ユーザー・グループの移行【Windows移行特集５】

2014-07-03 多田博一（ただひろかず） ITスキル

Microsoft, ITスキル, Windows Server, Active Directory

この記事は2014年7月3日に作成されました。

今回はユーザーとグループの移行についてのお話しです。

Windows移行特集記事一覧

【１】　Windowsのマイグレーションと言えば

【２】　Active Directoryマイグレーション：アップグレード準備

【３】　Active Directory マイグレーション：アップグレード手順

【４】　Active Directory マイグレーション：ADMT

【５】　ユーザー・グループの移行

【６】　サーバー役割の移行

ユーザーとグループを移行

ADMT（Active Directory Migration Tool）を使えば、ユーザー、グループとも別ドメインに移行できます。
ユーザーの移行時にユーザーの既存のパスワードを移行する場合、移行元のドメインコントローラーで「パスワードエクスポートサービス」が起動している必要があります。また、ユーザーの移行と同時にグループを移行できます。

グループはグループ単独でも移行できます。この時、メンバーとして保存されているユーザーを同時に移行することもできます。

ユーザーとグループを移行するにあたり、それぞれ考慮すべきことがあります。

Active Directory で使用されるユーザID3つ

新しいActive Directory ドメインへ移行する場合、ユーザーのIDやパスワードといった、セキュリティに関わる情報について注意する必要があります。

Active Directory のユーザーアカウントでは、以下3つのIDが使用されます。

DN (Distinguished Name：識別名)
GUID (Globally Unique IDentifier：グローバル一意識別子)
SID (Security IDentifier：セキュリティ識別子)

これらのIDは移行時にすべて変化します。フォレスト内の別ドメインへ移行する場合、GUIDのみ保持されます。

１．DN (Distinguished Name：識別名)

LDAP (Lightweight Directory Access Protocol) で利用される形式です。

以下のように表記します。

===============================================
cn=アカウント名, ou=組織単位, dc=ドメインコンポーネント
===============================================

例（corp.classroom.local ドメインのSales OUにあるユーザーTanaka）
===============================================
cn=Tanaka, ou=Sales, dc=corp, dc=classroom, dc=local
===============================================

DNにはドメイン名から生成される情報を含むため、ドメインが変わるとDNも変わります。

GUID (Globally Unique IDentifier：グローバル一意識別子)

Active Directory フォレスト内で割り当てられる、ユニークな識別子です。

表記例は以下のとおりです。

===============================================
objectGUID=9793061C-81A4-4398-A2B6-AE121CDDA3E7
===============================================

SID (Security IDentifier：セキュリティ識別子)

アクセス許可で使用する識別子です。

ドメイン内で一意であり、ユーザーやグループなどに割り当てられています。

================================================
S-バージョン-識別子機関-サブ機関-ドメイン情報(3セクション)-相対識別子
================================================

例
================================================
S-1-5-21-2060924996-2024473076-1546849883-1094
================================================

ユーザーの移行

SIDはファイルやプリンターのアクセス許可で使われます。アクセスする際に、ユーザーのSIDや、ユーザーが所属するグループのSIDと、ファイルやプリンターのACL (アクセス制御リスト)のSIDを比較して、アクセスの可否を決定します。

SIDにはドメイン情報が含まれるため、別ドメインからユーザーを移行するとSIDが新しく割り当てられます。よって、移行したユーザーが以前から利用しているファイルやプリンターといったリソース (資源)を引き続き利用するために、以下のことを考慮します。

ユーザーおよびグループのSID
ACLに含まれるSID

１．ユーザーおよびグループのSID

移行先ドメインにて新しいSIDが割り当てられますが、移行元ドメインのSIDも保持することで、以前のリソースにアクセスできます。保持されるSIDを「SIDヒストリ」といいます。

3-Dec-13-2023-05-07-55-5477-PM

２．ACLに含まれるSID

ユーザーの移行後、既存のACLにあるSIDを、移行後のSIDに変換することで、以前のリソースにアクセスできます。これを「セキュリティ変換」といいます。

4-Dec-13-2023-05-08-02-2845-PM

グループの移行

グループを移行する場合、一般的にはユーザーアカウントとセキュリティグループはセットで移行する必要があります。ただし、グループのスコープによっては、段階的な移行もできます。

グローバルグループを移行する場合

グローバルグループを移行する場合、ユーザーとグローバルグループはセットで移行する必要があります。グローバルグループのメンバーは、グローバルグループと同じドメインのユーザーもしくはグローバルグループだけだからです。

ドメインローカルグループを移行する場合

一方、ドメインローカルグループを移行する場合、グローバルグループとドメインローカルグループは別々に移行できます。ドメインローカルグループのメンバーは、信頼関係のある別ドメインでもよいからです。
ただし、ドメインローカルグループは別ドメインから参照できないため、アクセス許可を維持するためにはメンバーサーバーの移行と同時に行います。

ユーザー・グループの移行に関しては、トレーニングコース「Windows環境マイグレーション実践」詳しく解説しています。

Top image Designed by Freepik