投稿日:2004年03月26日 作成鷹の巣

No.15343 80人程度の規模のWindows2000Serverでは、ワークグループか、ActiveDirectoryのどちらを構築すべき?



80人程度の規模のWindows2000Serverでは、ワークグループか、ActiveDirectoryのどちらを構築すべき?

No.15343 投稿時間:2004年03月26日(Fri) 22:14 投稿者名:gaku URL:

80人程度の規模の職場でファイルサーバとして、Windows2000Serverマシンを
立ち上げます。ワークグループで行くべきか、ActiveDirectoryを構築すべきか
悩んでいます。
ADにした場合の、一番の悩みは各人に対するログオン等の仕方を教えるということと、
クライアントマシンを一台づつ設定しなければならないと言うことです。
私としては、ユーザのパスワード変更・ログオンスクリプトの実行等ADで得るものは大きいと思うのですが
似たような経験をされた方見えましたら、アドバイスをお願いいたします。


ActiveDirectoryの方が便利そうですね。

No.15344 投稿時間:2004年03月26日(Fri) 23:48 投稿者名:yasuyuki URL:

> 80人程度の規模の職場でファイルサーバとして、Windows2000Serverマシンを
> 立ち上げます。ワークグループで行くべきか、ActiveDirectoryを構築すべきか
> 悩んでいます。
> ADにした場合の、一番の悩みは各人に対するログオン等の仕方を教えるということと、
> クライアントマシンを一台づつ設定しなければならないと言うことです。
> 私としては、ユーザのパスワード変更・ログオンスクリプトの実行等ADで得るものは大きいと思うのですが
> 似たような経験をされた方見えましたら、アドバイスをお願いいたします。

僕の会社では、規模がもっと小さいのでWorkGroupで使用しています。
ActiveDirectoryは、まだテストで一度構成しただけなので勉強不足ですが、80人規模でのサーバ資源の管理などは、ActiveDirectoryの方が便利そうですね。
この規模であれば多少の初期構築の手間は、後々十分に還元されると思います。
グループ単位で管理できるのは魅力だと思います。


ワークグループでは、グループ管理でのアクセス権設定はできないのでしょうか。

No.15347 投稿時間:2004年03月27日(Sat) 06:54 投稿者名:gaku URL:

> この規模であれば多少の初期構築の手間は、後々十分に還元されると思います。
> グループ単位で管理できるのは魅力だと思います。


私も新米管理者なので、勉強不足ですが、
今までは、他の部署のドメインでアクティブディレクトリしかいじったことがありません。

ワークグループでは、グループ管理でのアクセス権設定はできないのでしょうか。


権限をユーザではなく、グループで設定すればOKです。

No.15354 投稿時間:2004年03月27日(Sat) 11:32 投稿者名:yasuyuki URL:

> > この規模であれば多少の初期構築の手間は、後々十分に還元されると思います。
> > グループ単位で管理できるのは魅力だと思います。
>
>
> 私も新米管理者なので、勉強不足ですが、
> 今までは、他の部署のドメインでアクティブディレクトリしかいじったことがありません。
>
> ワークグループでは、グループ管理でのアクセス権設定はできないのでしょうか。

グループ単位の管理は出来ます。
権限をユーザではなく、グループで設定すればOKです。

ADとWGでは根本的に構造が違います。
どちらが良いかは、規模と管理形態で決定すれば良いと思いますが、「他の部署で・・・」と言う記述がありましたが、社内全体で管理方法は統一された方が、後々管理も楽かと思います。


各クライアントがワークグループ環境で自由にパスワード変更が可能でしょうか。

No.15360 投稿時間:2004年03月27日(Sat) 23:04 投稿者名:gaku URL:

言葉足らずで申し訳ありません。
「他の部署」と言うのは完全に切り離されており
現在の環境とは関係はありません。

WGでのクライアントのパスワード変更が気になります。
各クライアントがWG環境で自由にパスワード変更が可能でしょうか。
また、ログオンスクリプトを実行したいときはWGでも可能でしょうか。
当方WGについてあまりイメージができません。
というか経験がありませんのでご教授いただければ幸いです。


PDCを立てることをおすすめします。

No.15362 投稿時間:2004年03月28日(Sun) 03:35 投稿者名:はるき URL:

> WGでのクライアントのパスワード変更が気になります。
> 各クライアントがWG環境で自由にパスワード変更が可能でしょうか。

パスワードとはローカルパスワードのことでしょうか?
ローカルはいくらでも変更できますけど、共有フォルダなどのパスワードは基本的にサーバ側で変更しなくてはいけないです。
そもそもWGではログインという概念がないですから。

どこまでやるかですけど、共有フォルダへアクセスするだけなら、WGで十分ですが、
グループポリシーを設定して、グループ単位でアクセス権を設定したり、
強制的にパッチを適用したり、特定のドライブレターに共有フォルダをマウントさせたりしたいというのでしたら、
ADしかないと思いますが、DNSを立ち上げる必要があるかと思います。

あと、ADにする場合は、クライアントは、WIN2000か、WINXP-PRO(HOMEはダメ)がいいでしょう。

> また、ログオンスクリプトを実行したいときはWGでも可能でしょうか。

ログオンスクリプトは、ドメインにログオンさせて、実行させるためのスクリプトですから、
ドメインコントローラに設置しなければなりません・・・よね!?
WGにはドメインコントローラが存在しないので、不可能では?


