Windows Server 2008でのActive Directoryは、Active Directoryサービス中のひとつとして「Active Directoryドメインサービス」となる。サービスとして実装されたことで、ADのリストアやオフラインデフラグなどの際はDCをリスタートモードで再起動が必要だったが、ドメイン機能のみを再起動可能になった。このことによりダウンタイムを削減できることになるだろう。

さらにActive Directoryドメインサービス(AD DS)に加え、

  • Active Directory 証明書サービス(AD CS)…従来の証明書サービスをエンタープライズ向けに機能強化
  • Active Directory フェデレーションサービス(AD FS)…Windows Server 2003 R2から提供された別Active Directoryとの相互接続をIIS7.0対応したもの
  • Active Directoryライトウェイトディレクトリサービス(AD LDS)…AD AM(Active Directory Application Mode)の後継機能
  • Active Directory Rights Management サービス (AD RMS)…Windows Rights Management Service(RMS)をActive Directoryサービスに統合したもの

といったサービスが統合され連携が強化されている。

機能レベルではWindows 2000のネイティブ環境以上をサポートする。Windows Server 2008のActive Directoryでは、新機能として以下がリストアップされている。

読み取り専用ドメインコントローラ(Read Only Domain Controller:RODC)

ブランチオフィスなどでは、システム管理にコストをかける余裕がないことが多々ある。専任のシステム管理者がおらず、十分な教育を受けていない人にシステム管理者権限を与えることがセキュリティリスクになるおそれがある。また、サーバの管理などに関しても、物理的なセキュリティが甘いケースもあるだろう。また、回線が細いためログオンに時間がかかる、ドメインコントローラの情報の複製にバンド幅を消費されることなどもある。

Windows Server 2008ではその回答として「読み取り専用ドメインコントローラ」を提案している。読み取り専用なので、セットアップ後にDCのデータベースを複製し、ブランチオフィスで使用。書き換えが必要な情報のみをDCへ送付し、その情報をRODCに再コピーするという形で運用がなされることになるが、キャッシュの設定も可能でWAN障害時の対応も可能となっている。

またRODCの管理は、Admin Role Separationと呼ばれる権限分割がなされていて、セキュリティパッチなどのマシン操作にはAdministrator権限があるが、ディレクトリ操作にはuser権限が与えられ不慮のトラブルを避けることができる。

まとめると、RODCを使う事で、サイト設計がシンプルになり、セキュリティが向上、ログオン時間の短縮が図れるというわけだ。

きめ細かなパスワード設定

従来、アクティブディレクトリ上でのパスワードのポリシーはドメイン単位で設定することになっていた。しかしパスワードポリシーをきつくすれば、一般ユーザはすぐにロックアウトされてしまうとか、長いパスワードを要求すると忘れてしまうのでメモをするというように、管理の煩雑さとセキュリティの低下を招く場合がある。一方で一般ユーザと管理者のパスワードの強度は同じである必要はない。

Windows Server 2008ではこのパスワードポリシー設定をグローバルセキュリティグループ単位またはユーザ単位でできるようになる。

属性のふりがなサポート

日本向けの新機能としてユーザ属性としてふりがながサポートされた。これでソートが楽になるはず。