Original

ユーザー・グループの移行【Windows移行特集5】

この記事は2014年7月3日に作成されました。

 

今回はユーザーとグループの移行についてのお話しです。

 

Windows移行特集記事一覧

【1】 Windowsのマイグレーションと言えば

【2】 Active Directoryマイグレーション:アップグレード準備

【3】 Active Directory マイグレーション:アップグレード手順

【4】 Active Directory マイグレーション:ADMT

【5】 ユーザー・グループの移行

【6】 サーバー役割の移行

 

 

ユーザーとグループを移行

ADMT(Active Directory Migration Tool)を使えば、ユーザー、グループとも別ドメインに移行できます。
ユーザーの移行時にユーザーの既存のパスワードを移行する場合、移行元のドメインコントローラーで「パスワードエクスポートサービス」が起動している必要があります。また、ユーザーの移行と同時にグループを移行できます。

 

グループはグループ単独でも移行できます。この時、メンバーとして保存されているユーザーを同時に移行することもできます。


ユーザーとグループを移行するにあたり、それぞれ考慮すべきことがあります。

 

 

Active Directory で使用されるユーザID3つ

新しいActive Directory ドメインへ移行する場合、ユーザーのIDやパスワードといった、セキュリティに関わる情報について注意する必要があります。


Active Directory のユーザーアカウントでは、以下3つのIDが使用されます。

 

  1. DN (Distinguished Name:識別名)
  2. GUID (Globally Unique IDentifier:グローバル一意識別子)
  3. SID (Security IDentifier:セキュリティ識別子)

 

これらのIDは移行時にすべて変化します。フォレスト内の別ドメインへ移行する場合、GUIDのみ保持されます。

 

1.DN (Distinguished Name:識別名)

LDAP (Lightweight Directory Access Protocol) で利用される形式です。

以下のように表記します。

===============================================
cn=アカウント名, ou=組織単位, dc=ドメインコンポーネント
===============================================


例 (corp.classroom.local ドメインのSales OUにあるユーザーTanaka)
===============================================
cn=Tanaka, ou=Sales, dc=corp, dc=classroom, dc=local
===============================================


DNにはドメイン名から生成される情報を含むため、ドメインが変わるとDNも変わります。

 

GUID (Globally Unique IDentifier:グローバル一意識別子)

Active Directory フォレスト内で割り当てられる、ユニークな識別子です。

表記例は以下のとおりです。

===============================================
objectGUID=9793061C-81A4-4398-A2B6-AE121CDDA3E7
===============================================

 

SID (Security IDentifier:セキュリティ識別子)

アクセス許可で使用する識別子です。

ドメイン内で一意であり、ユーザーやグループなどに割り当てられています。

================================================
S-バージョン-識別子機関-サブ機関-ドメイン情報(3セクション)-相対識別子
================================================



================================================
S-1-5-21-2060924996-2024473076-1546849883-1094
================================================

 

 

ユーザーの移行

SIDはファイルやプリンターのアクセス許可で使われます。アクセスする際に、ユーザーのSIDや、ユーザーが所属するグループのSIDと、ファイルやプリンターのACL (アクセス制御リスト)のSIDを比較して、アクセスの可否を決定します。


SIDにはドメイン情報が含まれるため、別ドメインからユーザーを移行するとSIDが新しく割り当てられます。よって、移行したユーザーが以前から利用しているファイルやプリンターといったリソース (資源)を引き続き利用するために、以下のことを考慮します。

 

  1. ユーザーおよびグループのSID
  2. ACLに含まれるSID

 

1.ユーザーおよびグループのSID

移行先ドメインにて新しいSIDが割り当てられますが、移行元ドメインのSIDも保持することで、以前のリソースにアクセスできます。保持されるSIDを「SIDヒストリ」といいます。

 

2.ACLに含まれるSID

ユーザーの移行後、既存のACLにあるSIDを、移行後のSIDに変換することで、以前のリソースにアクセスできます。これを「セキュリティ変換」といいます。

 

 

グループの移行

グループを移行する場合、一般的にはユーザーアカウントとセキュリティグループはセットで移行する必要があります。ただし、グループのスコープによっては、段階的な移行もできます。

 

グローバルグループを移行する場合

グローバルグループを移行する場合、ユーザーとグローバルグループはセットで移行する必要があります。グローバルグループのメンバーは、グローバルグループと同じドメインのユーザーもしくはグローバルグループだけだからです。

 

ドメインローカルグループを移行する場合

一方、ドメインローカルグループを移行する場合、グローバルグループとドメインローカルグループは別々に移行できます。ドメインローカルグループのメンバーは、信頼関係のある別ドメインでもよいからです。
ただし、ドメインローカルグループは別ドメインから参照できないため、アクセス許可を維持するためにはメンバーサーバーの移行と同時に行います。

 

ユーザー・グループの移行に関しては、トレーニングコース「Windows環境マイグレーション実践」詳しく解説しています。

 

 

 

Top image Designed by Freepik

No image

多田 博一(ただ ひろかず)

トレノケート株式会社 / ラーニングサービス本部

   

Active Directory に関する記事

人気記事

人材育成専門企業トレノケート【公式ブログ】
© Trainocate Japan, Ltd. All Right Reserved. 2008-2018

この内容で送信します。よろしいですか?