サーバ専用のパスワードを用意し、配布していると言うことになるのでしょうか。

No.15366 投稿時間:2004年03月28日(Sun) 09:31 投稿者名:gaku URL:

> パスワードとはローカルパスワードのことでしょうか?
> ローカルはいくらでも変更できますけど、共有フォルダなどのパスワードは基本的にサーバ側で変更しなくてはいけないです。
> そもそもWGではログインという概念がないですから。
>
> どこまでやるかですけど、共有フォルダへアクセスするだけなら、WGで十分ですが、
> グループポリシーを設定して、グループ単位でアクセス権を設定したり、
> 強制的にパッチを適用したり、特定のドライブレターに共有フォルダをマウントさせたりしたいというのでしたら、
> ADしかないと思いますが、DNSを立ち上げる必要があるかと思います。
>
> あと、ADにする場合は、クライアントは、WIN2000か、WINXP-PRO(HOMEはダメ)がいいでしょう。
>
> > また、ログオンスクリプトを実行したいときはWGでも可能でしょうか。
>
> ログオンスクリプトは、ドメインにログオンさせて、実行させるためのスクリプトですから、
> ドメインコントローラに設置しなければなりません・・・よね!?
> WGにはドメインコントローラが存在しないので、不可能では?

アドバイスありがとうございます。

そうするとWGで運用されているところでは、各自のローカルパスワードとは別に
サーバ専用のパスワードを用意し、配布していると言うことになるのでしょうか。
あるいはロカールパスワードを聞き出して、設定を行うとか・・・・
そのパスワード変更に際しては、ローカル側では変更ができないので、
皆さんにサーバまで来ていただくということになりますか?
また、グループ単位でアクセス権を設定することはWGでは無理なんでしょうか。


サーバにログインするには、アクティブディレクトリ・ワークグループに関係なくパスワードは必要。

No.15370 投稿時間:2004年03月28日(Sun) 11:34 投稿者名:yasuyuki URL:

> そうするとWGで運用されているところでは、各自のローカルパスワードとは別に
> サーバ専用のパスワードを用意し、配布していると言うことになるのでしょうか。

サーバにログインするには、アクティブディレクトリ・ワークグループ に関係なくパスワードは必要です。
そもそも、サーバでユーザーを設定・管理を実行し、端末は、ログオン時にサーバの認証を受ける必要があります。
これらを管理する事が管理者の仕事でもあります。

> あるいはロカールパスワードを聞き出して、設定を行うとか・・・・
> そのパスワード変更に際しては、ローカル側では変更ができないので、
> 皆さんにサーバまで来ていただくということになりますか?

これは、端末がWindows9x系ということでしょうか?
テストはしてませんが、Windows9x系が混じるのであれば、ワークグループの方が良いかもしれません。
混在も出来る様ですが、けっこう大変みたいです。
ログオンスクリプトは、アクティブディレクトリ固有のものの様です。
下記はUsersGroupのアドレスです。
色々な事象が参照できますので、一度ご覧になってみてはいかがでしょうか?
参考になると思います。

http://www.users.gr.jp/ml/archive/list.aspx?name=win2k

> また、グループ単位でアクセス権を設定することはWGでは無理なんでしょうか。

ワークグループでのユーザーは、ユーザー名+パスワード+ユーザーグループが大雑把な構成要素になります。
ユーザーは必ず、ユーザーグループに属する必要があります。
このユーザーグループに対して権限を発行すればグループ単位での管理は可能です。
ユーザーグループは任意に作成できますので、管理しやすい名前を付けて登録すればOKだと思います。

権限の設定は、ユーザーに対しての固有の権限とユーザーグループに対しての共有の権限の2種類あります。

まず、管理する内容を箇条書きにして必要な管理項目を絞る必要があると思います。
その上で、実行可能な環境を選定してみては、いかがでしょうか?

