ドメインの機能レベルを考える(1)Windows 2000ネイティブ
こんにちは。かなりの放置気味でした。
最近早起きをして会社に来ることを習慣にしようとしたものの、短い時間でやることがなかなか見つからなかったので、この機会にこのブログを動かそうと考えました。
しばらくは試行錯誤ですので更新が不定期になるかもしれないですが、長い目でよろしくおねがいします。
ドメインコントローラーを構築する場合、ドメインやフォレストの機能レベルを決定する必要があります。通常は最新の機能レベルにしますが、既存環境にドメインコントローラーを追加する場合は既存環境で最も古いドメインコントローラーのバージョンに合わせる必要があります。
最新のサーバーOSであるWindows Server 2016では機能レベルとして「Windows 2000ネイティブ」はそもそも選択肢として存在しませんが、機能としてどのようなものがあったか理解しておいて損はないかと思います。
ちなみにドメインの機能レベルに関するドキュメントは以下。
英語版にしているのは日本語版の情報がかなり古いからです...。Windows Server 2016の機能レベルに関する記述がないのが気になりますが。
Understanding Active Directory Functional Levels
1. セキュリティグループに「ユニバーサルセキュリティグループ」を追加
それまでは「ドメインローカル」か「グローバル」だけだったセキュリティグループに「ユニバーサル」が追加されました。ユニバーサルセキュリティグループの特徴は以下のとおり。
- 参照可能な範囲はフォレスト全体
- 追加可能なメンバーは「フォレスト内のユーザー」「フォレスト内のグローバルグループ」「フォレスト内の他のユニバーサルグループ」の3種類
グローバルもフォレスト全体で参照可能ですが、追加可能なメンバーはドメイン内に限られていました。それをフォレスト全体に範囲を広げたのがユニバーサルグループです。
2. グループの入れ子(ネスト)
意外にもそれまではセキュリティグループの入れ子はできなかったんですね。今ではほぼ当たり前ですし、AGDLP(またはAUDLP、AGLP)のようなベストプラクティスも出てきています。
3. セキュリティグループと配布グループの間の変換
Exchangeなどを使用していないと(Windows Server 2003まではOS機能に含まれていたかと思いますが)ほとんど目にすることはないですが、配布グループとセキュリティグループの変換機能がここで追加されています。
4. SID(Security Identifier)の履歴
ADMT(Active Directory移行ツール)を使用してドメインを移行する場合にファイルサーバーの権限管理を引き継ぐ際に必要になってくるSIDの履歴(sidHistory)。地味ではありますが重要な機能です。
ちなみにドメインの機能レベルが「Windows 2000ネイティブ」の場合、Windows Server 2012 R2以降のOSをドメインコントローラーとして追加することができません。
- Windows Server 2012 R2 → Windows Server 2003以上
- Windows Server 2016 → Windows Server 2008以上
に機能レベルを上げてからドメインコントローラーの追加作業を行いましょう。