展開プロジェクトの参加者を識別する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

Active Directory Domain Services (AD DS) の展開プロジェクトを確立する最初の手順は、Active Directory プロジェクト サイクルの設計フェーズと展開フェーズの管理を担当する設計チームおよび展開プロジェクト チームの設立です。 さらに、展開の完了後にディレクトリの所有と保守を担当する個人とグループを特定する必要があります。

プロジェクト固有のロールの定義

プロジェクト チームを設立するための重要な手順は、プロジェクト固有のロールを持つ個人を特定することです。 これには、エグゼクティブ スポンサー、プロジェクト アーキテクト、およびプロジェクト マネージャーが含まれます。 これらの個人は、Active Directory 展開プロジェクトの実行を担当します。

プロジェクト アーキテクトとプロジェクト マネージャーを指名した後、これらの個人は、組織全体のコミュニケーション チャネルを確立し、プロジェクトのスケジュールを作成し、さまざまな所有者をはじめとしてプロジェクト チームのメンバーになる個人を特定します。

エグゼクティブ スポンサー

AD DS などのインフラストラクチャの展開は組織に広範な影響を与える可能性があります。 このため、展開のビジネス価値を理解し、エグゼクティブ レベルでプロジェクトをサポートし、組織間の摩擦の解決を支援できるエグゼクティブ スポンサーを指名することが重要です。

プロジェクト アーキテクト

それぞれの Active Directory 展開プロジェクトでは、Active Directory の設計と展開の意思決定プロセスを管理するプロジェクト アーキテクトが必要です。 アーキテクトは、AD DS を設計および展開するプロセスを支援する技術的な専門知識を提供します。

注意

ディレクトリ設計を経験したことがある個人が組織に存在しない場合、Active Directory の設計および展開のエキスパートである外部コンサルタントを雇用する必要があります。

Active Directory のプロジェクト アーキテクトの責任は次のとおりです。

  • Active Directory 設計の所有

  • 主要な設計上の決定の根拠を理解して記録する

  • 設計が確実に組織のビジネス ニーズを満たすようにする

  • 設計チーム、展開チーム、運用チームの間で合意を確立する

  • AD DS 統合アプリケーションのニーズを理解する

最終的な Active Directory 設計は、ビジネス目標と技術的な決定の組み合わせを反映する必要があります。 そのため、プロジェクト アーキテクトは、ビジネス目標に合わせて設計上の決定を確認する必要があります。

プロジェクト マネージャー

プロジェクト マネージャーは、事業単位間およびテクノロジ管理グループ間の連携を促進します。 Active Directory 展開プロジェクト マネージャーは、IT グループの運用ポリシーと、AD DS の展開を準備しているグループの設計要件の両方に精通している組織内のユーザーが理想的です。 プロジェクト マネージャーは、設計から実装までの展開プロジェクト全体を監視し、プロジェクトがスケジュール通りかつ予算内で進行していることを確認します。 プロジェクト マネージャーの役割は次のとおりです。

  • スケジュール設定や予算作成などの基本的なプロジェクト計画の提供

  • Active Directory の設計と展開プロジェクトの進行

  • 適切な個人が設計プロセスの各パートに関与するようにする

  • Active Directory 展開プロジェクトの単一の連絡先としての役割

  • 設計チーム、展開チーム、運用チームの間のコミュニケーションの確立

  • 展開プロジェクト全体でエグゼクティブ スポンサーとのコミュニケーションを確立し、維持する

所有者と管理者の確立

Active Directory 展開プロジェクトでは、所有者である個人は、展開タスクが完了し、Active Directory の設計仕様が組織のニーズを満たすことができるように管理することによって説明責任を負います。 所有者は、ディレクトリ インフラストラクチャに直接アクセスしたり操作したりできる必要はありません。 管理者は、必要な展開タスクを完了する責任を負う個人です。 管理者は、ディレクトリとそのインフラストラクチャを操作するために必要なネットワーク アクセス権とアクセス許可を持っています。

