機能を使用できます。Windows 2000 Server を実行するドメイン コントローラは、ドメイン機能とフォレスト機能を認識しません。

警告 ドメインの機能レベルを上げると、以前のオペレーティング システムを実行しているドメイン コントローラをドメインに導入することはできなくなります。たとえば、ドメインの機能レベルを Windows Server 2003 に上げると、Windows 2000 Server を実行しているドメイン コントローラをそのドメインに追加することはできません。

ドメイン機能は、ドメイン全体に関係し、そのドメインにのみ影響する機能を有効にします。4 つのドメイン機能レベル (Windows 2000 混在 (既定)、Windows 2000 ネイティブ、Windows Server 2003 中間、および Windows Server 2003) を使用できます。既定では、ドメインは Windows 2000 混在の機能レベルで動作します。

ドメインの機能レベルを上げるには

  1. ドメイン オブジェクト ("contoso.com" など) を右クリックし、[ドメインの機能レベルを上げる] をクリックします。
  2. [利用可能なドメインの機能レベルを選択してください] ボックスで、[Windows Server 2003] を選択して [上げる] をクリックします。
  3. ドメイン機能を上げることを知らせる警告メッセージが表示されたら、[OK] をクリックします。もう一度 [OK] をクリックし、操作を完了します。
  4. [Active Directory ドメインと信頼関係] ウィンドウを閉じます。

ページのトップへページのトップへ

Active Directory ユーザーとコンピュータ スナップインの使用

Active Directory ユーザーとコンピュータ スナップインを起動するには

  1. [スタート] メニューの [すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
  2. "+" をクリックし、"Contoso.com" を展開します。

図 2 に、Active Directory ユーザーとコンピュータ スナップインの主要なコンポーネントを示します。

図 2.   Active Directory ユーザーとコンピュータ スナップイン

図 2. Active Directory ユーザーとコンピュータ スナップイン
拡大表示する

Active Directory オブジェクトの認識

次の表に、Active Directory のインストール中に作成されるオブジェクトを一覧します。

アイコン フォルダ 説明

sgad8703.gif

ドメイン

このスナップインのルート ノードで、管理の対象となるドメインを表します。

sgad8704.gif

Computers

ドメインに参加するすべての Windows NT、Windows 2000、Windows XP、Windows Server 2003 ベースのコンピュータについての情報が格納されています。Windows NT 3.51 および 4.0 を搭載するコンピュータも含まれます。以前のバージョンからアップグレードすると、Active Directory によってコンピュータ アカウントがこのフォルダに移行されます。これらのオブジェクトは、別のフォルダに移動することができます。

sgad8704.GIF

システム

Active Directory システムおよびサービスの情報が収められています。

sgad8704.GIF

Users

ドメイン内のすべてのユーザーについての情報が格納されています。アップグレードした場合は、以前のバージョンのドメインに属すユーザーがすべて移行されます。コンピュータと同様、ユーザー オブジェクトも別のフォルダに移動できます。

次に、Active Directory で作成できるオブジェクトを一覧します。

アイコン オブジェクト 説明

sgad8705.gif

ユーザー

ユーザー オブジェクトは、ディレクトリのセキュリティ プリンシパルとなるオブジェクトです。ユーザーは、これらの資格情報によってネットワークにログオンすることができます。ユーザーには、アクセス許可を付与できます。

sgad8706.gif

連絡先

連絡先オブジェクトは、セキュリティ アクセス許可をまったく持たないオブジェクトです。連絡先としてネットワークにログオンすることはできません。通常、連絡先は電子メールで使用する外部ユーザーに使用します。

sgad8707.gif

コンピュータ

ネットワーク上のコンピュータを表すオブジェクトです。Windows NT ベースのワークステーションやサーバーでは、このオブジェクトはコンピュータ アカウントです。

sgad8704.gif

組織単位 (OU)

