「Active Directory を使いたいけど、もう別のディレクトリサービスがあるしぃ～」

そんな皆様向けのシリーズ記事第1弾が、Computerworld.jp で公開されました。

OpenLDAP から Active Directory へ移行せよ
http://www.computerworld.jp/topics/mws/172309.html

執筆は、MVPの メディアフォース 澤田さんです。澤田さんの社内での移行事例を基に執筆された記事だそうで、続きが楽しみで仕方ありません。

青春の Windows Server World 無き今、こうした記事が読めるなんて幸せです。

PowerPivot のだいご味の1つは、利用者自身がデータベースに接続して分析を行える点にありますから、利用者に公開したいデータベースにはアクセス権を設定しておかなければなりません

多くのインフラ担当のSEにとって「SQL Server のセキュリティ」というのは鬼門となっており、実は「適当に」設定してあるシステムは少なくありません。

そんな状況で、一般ユーザー権限で EXCEL 2010 ベータ版の PowerPivot を使用し、SQL Serverに接続する場合を考えてみます。

[データベースインポートウィザード]に SQL Server のサーバー名（ここでは SQL01）を入力して[接続テスト]ボタンをクリックすると、環境によってはエラーが出ると思います。

原因は３つ考えられます。

• SQL Server がインストールされているサーバーの ファイアウォール設定によりポートが閉じられている
  → [セキュリティが強化されたWindows ファイアウォールの設定]を見直してください
• SQL Server に接続しようとしているプロトコルが許可されていない
  → SQL Server 構成マネージャーを見直してください。
  
• ユーザーにSQL Serverにアクセスするための権限が無い 

今回は、３つ目の原因である「ユーザーにSQL Serverにアクセスするための権限が無い」場合の対処法について考えてみます。

以前にもご紹介しましたが、SQL Server 2008 自習書シリーズの1つ「セキュリティ」および「ログイン認証とオブジェクト権限」は、SQL Serverのセキュリティに関し、とても詳しくそしてわかりやすく解説してくれています（例によってSQLQualityの松本さんありがとうございます！！！）。

SQL Server 2008 自習書シリーズ http://technet.microsoft.com/ja-jp/sqlserver/dd610200.aspx

これはわかりやすい！！PowerPivot を展開する予定があるなら必読です！

ここでは、ドメインユーザーである junichia に対して Northwind データベースおよび配下のテーブルへの「参照」が可能になるようにアクセス権を設定していきます。

自習書にならい、3つのチェックポイントを意識して設定してみます。

なお、この例で使用している SQL Server のバージョンは、2008 R2 です。

【第1のチェックポイント：SQL Serverへの接続を可能にする】

セキュリティの設定を何もいじっていない状態で、「接続テスト」を行うと、以下のエラーが表示されるはずです。

サーバーに接続できませんでした。理由：ユーザーはログインできませんでした。

この場合は以下の対処を行います。

• SQL Server Management Studio を起動し、[セキュリティ]-[ログイン]を展開
• [ログイン]を右クリックして[New Login] を選択
• [ログイン - 新規作成] 画面で、[ログイン名]にドメインユーザーである「junichia」を、[既定のデータベース]に「NorthwindJ」を指定する
• [OK]をクリック
  

ここまで完了すると、SQL Serverへの接続が可能になります。PowerPivotの接続画面で再度接続にトライしてみてください。今度はサーバーには接続できるものの、以下のようなエラーが出力されます。

サーバーに接続できませんでした。理由：ユーザーの規定のデータベースは開けません。ログインに失敗しました。

自習書にも記載されているように、「第１のチェック」だけではデータベースに接続することはできないためです。

【第２のチェックポイント：データベースへの接続】

次に、junichia に対して、NorthwindJ データベースへの接続を許可します。

SQL Server Management Studio で、junichia のプロパティを開き、[ユーザーマッピング] を選択してください。

ここで、データベースの一覧から「NorthwindJ」をチェックして[OK]をクリックします。

この状態で、再度「接続テスト」をしてみてください。以下のように正しく接続できるはずです。

しかし、ウィザードを進めて、いざテーブルの一覧を取得しようとすると、以下のようにまたエラーが発生します。これはオブジェクトの操作権限が無いためです。そこで「第3のチェックポイント]に進みます。

No Tables ware found in the data source.