所有者のロールは、戦略的および管理的です。 所有者は、フォレスト内での新しいドメイン コントローラーの作成など、Active Directory 設計の実装に必要なタスクを管理者に伝える責任があります。 管理者は、設計仕様に従ってネットワークに設計を実装する責任があります。

大規模な組織では、異なる個人が所有者と管理者のロールを分け合います。ただし、ある程度小規模な組織では、同じ個人が所有者と管理者の両方の役割を果たす場合もあります。

サービス所有者とデータ所有者

日々の AD DS の管理には、次の 2 種類の所有者が関与します。

  • Active Directory インフラストラクチャの計画と長期的なメンテナンスを担当し、ディレクトリが引き続き機能し、サービス レベル アグリーメントで確立された目標が維持されるようにするサービス所有者。
  • ディレクトリに格納されている情報のメンテナンスを担当するデータ所有者。 これには、ユーザー アカウントとコンピューター アカウントの管理およびメンバー サーバーやワークステーションなどのローカル リソースの管理が含まれます。

可能な限り多くの設計プロセスに参加できるよう、Active Directory サービスとデータ所有者を早期に特定することが重要です。 サービス所有者とデータ所有者は、展開プロジェクトの完了後にディレクトリの長期的なメンテナンスを担当します。このため、これらの個人は、組織のニーズに関する入力を提供し、特定の設計上の決定を行う方法と理由を理解することが重要です。 サービス所有者には、フォレスト所有者、Active Directory ドメイン ネーム システム (DNS) 所有者、およびサイト トポロジ所有者が含まれます。 データ所有者には、組織単位 (OU) の所有者が含まれます。

サービス管理者とデータ管理者

AD DS の操作には、サービス管理者とデータ管理者の 2 種類の管理者が関与します。 サービス管理者は、サービス所有者によって行われたポリシーの決定を実装し、ディレクトリ サービスとインフラストラクチャの維持に関連する毎日のタスクを処理します。 これには、ディレクトリ サービスをホストしているドメイン コントローラーの管理、AD DS に必要な DNS などの他のネットワーク サービスの管理、フォレスト全体の設定の構成の制御、ディレクトリを常に使用可能にするなどの他のネットワーク サービスが含まれます。

サービス管理者は、初期の Windows Server 2008 Active Directory 展開プロセスが完了した後に必要な、進行中の Active Directory 展開タスクを完了する責任も負います。 たとえば、ディレクトリに対する要求増加に応じて、サービス管理者は追加のドメイン コントローラーを作成し、必要に応じてドメイン間の信頼を確立または削除します。 このため、Active Directory 展開チームにはサービス管理者を含める必要があります。

組織内の信頼できる個人にのみサービス管理者ロールを割り当てるように注意する必要があります。 これらの個人はドメイン コントローラー上のシステム ファイルを変更することができるため、AD DS の動作を変更できます。 組織のサービス管理者が、ネットワーク上に配置されている運用ポリシーとセキュリティ ポリシーに精通し、それらのポリシーを適用する必要性を理解している個人である必要があります。

データ管理者は、ユーザー アカウントやグループ アカウントなど、AD DS に格納されているデータの管理と、ドメインのメンバーであるコンピューターの管理の両方を担当する、ドメイン内のユーザーです。 データ管理者は、ディレクトリ内のオブジェクトのサブセットを制御しますが、ディレクトリ サービスのインストールまたは構成は制御しません。

データ管理者アカウントは、既定では提供されません。 設計チームが組織のリソースを管理する方法を決定した後、ドメイン所有者はデータ管理者アカウントを作成し、管理者が担当するオブジェクトのセットに基づいて適切なアクセス許可を委任する必要があります。