組織単位 (OU) は、ハード ディスク上のファイルを分類して保存するフォルダと同じように、ユーザー、グループ、コンピュータなどのディレクトリ オブジェクトを論理的な基準に従って分類するためのコンテナとして使用されます。

sgad8709.gif

グループ

グループには、ユーザー、コンピュータ、その他のグループを含めることができます。グループによって、多数にのぼるオブジェクトの管理を簡略化することができます。

sgad8710.gif

共有フォルダ

共有フォルダは、ディレクトリ内で公開されたネットワーク共有です。

sgad8711.gif

共有プリンタ

共有プリンタは、ディレクトリ内で公開されたネットワーク プリンタです。

組織単位の追加

ここでは、Contoso ドメインに組織単位 (OU) を作成する手順を説明します。OU を入れ子にすることができます。入れ子のレベルに制限はありません。

ここで説明する手順は、共通インフラストラクチャのステップバイステップ ガイドで構築した Active Directory 構造に対して実行することを前提にしています。この構造を作成していない場合は、"Contoso.com" のすぐ下に OU とユーザーを追加してください。つまり、この手順では [Accounts] を [Contoso.com] に置き換えてください。

組織単位 (OU) を追加するには

  1. [Accounts] の隣にある "+" をクリックして展開します。
  2. [Accounts] を右クリックします。
  3. [新規作成] をポイントし、[組織単位(OU)] をクリックします。新しい組織単位の名前として「Construction」と入力します。[OK] をクリックします。

上記の手順を繰り返して、次のような OU を追加します。

  • 組織単位 "Engineering" ([Accounts] の下)。
  • 組織単位 "Manufacturing" ([Accounts] の下)。
  • 組織単位 "Consumer" ([Manufacturing] 組織単位の下)。この操作を実行するには、[Manufacturing] を右クリックし、[新規作成] をポイントして、[組織単位(OU)] をクリックします。
  • 組織単位 "Corporate" と "Government" ([Manufacturing] 組織単位の下)。[Manufacturing] をクリックし、右側のペインに内容を表示してください。

これらの組織単位を作成すると、図 3 に示すような階層が完成します。

図 3.   新しい組織単位

図 3. 新しい組織単位
拡大表示する

ユーザー アカウントの作成

ここでは、[Construction] 組織単位にユーザー アカウント "John Smith" を作成する手順を説明します。

ユーザー アカウントを作成するには

  1. [Construction] 組織単位を右クリックし、[新規作成] をポイントして、[ユーザー] をクリックします。または、スナップイン ツール バーの [新しいユーザー] をクリックします。

  2. 次の図 4 に示すようにユーザー情報を入力します。

          図 4.   [新しいユーザー] ダイアログ ボックス

    図 4. [新しいユーザー] ダイアログ ボックス

  3. [次へ] をクリックします。

  4. [パスワード] および [パスワードの確認] に「pass#word1」と入力し、[次へ] をクリックします。

    メモ 組織のネットワーク セキュリティ機能においてパスワードが果たす役割が、低く評価されることがあります。パスワードは、組織に対して許可されていないアクセスを防ぐ最前線に位置づけられます。Windows Server 2003 ファミリは、新しく作成されるユーザー アカウントに対して複雑なパスワードを求める新機能を実装しています。

  5. 表示されるダイアログ ボックスで、[完了] をクリックして確認します。

[Construction] 組織単位に James Smith のアカウントを作成しました。

このユーザーに追加情報を設定するには

  1. 左側のペインで [Construction] を選択し、右側のペインで [James Smith] を右クリックして、[プロパティ] をクリックします。
  2. 図 5 に示すプロパティ ダイアログ ボックスの [全般] タブでユーザー情報を入力し、[OK] をクリックします。適切なタブをクリックし、他のユーザー情報を確認します。 図 5.   追加ユーザー情報
    図 5. 追加ユーザー情報

ユーザー アカウントの移動

ユーザーは、1 つのドメイン内または異なるドメイン間で、組織単位を移動できます。以下の手順では、John Smith を Construction 部門から Engineering 部門へ移動します。