【第３のチェックポイント：オブジェクトの操作権限】

• SQL Server Management Studio の[データベース]ノードを開き、[NorthwindJ] を右クリックして[プロパティ]を選択する
  
• [データベースのプロパティ]画面で[権限]を選択し、「TECHFIELDERS\junichia」の明示的な権限一覧で「選択」にチェックする。「接続」にはすでにチェックされている。
  

以上で完了です。

テーブル一覧には、以下のように NorthwindJ データベース内のテーブル一覧が表示され、各テーブルに対して select 文が発行できるため、PowerPivot内へのデータのインポートが可能になります。

 

今回はデータベース全体に対して「選択」権限を与えましたが、もちろんテーブル単位に設定することも可能です。

今後 PowerPivot を展開して「セルフサービスBI」を社内に展開しようとされている管理者の皆さん。SQL Serverのセキュリティの理解は必須です。

がんばりましょう。私も、苦手なSQL Serverですが、がんばります。

2010年1月29日に以下のセミナーを予定しております。ライブ中継もしますので、遠地の方はインターネット経由でご参加ください。あ、それからLT（ライトニングトーク）も募集中です（締切過ぎてますが、なんとかします）！

PowerPivot for EXCEL 2010 とは、EXCEL 2010 上から複数のデータベースに同時に接続してAnalysys機能を使用するもので、EXCEL 2010 のアドインとして提供されています。この機能により、EXCELの限界である100万件以上のデータをEXCEL上に取込み、インメモリで高速に分析することができるようになります。

PowerPivot for EXCEL 2010 を使用するには、事前に以下のコンポーネントをダウンロードしてインストールしておく必要があります。

■クライアントにインストールするコンポーネント

• Office 2010 ベータ版
  http://technet.microsoft.com/ja-jp/evalcenter/ee390818.aspx
• SQL Server 2008 R2 PowerPivot for EXCEL CTP 11月版
  http://www.microsoft.com/downloads/details.aspx?FamilyId=48a5b47b-8c9c-450f-ab6e-178600a733ca&displaylang=ja
• PowerPivot for EXCEL 2010 RTM
  ダウンロードの詳細 : Microsoft® SQL Server® 2008 R2 PowerPivot for Microsoft® Excel - RTM
  ※「64ビット版」と「32ビット版」のダウンロード用リンクがあります

クライアントに上記がインストールされていると、EXCEL 2010 の起動時に PowerPivot アドインが読み込まれます。

ただ、タイトルにあるように、セットアップ環境によっては PowerPivot for EXCEL のアドインが正常にインストールされない場合があります。その場合には手動でのインストールを試みてください。

■アドインを手動でインストールする手順

1. EXCEL 2010を起動
2. [ファイル]メニューから[オプション]を選択
3. [EXCELのオプション]ダイアログボックスの左側のメニューから[アドイン]を選択
4. 画面の一番下にある[管理]で[COMアドイン]を選択し、[設定]ボタンをクリック
   
5. COMアドイン画面で[Microsoft.AnalisysServices.Modeler.FieldList.Addin.Integration]を選択し、[OK]
   

以上でEXCELの起動時に、以下のように表示されてアドインがインストールされるはずです。

インストールが完了すると、以下のようPowerPivotタブが表示されます。

この作業を行っても PowerPivotが見えない場合には、以下の点をチェックしてください。

• Windows XPの場合にはSP3をインストール
• Office 共有コンポーネントをインストールする
  EXCELのみインストールして、共有コンポーネントをインストールしていない場合には、いったんPowerPivotとOffice 2010 をアンインストール後、再度 「Office 2010 & 共有コンポーネント」とPowerPivotのインストールを行ってください。私も、この手順でPowerPivotが使えるようになりました。
  （参考サイト）Office 14 Beta 2 / PowerPivot for Excel CTP3 - You must install "Office Shared Features"

PowerPivot の最新情報について、以下のサイト（英語）も参考にしてください！

• Microsoft PowerPivot http://www.powerpivot.com/
  
• Twitter http://twitter.com/powerpivot
• PowerPivot-Info.com http://powerpivot-info.com/

気が付けば1月も半ばになりました。早いですね。

さて、ご好評をいただいております Active Directory TechCenter に、ブロガーズページがオープンしました。

Click!