組織内のサービス管理者の人数は、インフラストラクチャが継続的に機能するために必要な最小限の人数に制限することをお勧めします。 管理作業の大部分は、データ管理者が行います。 サービス管理者は、ディレクトリとそれをサポートするインフラストラクチャを維持する責任を負うので、より広範なスキル セットが必要です。 データ管理者は、ディレクトリの一部を管理するために必要なスキルのみを必要とします。 この方法で作業の割り当てを分割すると、ディレクトリ全体とそのインフラストラクチャを運用および維持するためにトレーニングを行う必要がある管理者が少数になるため、組織のコストを削減できます。

たとえば、サービス管理者は、フォレストにドメインを追加する方法を理解する必要があります。 これには、サーバーをドメイン コントローラーに変換するソフトウェアをインストールする方法と、ドメイン コントローラーを Active Directory 環境にシームレスにマージできるよう DNS 環境を操作する方法が含まれます。 データ管理者は、部門で新規に採用した従業員に新規ユーザー アカウントを作成するなど、担当する特定のデータを管理する方法を知っている必要があるだけです。

AD DS の展開には、ネットワーク インフラストラクチャの運用に関係する多くの異なるグループ間の調整と通信が必要です。 これらのグループは、設計および展開プロセス中にさまざまなグループを表す責任を負うサービス所有者およびデータ所有者を指名する必要があります。

展開プロジェクトが完了すると、これらのサービス所有者とデータ所有者は、グループによって管理されるインフラストラクチャの一部に対して引き続き責任を負います。 Active Directory 環境では、これらの所有者はフォレスト所有者、AD DS 所有者の DNS、サイト トポロジ所有者、および OU 所有者です。 これらのサービス所有者とデータ所有者のロールについては、次の各セクションで説明します。

フォレスト所有者

フォレスト所有者は、通常、Active Directory 展開プロセスを担当し、展開完了後にフォレスト内のサービス配信を維持する最終的な責任を負う、組織内の上級情報技術 (IT) マネージャーです。 フォレスト所有者は、ネットワーク インフラストラクチャと管理ニーズに関する必要な情報を提供できる組織内の主要な担当者を特定することで、他の所有権ロールを満たす個人を割り当てます。 フォレスト所有者は、次の責任を負います。

  • フォレストを作成するフォレスト ルート ドメインの展開

  • フォレストに必要なドメインを作成する各ドメインの最初のドメイン コントローラーの展開

  • フォレストのすべてのドメインのサービス管理者グループのメンバーシップ

  • フォレスト内のドメインごとに OU 構造の設計を作成する

  • OU 所有者への管理機関の委任

  • スキーマへの変更

  • フォレスト全体の構成設定の変更

  • 詳細なパスワードおよびアカウントのロックアウト ポリシーなどのドメイン ユーザー アカウント ポリシーを含む、特定のグループ ポリシー ポリシー設定の実装

  • ドメイン コントローラーに適用されるビジネス ポリシー設定

  • ドメイン レベルで適用されるその他のグループ ポリシー設定

フォレスト所有者には、フォレスト全体に対する権限があります。 グループ ポリシーとビジネス ポリシーを設定し、サービス管理者にするユーザーを選択するのは、フォレスト所有者の責任です。 フォレスト所有者は、サービス所有者です。

AD DS 所有者の DNS

AD DS 所有者の DNS は、既存の DNS インフラストラクチャと組織の既存の名前空間を十分に理解している個人です。

AD DS 所有者の DNS は、次のことを担当します。

  • 設計チームと、現在 DNS インフラストラクチャを所有している IT グループの間の仲介役

  • 新しい Active Directory 名前空間の作成に役立つ組織の既存の DNS 名前空間に関する情報を提供する

  • 展開チームと連携して、新しい DNS インフラストラクチャが設計チームの仕様に従って展開されていることと、それが適切に機能していることを確認する

  • DNS サーバー サービスと DNS データを含む AD DS インフラストラクチャの DNS の管理

AD DS 所有者の DNS はサービス所有者です。

サイト トポロジ所有者

サイト トポロジ所有者は、低速リンクによって接続されている個々のサブネット、ルーター、およびネットワーク領域のマッピングなど、組織のネットワークの物理的な構造に精通しています。 サイト トポロジ所有者は、次のことを担当します。

