AD/WSUS/ファイルサーバ運用の悩みに答えます！

2020年2月28日

Active Directory（AD）、WSUS、ファイルサーバの運用。弊社セミナーでも毎回関心が高いこのテーマ。日々の運用にお困りの方が多いようです。よく聞くお悩みに、数多くの導入実績から得た実践的な解決策でお答えします。

ADクラウド化サービスガイドブックダウンロード（無料）

※この記事は、2019年12月3日に開催した「『クラウドファースト』で変わるAD/WSUS/FileServerの運用とそのクラウド化」（IIJ・ソフトクリエイト共催）での、株式会社ソフトクリエイト村松氏の講演をもとに構成しました。

目次

課題の多いAD/WSUS/ファイルサーバ運用
Active Directory運用のお悩み
WSUS運用のお悩み
ファイルサーバ運用のお悩み

課題の多いAD/WSUS/ファイルサーバ運用

ソフトクリエイトではこれまで、Active Directory（以下、AD）やWSUS、ファイルサーバの導入を数多く実施してきました。その中で、単純にシステムを導入するだけでなく、「使いこなすにはどうしたらよいか」という視点でお客様とディスカッションを重ね、より良い運用方法を検討してきました。このセッションでは、その中で得られた運用と使いこなしのエッセンスをご紹介します。

株式会社ソフトクリエイト事業戦略本部経営戦略部技師長村松氏

（資料DL）「ADクラウド化サービスガイドブック」を差し上げます。
ダウンロード（無料）

Active Directory運用のお悩み

最初はADについてのお悩みです。よく聞く運用上の課題を4つにまとめました。これらの課題をどのように解決すべきか、順にご紹介しましょう。

コマンドを利用してメンテナンスを効率化

まず、ADへのユーザー登録についてです。ほとんどの方はGUIからメンテしているかと思いますが、特に数が多いと大変です。そこでWindows Server 2012からは、PowerShellを利用した簡単なスクリプトで設定できるようになりました。コマンドラインに抵抗がある方も、よく使うコマンドをフォーマットとしてメモ帳などに保存しておくことで、コマンドを覚えなくても使えると思います。

例えば、たくさんのユーザーを追加する場合は、コマンドでADから現在の登録状態をCSVで取り出し、そのCSVをエクセルでメンテして、インポートする方法が便利です。

既存の状態を取り出すコマンドは次のとおりです。

PS >Get-ADUser KSasaki –properties *|export-csv template.csv –encoding default

これでCSVファイルが出力されます。そのままだと項目が多すぎて使いにくいので、不要な列は削除して、必要な列だけにするとメンテしやすいと思います。

エクセルでメンテしたら、またコマンドで設定を流し込むのですが、このままだとパスワードが追加されないという問題があります。ADの場合はパスワードがないとアカウントが有効にならないので、以下のコマンドでパスワードを設定します。

$password = convertto-SecureString -AsPlainText “Soft123″ –Force

これで初期パスワードを変数に設定します。その後、以下のコマンドで流し込む際の引数に＄passwordを設定します。

PS >Import-csv .\AddUsers.csv -encoding default |New-ADUser-AccountPassword $password -Enabled $true

次に、セキュリティグループにユーザーをまとめて追加する方法をご紹介します。組織変更などの際に利用することが多いと思います。

先程のようにCSVをインポートする方法もありますが、ユーザーを追加するだけなので、もっと簡単に実行する方法があります。

メモ帳で追加したいPCリストを作成します。
ドメインコントローラ上でPowerShellを管理者として開き、cdコマンドでPCリストのあるパスに移動します。
下記のコマンドを1行で実行します。

get-content “.\Users.txt” |Get-ADUser |Foreach-Object {Add-ADGroupMember -Identity “総務G” -Members $_.DistinguishedName }

※“.\Users.txt” と“総務G”はサンプルです

こんなイメージで簡単に追加できます。

その他、似たようなパターンとして、指定PCを特定のOUに移動する場合は以下のようなコマンドです。

get-content “.\移動PC.txt” |Get-ADComputer |Foreach-Object {Move-ADObject $_.DistinguishedName -TargetPath “OU=Clients,DC=xxxx,DC=co,DC=jp” }

※“.\移動PC.txt”はサンプルです

また、OSを識別して特定のOUに移動する場合はこうです。

Get-ADComputer -filter * -properties * |where-object{$_.OperatingSystem -eq “Windows 10 Pro”} |Foreach-Object {Move-ADObject $_.DistinguishedName -TargetPath “OU=Win10,DC=xxx,DC=co,DC=jp” }

※”Windows 10 Pro”はサンプルです。

このようなコマンドをナレッジとして保存しておき活用すると、効率化できミスも減ると思います。

グループポリシーの設定

次に、ADのグループポリシーについてです。グループポリシーは、設定する項目そのものより、「設定したポリシーをどのPCに適用するか」というコントロールが難しいのではないでしょうか。オブジェクトが所属できるOUが1ヵ所という仕様なので、部署や役職の視点など、いろいろな条件でグループポリシーを設定したいときにうまくできない、という声をよく聞きます。

