マイクロソフトでは「クラウドファースト」というコンセプトで、クラウドに関連する情報をネットでは見聞きする機会が増えてきました。しかし、社内ではActive Directoryを利用しているケースのほうが圧倒的に多く、また導入から相当な年月が経過しているために誰にも手が負えない状態になっているドメインも相当数あると聞きます。そこで、筆者である私(国井)もZoho Japanさんからアンバサダーという肩書をいただきましたので、Zohoさんの主力製品であるManageEngineシリーズのADManager Plusを使ったActive Directoryドメインの管理について、レビューを書いてみたいと思います。
###ADManager Plusとは
ZohoさんではManageEngineというブランドで運用管理に関わる、様々な製品を提供しているのですが、その中のひとつにADManager Plusという製品があります。ADManager PlusはActive Directoryの運用管理を行う製品で、[Active Directoryユーザーとコンピューター]管理ツールとは一味違った運用管理手法を提供してくれます。なお、ADManager Plusは100ユーザー未満であれば無償で利用できます。
評価版もしくは無償で利用できるバージョンはhttps://www.manageengine.jp/products/ADManager_Plus/active-directory-management.html からダウンロードできます。
###アーキテクチャとセットアップ
ADManager Plus自体はWebアプリケーションとして動作し、ブラウザー画面からActive Directoryに対する操作を行うと、ADManager PlusがプロキシとなってActive Directoryの管理作業を代理で行ってくれます。そのため、ADManager Plus自体はサーバーOSにインストールして使うことになります。もちろん、ドメインコントローラー自体にインストールすることも可能です。
図1●ADManager PlusとActive Directoryの関係性
セットアップ自体はウィザードに沿って進めていくだけでインストールが完了します。私が見た限りでは、インストールウィザードで注意したいポイントはポート番号の指定でしょうか。ここでいうポート番号は管理者のクライアントからADManager Plusのサーバーに接続するときに使うポート番号です。言い方を変えるとADManager PlusのWebサイトを提供するポート番号ということです。デフォルトでは8080という番号が割り当てられていますが、もし既存のアプリケーションと競合するのであれば、違うポート番号でセットアップしておきます。
ADManager Plusのインストールが完了したら、Webページにアクセスし、ADManager Plus自体の認証を行います。デフォルトでは、adminという名前のユーザーが作られているので、このユーザーでログインします(ちなみにパスワードはadminになっていますけど、必ずパスワードは後で変えておきましょう)。
画面2●ADManager Plusのログイン画面
###メニューの概要
ログイン後のページではADManager Plusで行える、ほとんどすべての操作がメニューとして用意されています。簡単にまとめておきます。
| 項目名 | 説明 |
|---|---|
| ホーム | ログイン後のトップページで、使われていないユーザーの情報などがグラフィカルビューとして確認できる |
| AD管理 | ユーザー、グループ、コンピューターなどのオブジェクトの作成や変更などを行うための設定項目 |
| レポート | Active Directory ドメインの現状を把握するために必要なレポートを取得するための項目 |
| Office 365 | Active DirectoryからAzure AD Connect によって同期されたユーザーの状態を参照したり、ユーザー追加・変更・ライセンス割り当て等を行うための項目 |
| ワークフロー | Active Directoryに対する変更を会社の業務に合わせて自動化させたいときに使用する項目 |
| 自動化 | ユーザー作成やパスワード変更など、定期的な間隔で行いたい作業を自動化するための設定項目 |
| 管理 | 各種設定時に利用する値などをあらかじめ定義しておくための項目 |
| サポート | Zohoからのサポートを受けるための項目やADManager Plusに関する学習リソースを用意 |
 |
|
| 画面3●ADManager Plusのトップページ |
###ユーザーの作成・管理
ADManager Plus最大の特徴といえば、CSVファイルからオブジェクトの管理ができる点です。ここで言うオブジェクトとは、ユーザー、グループ、コンピューター、OU、連絡先のことで、これらのオブジェクトを作成する、または変更するときは、あらかじめCSVファイルを作っておいて、作ったCSVファイルをインポートするだけで作成・変更ができます。Active DirectoryでもCSVDEというコマンドがありますが、既にあるオブジェクトに対する変更ができないという点でADManager Plusを利用するメリットはあると思います。実際の流れをつかむために、ここではユーザーの新規作成と属性変更を行ってみます。
まず、ADManager PlusではインポートするCSVファイルのフォーマットが決まっているので、それを把握しておきます。ADManager Plusサイトの[AD管理]から[CSVファイルのインポート]-[ユーザー作成]をクリックして、CSVファイルのサンプルをダウンロードします。
画面4●[AD管理]から[CSVファイルのインポート]-[ユーザー作成]をクリックしたときの画面
ダウンロードしたファイルがこちらです。
画面5●サンプルCSVファイルの内容
サンプルCSVファイルの1行目は属性行と言って、各列にどのような属性を記述するかを定義しています。サンプルCSVファイルにある列は必須属性ではありません。そのため、不要な列を削除したり、追加で列を増やしたりすることも可能です。ちなみに追加可能な列(属性)の一覧は、サンプルCSVファイルをダウンロードするページの[CSVヘッダー]リンクをクリックして確認できます。私は元々のCSVファイルから「上司」を表すmanager列とpwdLastSet列を削除し、代わりにパスワードを表すpassword列を追加するようなカスタマイズを行いました(CSVDEコマンドだとパスワードは設定できないので、その点もADManager Plusのアドバンテージですね)。
画面6●カスタマイズ後のサンプルCSVファイル
CSVファイルができたら、画面4の画面から[インポート]ボタンをクリックしてCSVファイルを登録します。その後のウィザード画面では、問題のあるユーザーがいれば、その指摘をするので、必要に応じて除外したり、
画面7●登録不可能なユーザーの指摘
作成先となるOUの選択を行うだけで、ユーザーがまとめて作成されます。
画面8●作成先OUの選択
ここまでの手順は、これから新規にActive Directoryドメインを導入しようと思っている会社でADManager Plusを使う場合の話をしました。一方、既にActive Directoryを導入している会社がADManager Plusを使う場合は、既にActive Directoryに作られたユーザーの一覧を[レポート]-[すべてのユーザー]から一度表示させておいて、そのあとCSVDE形式でダウンロードします。
画面9●CSVDE形式のCSVファイルのエクスポート
あとは、作られたCSVファイルをベースにユーザー管理を行えばよいわけです。ただし、最初の列に[シリアル番号]という列が作られてしまうので、その列だけ削除してから使います。
###ひとり分だけユーザーを作成したいとき
CSVファイルを使って管理するまでもなく、単純に1ユーザーだけ作りたい、設定を変更したいというときはADManager Plusの[AD管理]-[シングルユーザーの作成]または[シングルユーザーの変更]を使って設定することもできますが、ユーザーがひとりであってもCSVファイルで作っておいたほうがよいでしょう。たとえ1人分のユーザーでも最初にCSVファイルを作っておけば、後からユーザーを変更するときにもCSVファイルが利用できて便利だと思うのです。もし会社に管理者が複数いるときは、管理者によってCSVファイルからユーザーを作る人と、[シングルユーザーの作成]からユーザーを作成する人が混在しないよう、操作手順は徹底しておく必要がありそうです。