  • 物理ネットワーク トポロジとそれが AD DS にどのように影響するかについて理解する

  • Active Directory の展開がネットワークにどのように影響するかを理解する

  • 作成する必要がある Active Directory 論理サイトを決定する

  • サブネットの追加、変更、または削除時にドメイン コントローラーのサイト オブジェクトを更新する

  • サイト リンク、サイト リンク ブリッジ、および手動接続オブジェクトを作成する

サイトト ポロジ所有者はサービス所有者です。

OU 所有者

OU 所有者は、ディレクトリに格納されているデータの管理を担当します。 このユーザーは、ネットワークに配置されている運用ポリシーとセキュリティ ポリシーに精通している必要があります。 OU 所有者は、サービス管理者によって委任されたタスクだけを実行でき、割り当てられている OU でのみタスクを実行できます。 OU 所有者に割り当てられるタスクには、次のようなものがあります。

  • 割り当てられた OU 内のすべてのアカウント管理タスクを実行する

  • 割り当てられた OU のメンバーであるワークステーションとメンバー サーバーを管理する

  • 割り当てられた OU 内のローカル管理者に権限を委任する

OU 所有者は、データ所有者です。

プロジェクト チームの形成

Active Directory プロジェクト チームは、Active Directory の設計タスクと展開タスクを完了するための一時的なグループです。 Active Directory 展開プロジェクトが完了すると、所有者はディレクトリの責任を負うことになり、プロジェクト チームは解散できます。

プロジェクト チームの規模は、組織の規模によって異なります。 小規模な組織では、1 人がプロジェクト チームの責任の複数の領域に対応し、展開の複数のフェーズに関与できます。 大規模な組織では、さまざまな個人を含む大規模なチームや、さまざまな領域の責任を負うさまざまなチームが必要になる場合があります。 チームの規模は、すべての責任が割り当てられ、組織の設計目標が満たされている限り、重要ではありません。

潜在的なフォレスト所有者の識別

ネットワーク上のユーザーにディレクトリ サービスを提供するために必要なリソースを所有および制御する組織内のグループを識別します。 これらのグループは、潜在的なフォレスト所有者と見なされます。

AD DS でサービスとデータ管理を分離することにより、組織のインフラストラクチャ IT グループ (またはグループ) がディレクトリ サービスを管理できるようになります。また、各グループのローカル管理者は、自分のグループに属するデータを管理します。 潜在的なフォレスト所有者は、AD DS を展開およびサポートするために、ネットワーク インフラストラクチャ経由で必要な権限を持っています。

集中管理されたインフラストラクチャ IT グループを持つ組織では、その IT グループは通常、フォレスト所有者であり、したがって今後の展開では潜在的なフォレスト所有者です。 複数の独立したインフラストラクチャ IT グループを含む組織には、複数の潜在的なフォレスト所有者が存在します。 組織に既に Active Directory インフラストラクチャが配置されている場合、現在のフォレスト所有者は、新しい展開の潜在的なフォレスト所有者でもあります。

展開を検討している各フォレストのフォレスト所有者として機能する潜在的なフォレスト所有者の 1 人を選択します。 これらの潜在的なフォレスト所有者は、設計チームと協力し、フォレストを実際に展開するかどうか、または別のアクション (別の既存のフォレストへの参加など) が使用可能なリソースの有効活用であり、ニーズを満たすかどうかを判断します。 組織内のフォレスト所有者 (または所有者) は、Active Directory 設計チームのメンバーです。

設計チームの確立

Active Directory 設計チームは、Active Directory 論理構造設計に関する意思決定を下すために必要なすべての情報を収集します。

設計チームの責任には、次のようなものがあります。

  • 必要なフォレストとドメインの数と、フォレストとドメインの間の関係を決定する

  • データ所有者と連携して設計がセキュリティと管理の要件を満たしていることを確認する

  • 現在のネットワーク管理者と連携して、現在のネットワーク インフラストラクチャが設計をサポートしていること、およびネットワーク上に展開されている既存のアプリケーションに設計が悪影響を与えないことを確認する