ユーザーを組織単位間で移動するには

  1. 右側のペインで [John Smith] ユーザー アカウントを右クリックし、[移動] をクリックします。

  2. [移動] 画面で、[Accounts] の隣にある "+" をクリックして展開します (図 6)。

    図 6.   組織単位のリスト

    図 6. 組織単位のリスト

  3. [Engineering] 組織単位をクリックし、[OK] をクリックします。

グループの作成

グループを作成するには

  1. [Engineering] 組織単位を右クリックし、[新規作成] をクリックして、[グループ] をクリックします。

  2. [新しいオブジェクト – グループ] ダイアログ ボックスで、[グループ名] に「Tools」と入力します。

  3. Windows Server 2003 で利用可能なグループの種類と範囲については、次の表を確認してください。設定内容は既定のままにして、[OK] をクリックし、Tools グループを作成します。

    • [グループの種類] では、ネットワーク リソース (ファイルやプリンタなど) へのアクセス許可を割り当てることができるグループにするかどうかを指定します。電子メール配布リストには、セキュリティ グループと配布グループの両方を使用できます。

    • [グループのスコープ] では、グループの表示とグループに加えることができるオブジェクトの種類を指定します。

      範囲 表示 追加できるオブジェクト

      ドメイン ローカル

      ドメイン

      ユーザー、ドメイン ローカル グループ、グローバル グループ、ユニバーサル グループ

      グローバル

      フォレスト

      ユーザーまたはグローバル グループ

      ユニバーサル

      フォレスト

      ユーザーまたはグローバル グループ、ユニバーサル グループ

グループへのユーザーの追加

グループにユーザーを追加するには

  1. 左側のペインで [Engineering] 組織単位をクリックします。
  2. 右側のペインで [Tools] グループを右クリックし、[プロパティ] をクリックします。
  3. [メンバ] タブをクリックし、[追加] をクリックします。
  4. [選択するオブジェクト名を入力してください] に、「John」と入力して [OK] をクリックします。 図 7.   John Smith を Tools セキュリティ グループに追加する
    図 7. John Smith を Tools セキュリティ グループに追加する
  5. Tools のプロパティを表示する画面で、John Smith が [Tools] セキュリティ グループのメンバになっていることを確認し、[OK] をクリックします。

共有フォルダの公開

ユーザーが共有フォルダを簡単に見つけられるように、Active Directory の共有フォルダについての情報を公開できます。分散ファイル システム (DFS) などの共有ネットワーク フォルダを Active Directory に公開することができます。ディレクトリ内に共有フォルダ オブジェクトを作成しても、そのフォルダが自動的に共有となるわけではありません。フォルダを作成した後、それを Active Directory に公開することが必要です。

フォルダを共有するには

  1. エクスプローラを使用して、いずれかのディスク ボリュームに "Engineering Specs" というフォルダを新たに作成します。

  2. エクスプローラで、Engineering Specs フォルダを右クリックし、[プロパティ] をクリックします。[共有とセキュリティ] をクリックし、[このフォルダを共有する] をクリックします。

  3. Engineering Specs のプロパティを表示する画面で、[共有名] ボックスに「ES」と入力し、[OK] をクリックします。操作を完了したら、エクスプローラを閉じます。

    メモ 既定では、組み込みの Everyone グループのユーザーがこの共有フォルダにアクセスできます。[アクセス許可] ボタンをクリックし、この設定を変更できます。

ディレクトリへの共有フォルダの公開

共有フォルダをディレクトリに公開するには

  1. [Active Directory ユーザーとコンピュータ] スナップインで [Engineering] 組織単位を右クリックし、[新規作成] をポイントして、[共有フォルダ] をクリックします。
  2. [新しいオブジェクト – 共有フォルダ] ダイアログ ボックスで、[名前] に「Engineering Specs」と入力します。
  3. [ネットワーク パス] ボックスに「\\hq-con-dc-01.contoso.com\ES」と入力して [OK] をクリックします。
  4. [Engineering Specs] を右クリックし、[プロパティ] をクリックします。
  5. [キーワード] をクリックします。[新しい値] に「specifications」と入力し、[追加] をクリックして操作を続けます。[OK] を 2 回クリックして完了します。

