あらためて Active Directory
昨日、Tech Fielders セミナーにご参加いただいた皆さま、どうもありがとうございました。
今回は久しぶりに Active Directory の環境を一から作っていきながら、そもそものコンセプトや機能を確認していく形にしました。
マイクロソフトから Active Directory の説明を聞けるということで、詳しく・深い話しを期待されていた方もいらっしゃるかもしれません。もしいらっしゃいましたら、ご期待に添えずすいません。
しかし、現在の Active Directory に関する一番の問題は、ちゃんと使われていないことだと思っていて、今の私の立場としてやるべきはエンジニアさんのトレーニングではなく今一度「ちゃんと使いましょう」というメッセージを出すことだと思いました。
是非この機会を利用してシンプルな Active Directory 環境の整備をご決断頂ければと思っています。
***
「入っていない」のではなく、「使っていない」のでもなく、「ちゃんと使っていない」となるとなおさらかもしれません。
いろんな方とお話しをすると、解決策を出してほしいと言われます。
無いわけではありません。
- 複数のディレクトリ環境を受け入れ、連携という手段を取る
- ディレクトリを1つにするのではなく、「すべての整合性を取る」「連携を自動化する」に注力をするという選択です
- 人事 DB も含めて、社内の ID 管理の仕組みをADだけにはできないので、連携するという選択は正しいと思います
- Forefront Identity Manager 2010 (FIM)
https://technet.microsoft.com/ja-jp/ilm/default.aspx - ただ、複数の AD 連携だけで使うという話しは聞いたことが無い
- Active Directory Migraton Tool (ADMT) 等のツールを使って、1つに集約する
https://technet.microsoft.com/ja-jp/library/cc974332(WS.10).aspx- 基本的にオブジェクトの移行はできません
- なぜなら SID は ドメインID+RID(簡単に言うとドメインの中での一意なID)なので、ドメインが変われば SID は必ず変わる
- で、ADMT は SID History というプロパティ情報を利用して、新しく作ったユーザーに移行前の SID 情報も持たせるというソリューションです
- 他のソリューションを探す
が、結局のところ、「あるべき姿に持って行こう」という決断を下さなければ、数年後にはまた悩むことになるだろうと思っています。
そういう意味でも、今こそ決断の時です!!
マイクロソフト 高添