豊橋市のお客様からActive Directoryの設計を含むドメインコントローラー構築作業の依頼をいただきました。お客様の環境はPCが800台程度で、新規にActive Directoryの導入を行う形になります。
それまではワークグループでの運用を行っており、規模感やユーザー数、デバイス数から見る限りかなり運用面で負担があったようです。
Active Directory導入に関する要望
新規にActive Directory環境を導入するにあたってお客様にヒアリングを行ったところ、以下のようなご要望がありました。
- Active Directoryと同時に導入予定のファイルサーバーにアクセス権を設定したい
- グループポリシーでクライアント側のセキュリティ対策を行いたい
- ログオンスクリプトでいくつかの処理を自動化したい
- 他のシステム(グループウェアやメールシステム、外部からのSSL-VPN)からSSO(シングルサインオン)認証用としてActive Directoryを利用したい。
- ドメインをシンプルに運用したいのでシングルドメイン構成
- 障害時の冗長性を持たせるため、サーバーは2台で情報を同期させたい
ヒアリングできた上記の要望はActive Directoryの基本的な機能で全てカバーすることができますので、ドメインコントローラー用のサーバーサイジングと選定を行い、お客様に提案を行いました。提案した内容でご発注をいただきました。
サーバーの基本設定とドメイン設計
Active Directoryサービス(ADDS)が動作するドメインコントローラー用のサーバーについてはファームウェアの更新を含めて、初期セットアップが必要になります。しっかりとセットアップを行います。ドメイン設計は登録する予定のユーザー数とグループ、およびグループポリシーを適用するOU(Organization Unit)が多いため、少し時間をいただきましたが何度かお客様とのすり合わせで最終的な設計まで完了することができました。
Active Directoryの導入作業
レムシステムでは機器は事前に設定まで完了した状態で、現地に納品します。ドメインの移行やドメインコントローラーの入れ替え(リプレース)の場合には現地での作業が必要になりますが、今回のように新規での導入の場合には、必要な全ての設定を社内で行い、現地では設置と動作確認のみになります。
既存PCのドメイン参加
新規でActive Directoryを導入して、PCのドメイン参加を行うとユーザープロファイルが既存のものとは別に作成されて、デスクトップやユーザーフォルダがまっさらな状態になります。
ローカルユーザーとドメインに登録されているユーザーは同名のアカウントでも別のユーザーになりますので、この挙動は当然ですが、今まで利用していたデスクトップやユーザーフォルダを利用したいという場合にはユーザープロファイルの移行作業が必要になります。
上記のような理由から既存PCのドメイン参加については、やや時間がかかる作業になりますのでサーバー設置時とは別に休日の作業としました。
作業としてはまずサーバー(ドメインコントローラー)の設置までを行いました。サーバー(ドメインコントローラー)は問題なく設置が完了し、別日に行ったPCのドメイン参加作業も完了しましたのでActive Directory導入作業は、大きな問題もなく無事に完了となりました。
Active Directory導入後の運用
Active Directory環境の導入後にはユーザー管理やグループ管理、グループポリシーの設定などを含めてお客様にて運用されており、問題なく稼働しています。SSO(シングルサインオン)についても問題なく利用できており、ITシステムの中心として安定して利用できています。
Active Directory導入のメリットと注意点
Active Directoryを導入することでこれまでは個別のPCで行っていたユーザー登録が不要になり、集中管理を行うことができるようになりました。
ファイルサーバーのアクセス権についても細やかで柔軟な設定ができるようになり、内部統制にも役立っています。グループポリシーによるセキュリティ設定でPCのセキュリティも向上し、一つのソリューションで複数のメリットがありました。
ドメインコントローラーの構築やActive Directoryの導入は簡単そうに思えますが、実はDNSやDHCPなどのネットワーク機能も考慮する必要があり、トラブルが発生することも少なくありません。もし導入を検討しているが不安がある場合にはお気軽にご相談下さい。
既存環境やご要望を丁寧にヒアリングして、最適な構成と導入を行います。