これで、ユーザーが共有名またはキーワードで Active Directory を検索し、この共有リソースの場所を特定できるようになりました。

共有フォルダの検索

共有フォルダを検索するには

  1. [Active Directory ユーザーとコンピュータ] MMC で [Contoso] を右クリックし、[検索] をクリックします。

  2. [検索] ボックスで、[共有フォルダ] をクリックします。[キーワード] ボックスに「specifications」と入力し、[検索開始] をクリックします。

  3. [検索結果] の中から [Engineering Specs] を右クリックし、[開く] をクリックします。

    図 8.   Active Directory で共有フォルダを検索する

    図 8. Active Directory で共有フォルダを検索する
    拡大表示する

    メモ  ES 共有フォルダ下にディレクトリやファイルを作成すると、その内容は、ディレクトリ検索によってエンド ユーザーが使用できるようになります。ユーザーは、この共有リソースをネットワーク ドライブとしてマップすることもできます。

  4. [共有フォルダ を検索します] ダイアログ ボックスを閉じます。

プリンタの公開

Active Directory の共有プリンタについての情報を公開することもできます。Windows NT で共有されているプリンタの情報については、手動で公開する必要があります。Windows Server 2003 ファミリまたは Windows 2000 Server ファミリで共有されているプリンタの情報については、共有プリンタを作成した時点で自動的にディレクトリに公開されます。[Active Directory ユーザーとコンピュータ] スナップインを使って、共有プリンタ情報を手動で公開します。

印刷サブシステムでは、プリンタ属性 (場所、説明、用紙など) に加えた変更は自動的にディレクトリに伝えられます。

メモ ここでは、プリンタを、ファイルに直接書き込むように構成して公開する手順を説明します。IP、LPT、または USB ベースのプリンタを使用する場合は、適宜、手順に変更を加えながら操作を進めてください。

新しいプリンタの追加

新しいプリンタを追加するには

  1. [スタート] ボタンをクリックし、[プリンタと FAX] をクリックして、[プリンタの追加] をダブルクリックします。[プリンタの追加ウィザード] が起動します。[次へ] をクリックします。
  2. [このコンピュータに接続されているローカル プリンタ] をクリックし、[プラグ アンド プレイ対応プリンタを自動的に検出してインストールする] チェック ボックスをオフにして、[次へ] をクリックします。
  3. [次のポートを使用] ボックスで [FILE: (ファイルへ出力)] をクリックし、[次へ] をクリックします。
  4. [製造元] の結果ペインで、[Generic] をクリックします。[プリンタ] の結果ペインで、[Generic / Text Only] をクリックします。[次へ] をクリックします。
  5. [プリンタ名] ページで、プリンタの名前を「Print to File」に変更し、[次へ] をクリックします。
  6. [プリンタ共有] ページで、[共有名] を「FilePrinter」に変更し、[次へ] をクリックします。
  7. [場所とコメント] ページの [場所] に、「Headquarters – Bldg 4 – Room 2200」と入力します。[次へ] をクリックします。
  8. [次へ] をクリックし、テスト ページを印刷します。次に、[完了] をクリックし、インストールを終了します。
  9. ページのファイル名として「Test Print」と入力します。入力したら、[OK] をクリックします。

プリンタは、自動的に Active Directory に公開されます。

Active Directory 内のプリンタの検索

Active Directory 内のプリンタを検索するには

  1. [プリンタと FAX] ダイアログ ボックスで、[プリンタの追加] をダブルクリックします。

  2. [プリンタの追加ウィザード] が起動します。[次へ] をクリックします。

  3. [ネットワーク プリンタ、またはほかのコンピュータに接続されているプリンタ] をクリックし、[次へ] をクリックします。

  4. [ディレクトリ内のプリンタを検索する] (既定) をクリックし、[次へ] をクリックします。

  5. [プリンタを検索します] ダイアログ ボックスが表示されます。[検索開始] をクリックし、Active Directory で公開されているすべてのプリンタを検索します。さらに検索条件を指定して、利用できる機能や場所によって検索結果を絞り込むことができます。

