catch-img

ユーザー・グループの移行【Windows移行特集5】

この記事は2014年7月3日に作成されました。

 

今回はユーザーとグループの移行についてのお話しです。

 

Windows移行特集記事一覧

【1】 Windowsのマイグレーションと言えば

【2】 Active Directoryマイグレーション:アップグレード準備

【3】 Active Directory マイグレーション:アップグレード手順

【4】 Active Directory マイグレーション:ADMT

【5】 ユーザー・グループの移行

【6】 サーバー役割の移行

 

 

ユーザーとグループを移行

ADMT(Active Directory Migration Tool)を使えば、ユーザー、グループとも別ドメインに移行できます。
ユーザーの移行時にユーザーの既存のパスワードを移行する場合、移行元のドメインコントローラーで「パスワードエクスポートサービス」が起動している必要があります。また、ユーザーの移行と同時にグループを移行できます。

 

グループはグループ単独でも移行できます。この時、メンバーとして保存されているユーザーを同時に移行することもできます。


ユーザーとグループを移行するにあたり、それぞれ考慮すべきことがあります。

 

 

Active Directory で使用されるユーザID3つ

新しいActive Directory ドメインへ移行する場合、ユーザーのIDやパスワードといった、セキュリティに関わる情報について注意する必要があります。


Active Directory のユーザーアカウントでは、以下3つのIDが使用されます。

 

  1. DN (Distinguished Name:識別名)
  2. GUID (Globally Unique IDentifier:グローバル一意識別子)
  3. SID (Security IDentifier:セキュリティ識別子)

 

これらのIDは移行時にすべて変化します。フォレスト内の別ドメインへ移行する場合、GUIDのみ保持されます。

 

1.DN (Distinguished Name:識別名)

LDAP (Lightweight Directory Access Protocol) で利用される形式です。

以下のように表記します。

===============================================
cn=アカウント名, ou=組織単位, dc=ドメインコンポーネント
===============================================


例 (corp.classroom.local ドメインのSales OUにあるユーザーTanaka)
===============================================
cn=Tanaka, ou=Sales, dc=corp, dc=classroom, dc=local
===============================================


DNにはドメイン名から生成される情報を含むため、ドメインが変わるとDNも変わります。

 

GUID (Globally Unique IDentifier:グローバル一意識別子)

Active Directory フォレスト内で割り当てられる、ユニークな識別子です。

表記例は以下のとおりです。

===============================================
objectGUID=9793061C-81A4-4398-A2B6-AE121CDDA3E7
===============================================

 

SID (Security IDentifier:セキュリティ識別子)

アクセス許可で使用する識別子です。

ドメイン内で一意であり、ユーザーやグループなどに割り当てられています。

================================================
S-バージョン-識別子機関-サブ機関-ドメイン情報(3セクション)-相対識別子
================================================



================================================
S-1-5-21-2060924996-2024473076-1546849883-1094
================================================

 

 

ユーザーの移行

SIDはファイルやプリンターのアクセス許可で使われます。アクセスする際に、ユーザーのSIDや、ユーザーが所属するグループのSIDと、ファイルやプリンターのACL (アクセス制御リスト)のSIDを比較して、アクセスの可否を決定します。


SIDにはドメイン情報が含まれるため、別ドメインからユーザーを移行するとSIDが新しく割り当てられます。よって、移行したユーザーが以前から利用しているファイルやプリンターといったリソース (資源)を引き続き利用するために、以下のことを考慮します。

 

  1. ユーザーおよびグループのSID
  2. ACLに含まれるSID

 

1.ユーザーおよびグループのSID

移行先ドメインにて新しいSIDが割り当てられますが、移行元ドメインのSIDも保持することで、以前のリソースにアクセスできます。保持されるSIDを「SIDヒストリ」といいます。

3-Dec-13-2023-05-07-55-5477-PM

 

2.ACLに含まれるSID

ユーザーの移行後、既存のACLにあるSIDを、移行後のSIDに変換することで、以前のリソースにアクセスできます。これを「セキュリティ変換」といいます。

4-Dec-13-2023-05-08-02-2845-PM

 

 

グループの移行

グループを移行する場合、一般的にはユーザーアカウントとセキュリティグループはセットで移行する必要があります。ただし、グループのスコープによっては、段階的な移行もできます。

 

グローバルグループを移行する場合

グローバルグループを移行する場合、ユーザーとグローバルグループはセットで移行する必要があります。グローバルグループのメンバーは、グローバルグループと同じドメインのユーザーもしくはグローバルグループだけだからです。

 

ドメインローカルグループを移行する場合

一方、ドメインローカルグループを移行する場合、グローバルグループとドメインローカルグループは別々に移行できます。ドメインローカルグループのメンバーは、信頼関係のある別ドメインでもよいからです。
ただし、ドメインローカルグループは別ドメインから参照できないため、アクセス許可を維持するためにはメンバーサーバーの移行と同時に行います。

 

ユーザー・グループの移行に関しては、トレーニングコース「Windows環境マイグレーション実践」詳しく解説しています。

 

 

 

Top image Designed by Freepik

多田 博一(ただ ひろかず)

トレノケート株式会社 / ラーニングサービス本部

無料ダウンロード

オススメコンテンツ

オススメ記事

プロジェクトマネジメント PMP AWS ビジネススキル Microsoft PMBOKⓇ 田中淳子 IT資格 人材育成 山下光洋 AMA Azure コミュニケーション 人材開発用語集 PMBOK®ガイド入門 クラウド ITスキル 新入社員 横山哲也 人材育成応援ラジオ PMP試験問題に挑戦 re:Invent セキュリティ DX Cisco PMBOKⓇガイド 第6版 試験体験記 イベント・セミナー PMBOK®ガイド第6版の変更点 人材開発 AI(人工知能) CCIE CCNA テレワーク ネットワーク リモートワーク 研修 GCP PMP(R)試験問題 第6版対応 PMP合格体験記 Windows Server AWS_Q&A Active Directory DX人材育成 IT人材 IT資格解説 アセスメント キャリア デジタルビジネス ヒューマンスキル リーダーシップ 人気コースランキング 大喜利 部下の育成 Conversations PMの心得 グローバル人材 新入社員研修といえば IoT OJT reinvent2022 リスキリング AI人材 CCNP Security Windows PowerShell クリエイティビティ プログラミング 人材トレンド 試験対策問題 PMP試験対策一問一答 コーチング プロジェクト プロトタイプビルダー 生成AI 1on1 AWS_DiscoveryDay AWSトレーニングイベント GCP無料セミナー Google Cloud Google Cloud Platform G検定 ITインフラ oVice アワード クリティカルシンキング サンプル問題 ステークホルダー ダイバーシティ ディープラーニング ワーケーション 自律 試験Tips Linux PMI Power Platform Python Teams Web会議 jawsdays2024