純粋に外付けハードディスク程度の感覚のファイルサーバであれば、ワークグループでの運用で支障が出ることは皆無だと思います。


サーバの共有フォルダへアクセス時のパスワードは、自分で自由に変更できないのでしょうか。

No.15378 投稿時間:2004年03月28日(Sun) 22:38 投稿者名:gaku URL:

> 純粋に外付けハードディスク程度の感覚のファイルサーバであれば、ワークグループでの運用で支障が出ることは皆無だと思います。

皆さんありがとうございます。

ただ、どうしても腑に落ちないのですが、
WGでは、たとえば、
WinXPでは、ローカルユーザ+パスワードで
まず自分のPCを立ち上げておき、さらにサーバの共有フォルダへ
アクセスするときに管理者から連絡された、サーバに対するユーザ名+
サーバに対するパスワードを入力するといいう手順になると思います。
しかも、このパスワードはローカルのものとは違うもので、自分で
自由に変更できない、というようなことになるのでしょうか。
サーバ側パスワードは管理者設定のためユーザが覚えにくいものになると思います。
WinXpでパスワードの記憶をさせておけばパスワードを二つも覚えるというようなこと
から逃れられるかも知れません、また、各自のローカルに設定しているパスワードを聞きだしてもいいかもしれませんが、
設定が面倒ですし、管理者といえどもユーザのパスワードを知らないほうがよいと思うのですが、・・・・。

ADではログオンすればそのまま、サーバに認証を受けますので、こういった問題がないと思います。

しつこいですが、パスワードに対してセキュリティ上の問題とか
二つのパスワードの煩雑さの問題とか生じないのでしょうか。

いままでADで管理をしていたので、こういったことがなんだか
非常に問題で面倒に思えますが・・・・。

サーバの用途はとりあえず、おっしゃるように外付けハードディスク感覚のものです。

何度も同じような質問をさせていただき、申し訳ありません。


ログオン認証について

No.15384 投稿時間:2004年03月29日(Mon) 12:18 投稿者名:yasuyuki URL:

利用者の手間の問題ですね。
一応、WindowsXPproでは、ネットワークサーバの認証情報は、XPユーザーアカウントに格納されます。
[コントロールパネル]→[ユーザーアカウント]→[ユーザーを選択]→左上の[ネットワークアカウントを管理する]で確認してみてください。
最初にユーザー名+passで一度認証されれば、自動的に格納されます。

一応、確認はしてみましたが、現在いる場所は、NT4.0サーバしかなく、取り敢えずNT4.0にXPproで接続認証をしてみましたが、多分おっしゃる程の手間にはならないと思います。

WGよりADの方が新しい技術ですので、ログオンスクリプト等を利用すれば、そちらの方が便利のような気がします。
WGはWindowsネットワーク上に構築されるものであり、どちらかと言えば、Win9xを端末機の前提としています。


追記

No.15385 投稿時間:2004年03月29日(Mon) 14:52 投稿者名:yasuyuki URL:

どうも全体にログオンスクリプトを使うか否かというところが焦点のようなので追記します。
ログオンスクリプトは、認証後に端末機に共有のネットワーク環境の設定をする共有バッチ(スクリプト)です。
たとえば、ドライブの割当などを、グーループ全体に統一したりする場合に便利ですね。
また、スクリプト自体を管理者が管理するため、環境の変更も一括で行えるところがメリットです。
このスクリプトはAD環境下で実行可能ですが、これはあくまでログオン認証後に実行されるスクリプトです。
ですから、認証自体は、ADとWGでさほど違いはないと思います。
実際にこの環境下で業務を行っている実績があるようなので、これを使わないのも勿体ない気がします。
そうなると必然的にADにはなってしまいますが・・・。
それでは、ご検討を祈ります。


ActiveDirectoryは。

No.15389 投稿時間:2004年03月29日(Mon) 16:01 投稿者名:まぁ。 URL:

こんにちは。
ActiveDirectory(以下AD)は、会社でも自宅でも(笑)使っています。皆さんがお書きになっている通り、ADは
Windowsドメイン配下での認証が実装でき非常にユーザも管理する側も便利です。認証の他にMicrosoft製品?の制御も
グループポリシーにより可能になります。特にIEに関してはローカル端末で設定できる事はほとんどグループポリシー
で一括制御できる程です。プロキシを導入しているのであれば、プロキシのスクリプトファイルやプロキシのアドレスを
自動制御するというのもできます。(ちなみに自宅でやってます)また、ADは標準で使用する他、拡張もでき柔軟性もあり
ます。(ExchangeServer2000等を導入するとADと直結になるので、スキーマ等が拡張されます。)名前の通り一つの
Directoryサービスですので当たり前と言えば当たり前ですが(笑)しかし、高機能になればなるほど機能を依存する部分が
でてきます。仕事で使用するなら、ADの冗長化や運用でバックアップ等の必然性は出てくる事は間違いありません。
実現したい事の検討とADで何ができるかの検討をよく検討してから設計に入ってください。それでは、また何かありましたら。


折を見て、Active Directoryへ移行しようと考えています。

No.15399 投稿時間:2004年03月29日(Mon) 23:09 投稿者名:gaku URL:

皆様ありがとうございました。

検討の結果、当分はWGで構築し、折を見てADへ移行しようと考えています。
というのも、私の職場では、PCがアレルギーと言う人がかなり見えますので、
ログオンスクリプト等でショートカット等できればよいと考えています。

しかし、あまりこちらが世話を焼きすぎると、各人のスキルが伸びませんね。
兼ね合いが難しいところです。


|目次|掲示板|過去ログ目次|▲頁先頭|