    [プリンタの場所の追跡] プリンタの場所の追跡機能により、プリンタ検索を効率的に行います。プリンタの場所の追跡を有効にして [検索開始] をクリックすると、Active Directory により、ユーザーの場所にあるプリンタの中で、ユーザーのクエリ条件に一致するすべてのプリンタが一覧されます。[参照] をクリックして場所を変更すると、他の場所にあるプリンタを検索できます。プリンタの場所追跡設定の詳細については、Windows Server 2003 のヘルプとサポート センターを参照してください。

  6. [プリンタを検索します] ページの [検索結果] で、[Print to File] をダブルクリックしてプリンタをインストールします。[はい] (既定) をクリックし、このプリンタを既定のプリンタとして設定します。[次へ] をクリックします。

    図 9.   Active Directory で共有プリンタを検索する

    図 9. Active Directory で共有プリンタを検索する
    拡大表示する

  7. [完了] をクリックし、プリンタのインストールを終了します。

  8. [プリンタと FAX] ウィンドウを閉じます。

Active Directory では、複数のオペレーティング システム (Windows Server 2003、Windows 2000、Windows XP は除きます) で共有するプリンタを公開できます。公開には、[Active Directory ユーザーとコンピュータ] スナップインを使用することもできますが、pubprn.vbs スクリプトを使用するのが最も簡単です。このスクリプトは、特定のサーバー上にあるすべての共有プリンタを公開するもので、\winnt\system32 ディレクトリにあります。

プリンタの手動公開 (pubprn.vbs スクリプトを使用)

手動でプリンタを公開するには (pubprn.vbs スクリプトを使用)

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。テキスト ボックスに「cmd」と入力して、[OK] をクリックします。

  2. 「cd \windows\system32」と入力し、Enter キーを押します。

  3. 「cscript pubprn.vbs prserv1 "LDAP://ou=accounts,dc=contoso,dc=com"」と入力し、Enter キーを押します。

    メモ ここで説明する手順では、[Account] 組織単位に Prserv1 サーバー上の全プリンタを公開します。このスクリプトでは、プリンタ属性のサブセット (場所、モデル、コメント、UNCPath など) のみをコピーします。また、このスクリプトは Windows Server 2003 では機能しません。これは、ダウンレベルのプリント サーバーから Active Directory にプリンタを公開するための手動ツールとしてのみ提供されています。

  4. ウィンドウを閉じます。

プリンタの手動公開 (Active Directory ユーザーとコンピュータ スナップインを使用)

  1. [Marketing] 組織単位を右クリックし、[新規作成] をクリックして、[プリンタ] をクリックします。
  2. [新しいオブジェクト - プリンタ] ダイアログ ボックスが開きます。テキスト ボックスにプリンタのパス (例 :「\\サーバー\共有名」) を入力し、[OK] をクリックします。

ディレクトリにプリンタを公開すると、エンド ユーザーは、プリンタを参照して選択、それらのプリンタにジョブを送信、プリンタ ドライバをサーバーから直接インストール、などの操作を実行できるようになります。

コンピュータ オブジェクトの作成

コンピュータをドメインに追加すると、コンピュータ オブジェクトが自動的に作成されます。コンピュータをドメインに追加する操作をすべてのユーザーには許可しない場合、手動またはスクリプト経由でコンピュータがドメインに追加される前に、コンピュータ オブジェクトを作成しておくこともできます。