  • 組織のセキュリティ グループの担当者と協力して、設計が確実に確立されたセキュリティ ポリシーを満たしていることを確認する

  • 適切なレベルの保護を許可し、データ所有者に権限を適切に委任する OU 構造の設計

  • 展開チームと連携してラボ環境で設計をテストして計画通りに機能することを確認し、発生した問題に対処するために必要に応じて設計を変更する

  • 使用可能な帯域幅の過負荷を回避しながら、フォレストのレプリケーション要件を満たすサイト トポロジ設計を作成する。 サイト トポロジの設計の詳細については、Windows Server 2008 AD DS のサイト トポロジの設計に関するページを参照してください。

  • 展開チームと連携して設計が正しく実装されていることを確認する

設計チームには、次のメンバーが含まれています。

  • 潜在的なフォレスト所有者

  • プロジェクト アーキテクト

  • プロジェクト マネージャー

  • ネットワーク上のセキュリティ ポリシーの確立と管理を担当する個人

論理構造の設計プロセス中に、設計チームは他の所有者を識別します。 これらの個人は、特定されるとすぐに設計プロセスへの参加を開始する必要があります。 展開プロジェクトが展開チームに渡された後、設計チームは、展開プロセスを監督して設計が正しく実装されていることを確認します。 また、設計チームは、テストのフィードバックに基づいて設計を変更します。

展開チームの確立

Active Directory 展開チームは、Active Directory 論理構造の設計をテストおよび実装する役割を担います。 この作業には、次のタスクが含まれます。

  • 実稼働環境を十分にエミュレートしたテスト環境を確立する

  • 提案されたフォレストとドメイン構造をラボ環境に実装して、各ロールの所有者の目標を満たしていることを確認することによって設計をテストする

  • 設計によって提案された移行シナリオをラボ環境で開発およびテストする

  • テスト プロセスで各所有者がサインオフして、正しい設計機能がテストされていることを確認する

  • パイロット環境で展開操作をテストする

設計タスクとテスト タスクが完了すると、展開チームは次のタスクを実行します。

  • Active Directory 論理構造の設計に従ってフォレストとドメインを作成します

  • サイト トポロジの設計に基づいて、必要に応じてサイトとサイト リンク オブジェクトを作成します

  • AD DS をサポートするように DNS インフラストラクチャが構成されていること、および新しい名前空間が組織の既存の名前空間に統合されていることを確認します

Active Directory 展開チームには、次のメンバーが含まれています。

  • フォレスト所有者

  • AD DS 所有者の DNS

  • サイト トポロジ所有者

  • OU 所有者

展開チームは、展開フェーズ中にサービス管理者とデータ管理者と連携して、運用チームのメンバーが新しい設計に習熟していることを確認します。 これにより、展開操作が完了したときに、所有権をスムーズに移行することができます。 展開プロセスが完了すると、新しい Active Directory 環境を維持する責任が運用チームに渡されます。

設計チームと展開チームの文書化

AD DS の設計と展開に参加するユーザーの名前と連絡先情報を文書化します。 設計チームと展開チームで、各ロールの責任者を特定します。 最初、この一覧には、潜在的なフォレスト所有者、プロジェクト マネージャー、およびプロジェクト アーキテクトが含まれます。 展開するフォレストの数を決定するときに、追加のフォレストに対して新しい設計チームを作成することが必要になる場合があります。 チーム メンバーシップの変更に合わせてドキュメントを更新する必要があることに注意してください。設計プロセス中にさまざまな Active Directory 所有者を識別するためです。 各フォレストの設計チームと展開チームのドキュメントを作成するのに役立つワークシートについては、Windows Server 2003 展開キットのジョブ エイドから Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip をダウンロードして、「設計および展開チームの情報」(DSSLOGI_1.doc) を開きます。