ADにはこのようなケースに対応した機能があります。1つは「セキュリティによるフィルター」です。セキュリティグループを書くと、そのグループメンバーだけを対象にできます。例えば、OS単位で設定したり、役職単位で設定したりできます。

もう1つの便利な機能が「WMIフィルター」です。これは動的に条件を指定できる機能で、例えば、Windows 10のPCのみに適用したいポリシーがある場合など、対象が動的に変更するときに利用できます。

例えば、Windows 10だけにポリシーを適用したいときは、WMIフィルターに以下のような記述をします。

select * from Win32_OperatingSystem where Caption = “Microsoft Windows 10 Pro”

これでWindows 10という動的な条件でフィルタ設定ができます。

パスワードポリシー

パスワードポリシーは1つのドメインに1つしか設定できないので、運用に困るという悩みもよく聞きます。例えば、会社全体で1つのパスワードポリシーではなく、アルバイト、社員、セキュリティ管理者とでパスワードポリシーを変えたい、いうケースです。
Windows Server 2008以降では、こうした悩みに対応するべく「細かなパスワードポリシー」という機能が実装されました。この機能で、OUではなくグループやユーザーにポリシーを設定できます。

（資料DL）「ADクラウド化サービスガイドブック」を差し上げます。
ダウンロード（無料）

WSUS運用のお悩み

2つ目は、WSUSについてです。WSUSはWindows 10が登場してから、特に注目されていると思います。というのもWindows 10はパッチ管理が大変で、Microsoftからパッチや新しいバージョンがリリースされた際、各PCからWindows updateに接続が行われて、ネットワークの負荷が上がってしまうケースがあります。これを解消するために、WSUSのニーズが非常に高まっています。

Windows 10の更新管理について

まずは更新管理のポイントを整理しましょう。Windows 10が登場する以前のOSは、「更新プログラム」というファイルに機能更新もセキュリティパッチもまとめて準備されるだけでした。Windows 10からはバージョンアップである「機能更新プログラム（FU）」、セキュリティパッチである「品質更新プログラム（QU）」という2つに区別されることになりました。

更新プログラムの運用ポイントは、配信時には必ず数台でテストをしてから全体に配信する、ということです。特に機能更新の場合、そのアップデートにアンチウイルスソフトやハードディスク暗号化ソフトなどが対応していなかったりすると、最悪はOSが起動しなくなる事態も考えられます。従って事前テストは必須です。

また、OSのバージョンは極力そろえたほうが管理しやすいです。
「パッチ」と一言でいっても、バージョンごとにモジュールが違っているので、配信対象のOSの種類が多いほど、そのモジュールが多くなり、管理が煩雑になります。特に古いバージョンになるほど更新のファイルサイズも大きくなってしまうので、ネットワークの負荷が高まります。

ここでWSUSについておさらいしましょう。WSUSがあると、WSUSサーバから管理者の承認に基づいて各クライアントPCに更新ファイルを配信できます。これで各クライアントから直接Windowsアップデートファイルを取得に行くことを防げますので、インターネットにアクセスするネットワークの負荷を下げられます。

また、配信する際にクライアントを特定のグループに分ける機能があります。これにより、例えば、数台のPCをテストグループに設定し、事前にそのグループのみに配信してテストする、などの運用が可能になります。各クライアントへの配信状況を確認できるレポート機能もあります。

さらに、Windows 10の更新管理で特に重要なのが「配信の最適化」機能です。

WSUSで更新ファイルを配信する際、クライアントPCはまずWSUSサーバに接続し、必要な更新ファイルの有無を確認します。その後、クライアントPCはいきなりWSUSサーバに更新ファイルを取得にはいかず、「配信の最適化サーバ」というMSのサイトのサーバに接続し、このサーバから自分に必要な更新ファイルを取りに行く先のリコメンドを受けます。例えば、自分の近くのクライアントPCが必要な更新ファイルを持っている場合、WSUSサーバではなくそのPCに取得にいくので、WSUSへのネットワーク負荷を下げられます。

ただし、デフォルトの設定では、その検索範囲が「同一グローバルアドレス配下内」となっているので、拠点をまたいで更新ファイルをやり取りしてしまう可能性があります。そのため昨年から、同一サブネット内のみで共有する機能が追加されました。これで拠点間ネットワークの負荷上昇を防げるようになりました。

これらの機能を踏まえて、グループを分けて配信する例を紹介します。まずテストグループを作成し、そこに配信し、動作テストを行います。テストが問題ない場合、先行グループという各拠点の数台を含めたグループを作成し、そこに配信します。こうすることで、それ以降は先行グループのPCから拠点内のPCへ配信できるため、ネットワーク負荷を最小限に抑えつつ、更新ファイルを配信できます。