コンピュータをドメインに手動で追加するには

  1. [Engineering] 組織単位を右クリックし、[新規作成] をポイントして、[コンピュータ] をクリックします。
  2. コンピュータ名に「Legacy」と入力し、[次へ] をクリックします。
  3. コンピュータが管理されている場合は、システムの GUID を入力します。この例では、システムの GUID は空白のままにして、[次へ] をクリックします。そして、[完了] をクリックします。
  4. このコンピュータを [Active Directory ユーザーとコンピュータ] スナップインで管理する場合は、コンピュータ オブジェクトを右クリックし、[管理] をクリックします。

任意で、ユーザーを選択し、コンピュータをドメインに追加する許可を付与することができます。これによって、管理者はコンピュータ アカウントを作成でき、アクセス許可のレベルが低いユーザーでも、コンピュータをインストールし、ドメインに追加することができます。

オブジェクトの名前変更、移動、削除

ディレクトリ内のすべてのオブジェクトについて、名前の変更と削除が可能です。また、ほとんどのオブジェクトは別のコンテナに移動できます。次に、コンピュータ オブジェクトの作成について、その他の方法を説明します。

"Legacy" コンピュータ オブジェクトを別のコンテナに移動するには

  1. [Accounts] 組織単位で、[Engineering] 組織単位をクリックします。
  2. [Legacy] コンピュータ オブジェクトを右クリックし、[移動] をクリックします。
  3. [Resources] 組織単位を展開し、[Servers] 組織単位を選択します (図 10)。 図 10.   コンピュータ オブジェクトを移動する
    図 10. コンピュータ オブジェクトを移動する
  4. [OK] をクリックし、[Resources] 組織単位内の [Servers] 組織単位にコンピュータを移動します。

コンピュータ オブジェクトの管理

Active Directory 内のコンピュータ オブジェクトは、Active Directory ユーザーとコンピュータ スナップインから直接管理できます。コンピュータ構成をさまざまな側面から参照し、また制御するには、"コンピュータの管理" コンポーネントを使用します。コンピュータの管理コンポーネントは、いくつかの管理ユーティリティを 1 つのコンソール ツリーに集めたもので、ローカル コンピュータやリモート コンピュータの管理用プロパティやツールにアクセスできます。

メモ 以降で説明する手順では、HQ-CON-DC-01 コンソールから作業していることと、HQ-CON-DC-02 コンソールが現在実行中であることを前提としています。

リモート コンピュータの管理

リモート コンピュータを管理するには

  1. [Active Directory ユーザーとコンピュータ] スナップインで [contoso.com] を右クリックし、[ドメインに接続] をクリックします。

  2. [参照] をクリックし、[contoso.com] の隣にある "+" をクリックします。[vancouver.contoso.com] をダブルクリックし、[OK] をクリックします。

  3. "+" をクリックし、[vancouver.contoso.com] を展開して、[Domain Controllers] をクリックします。

  4. [HQ-CON-DC-02] を右クリックし、[管理] をクリックします。これで、システムはリモートで管理されるようになりました (図 11)。

    図 11.   コンピュータをリモートで管理する

    図 11. コンピュータをリモートで管理する
    拡大表示する

  5. [コンピュータの管理] ウィンドウを閉じます。

入れ子になったグループ

入れ子になったグループを使用すると、保守作業の負荷を最低限に抑えながら、会社全体または部門全体でリソースにアクセスする環境を構築できます。すべてのチームのアカウント グループを全社で 1 つのリソース グループに配置する方法は、多数のメンバシップ リンクを作成する作業が発生し、その保守も必要になるため、効率的なソリューションとはいえません。入れ子になったグループを使用するには、管理者は会社の経営上の部門を表すアカウント グループを作成します。

たとえば、最上位のアカウント グループの名前が "All Employees" で、このグループはリソースや共有ディレクトリにアクセスできるリソース グループに連結されているとします。次の下位レベルには、会社の主要な部門を表すアカウント グループが含まれています。このレベルに属するグループは、"All Employees" のメンバであり、リソースや共有ディレクトリにアクセスできるリソース グループに連結されています。

