ドメインの機能レベルを考える(2)Windows Server 2003(前編)
こんにちは。
ドメインの機能レベルは2回目、本日はWindows Server 2003です。
一昨年Windows Server 2003/2003R2のサポートが終了になったことにより、(その後にリリースされた)最新のWindows Server 2016では新規ドメイン構築時に機能レベルとして「Windows Server 2003」が選択できなくなっています。
Windows 2000に比べてかなり機能は多くなっているので、1つずつ見ていきたいと思います。
前回と同様詳細についてはtechnetの記事を参照ください。
Understanding Active Directory Functional Levels
1. Netdom.exeが利用可能になり、ドメイン名のリネームが可能に
Netdom.exeはFSMOを確認する場合やドメインの操作をする際にかなりお世話になるツールです。特にFSMOの表示は操作マスターごとに表示するスナップインが異なるため、一括で表示してくれるのはありがたいです。
ドメイン名のリネームは普段はほぼ使うことがないですが、Active Directory証明書サービスを使用していて、証明書をそのまま利用可能とするためドメイン移行時にどうしてもホスト名を移行しなければならない場合に使用したりします。
2. ログオンタイムスタンプの更新
ユーザーやコンピューターの属性としてlastLogonTimestamp属性が追加されました。属性として既にlastLogon属性が存在しますが、lastLogon属性が他のドメインコントローラーと同期しないのに対してlastLogonTimestamp属性は同期されるという特徴があります。ただし、最新のログオン時間ではないことが多いので注意が必要です。
Technetのブログでこの辺りの動きが詳細に記載されています。
3. inetOrgPersonオブジェクトとユーザーオブジェクトのuserPassword属性
LDIFDE.exeやCSVDE.exeを使用してユーザーをインポートする際、 パスワードの属性である unicodePwd属性ではBase64にエンコードして設定する必要がありますが、userPassword属性を使用すると平文で登録できるようになります。
4. ユーザーオブジェクトとコンピューターオブジェクトのリダイレクト
コンピューターをドメインに参加させた場合、コンピューターオブジェクトは「Computers」コンテナーに作成されます。特に場所を指定せずにコマンド等でユーザーを作成した場合は「Users」コンテナーに作成されます。
コンピューターの格納先が常に一定で、いちいちオブジェクトを移動するのが面倒、という場合はオブジェクトをリダイレクトすることができます。
リダイレクトする場合はredirusrコマンドとredircmpコマンドを使用します。
redirusr "ユーザーのリダイレクト先のOUの識別名(DN)" redircmp "コンピューターのリダイレクト先のOUの識別名(DN)"
DNにスペースが含まれることが多いので、二重引用符を付けたほうが確実です。
残り3つは次回に...。
2017/02/18 追記
タイトルが間違っていたので修正しました。正しくはWindows Server 2003です。