部門レベルの次の下位レベルは、部署を表します。部署の共有リソースには、プロジェクト、ミーティング、休暇などのスケジュールをはじめ、部署全体に関係のあるネットワーク情報などが含まれています。部署レベルのアカウント グループは、部門レベルのアカウント グループのメンバです。

部署レベルの下位レベルでは、必要となる特殊なレベルに応じて、組織構造をセキュリティ グループに分けて配置できます。チームのアカウント グループごとに配置したり、組織の階層構造のリーフ ノードを示したりすることができます。

このグループ階層を配置すると、新しい従業員が配属されてたときにチームのアカウント グループに追加することで、その従業員はチーム、部署、部門、会社のリソースにすぐにアクセスできるようになります。このシステムでは、原則として最低限のアクセスをサポートします。つまり、新しい従業員は、隣のチーム、別の部署、別の部門のリソースを参照することはできません。

入れ子になったグループの作成

入れ子になったグループを作成するには

  1. [Active Directory ユーザーとコンピュータ] スナップインで [vancouver.contoso.com] を右クリックし、[ドメインに接続] をクリックします。
  2. [参照] をクリックし、[contoso.com] をクリックします。[OK] を 2 回クリックして完了します。
  3. [contoso.com] を展開し、[Accounts] 組織単位を展開します。
  4. [Engineering] を右クリックし、[新規作成] をポイントします。次に、[グループ] をクリックし、新しいグループを作成します。「All Engineering」と入力し、[OK] をクリックします。
  5. [All Engineering] グループを右クリックし、[プロパティ] をクリックします。
  6. [メンバ] タブをクリックし、[追加] をクリックします。
  7. [選択するオブジェクト名を入力してください] に「Tools」と入力し、[OK] をクリックします。
  8. もう一度 [OK] をクリックします。これで、入れ子になったグループが作成されました。

特定のオブジェクトの検索

ディレクトリを大規模に展開する場合、特定のオブジェクトを探すために、オブジェクトのリスト全体を参照することは適切でないことがあります。一般に、特定の条件に合うオブジェクトを探す方が効率的です。次の手順では、Contoso ドメインでログオン名が "J" で始まるすべてのユーザーを検索します。

ログオン名が "J" で始まるユーザーを検索するには

  1. [contoso.com] をクリックして選択します。[contoso.com] を右クリックし、[検索] をクリックします。
  2. [詳細設定] タブをクリックします。[フィールド] ボックスで [ユーザー] を選択し、[ログオン名] をクリックします。
  3. [値] に「J」と入力し、[追加] をクリックします。[検索開始] をクリックします。図 12 のような結果が表示されます。 図 12.   高度なディレクトリ検索テクニックを使う
    図 12. 高度なディレクトリ検索テクニックを使う
    拡大表示する
  4. [ユーザー、連絡先およびグループを検索します] ウィンドウを閉じます。

オブジェクトのリストのフィルタ

ディレクトリから返されたオブジェクトのリストをフィルタ処理することによって、ディレクトリの管理を効率化できます。フィルタ処理オプションでは、スナップインに返されるオブジェクトの種類を制限できます。たとえば、ユーザーとグループだけを表示したり、もっと複雑な条件のフィルタを作成したりすることもできます。組織単位に指定数を超えるオブジェクトがある場合、結果ペインに表示するオブジェクトの数を制限することができます。このオプションを設定するには、フィルタ機能を使用します。

ユーザーへの表示用にフィルタを作成するには

  1. [Active Directory ユーザーとコンピュータ] スナップインで、[Accounts] 組織単位の下にある [Engineering] 組織単位をクリックします。
  2. [表示] メニューをクリックし、[フィルタ オプション] をクリックします。
  3. [次の種類のオブジェクトのみを表示] をクリックし、[ユーザー] を選択して [OK] をクリックします。
  4. [Accounts] を展開し、[Engineering] をクリックし、フィルタ処理の結果を確認します。
  5. フィルタを削除します。

ページのトップへページのトップへ

関連資料

詳細については、次の資料を参照してください。

ページのトップへページのトップへ