このページには、Active Directory や、Identity Lifecycle Manager/Forefront Identity Manager に関する投稿をしてくださる方を掲載しております。

現時点で、Microsoft社外の方は2010年1月18日時点で 2名 登録されています。

「自分も！」と掲載を希望される方は こちら から以下の情報をお送りください。

• お名前（ニックネームでも可）
• メールアドレス
• BLOG の URL
• BLOG の名称
• フィードしたいタグ（基本的に ActiveDirecctory / AD / FIM / ILM のいずれかですが、その他希望がございましたらご記入ください）

掲載の順番は、基本的にご連絡をいただいた順となります。

なお、以下の点をご了承いただけると幸いです。

• 定期的な更新（月に1回程度）が無い場合には一時的に掲載を解除させていただくことがあります
• 「クラッキング」や「こきおろし」的な情報である場合には掲載をご遠慮いただくく場合があります
  ただし、「辛口」を拒否するものではありません！！

有名ブロガーを目指しましょう！

システムに複数のディレクトリ サービスが存在している場合、皆さんはどのような方法でサービス間の整合性を取りますか?

現在のID同期プロセス

有史以来、管理者を悩ませ続けている ID 管理の負荷。中でも複数システムの ID 同期ほど負荷の高い作業はありません。実はマイクロソフトにも ID 同期を実現するソフトウェアがあることをご存知でしょうか? その名も「Identity Lifecycle Manager (ILM) 2007」です。その後継製品として 2010 年Q1にリリースを予定されているのが、「Forefront Identity Manager (FIM/フィム) 2010」 です。

• FIM 2010 製品サイト http://www.microsoft.com/japan/forefront/identitymanager/default.mspx
• FIM 2010 技術サイト http://technet.microsoft.com/ja-jp/ilm/default.aspx

FIM/ILM がハブとなってIDを同期する

ただし誤解しないでください！

FIM 2010 は単に「ユーザーID を同期」するためだけのものではありません。新たに実装された「ワークフロー機能」「セルフ・グループ管理機能」「セルフ・パスワードリセット 機能」は、Active Directory 単体の運用においても自動化の特効薬となるのです。では、これらの新機能について具体的にお話しましょう

■ コードレス＝開発不要 な ワークフロー機能

マイクロソフトのID管理製品にも、やっとワークフローが実装されることになりました。しかしただのワークフローではありません。なんと「コードレス」なのです。FIM 2010 が用意している「部品」を使っていただければ、ワークフローのためのコーディングは必要なく、インフラ担当SEまたはお客様が自らワークフローを実装することができるのです！

たとえば、単純な例ですが、Active Directory に新たにユーザーを作成する場合を考えましょう。

通常は、管理者が人事部からユーザーリストを受け取り、それにしたがってバッチファイル等で作成することになるでしょう。ただし、「ITによる内部統制」という観点で考えれば、ユーザーID 作成にあたって、どのような承認を経たかを示す履歴を管理しておきたいところです。そこで必要になるのがワークフローです。

FIM 2010 では、Active Directory をはじめとするディレクトリサービスに変更を加える際のプロセスを、ワークフローとして定義することができます。その際、コーディングによって実装するのではなく、あらかじめ用意された部品を組み合わせてビジネスロジックを組み上げることができます。操作はブラウザから行います。

 
※RC版の画面例

 
※RC版の画面例

もちろん、「一切のワークフローの開発をコードレスで」ということではありません。少なくとも、簡単なワークフローを新たに実装する場合や、既に開発が完了しているワークフローの一部のプロセスをちょっとだけ変更する、といった場合に十分使っていただけます（使いこむと、GUIだけでかなり複雑な処理を実装することができます！）。

承認処理は FIM 2010 のポータル画面から行うことも可能ですし、OUTLOOKから行うこともできます。

RC版の画面です

既に OUTLOOK をお使いの方はご存じの通り、OUTLOOKには「メールの受信者にアンケートを依頼し、回答結果を自動集計する」などのテンプレートが用意されています。

FIM 2010 も OUTLOOK 用のレンプレートを用意しており、各種の承認依頼をメールで受信し、OUTLOOK 上から直接 承認/拒否 を行うことができます。

  
※RC 版の画面です

まとめ

• Active Directory のユーザー管理に FIM 2010 を活用することで、IDの作成やロック解除、グループ参加等のためのワークフローを作成し、社内プロセスの履歴管理が行える
• FIM 2010 のワークフローは、コードレスで組み上げることができるため実装完了までの時間を短縮できるだけでなく、プロトタイプを容易に作り上げることができる
• OUTLOOK と併用することで、承認処理を電子メールを介して行うことができる

■セルフ グループ管理機能

ここで言うグループとは、Active Directory 上の「セキュリティグループ」または「配布グループ」を指しています。

管理者にとって面倒な作業の1つとして挙げられるのは「グループのメンバーシップ」管理でしょう。グループのメンバーシップを変更する代表的なシチュエーションとして、以下が挙げられます。

• 人事異動による一括変更
• 部門内ファイルサーバーのアクセス権の変更
• メーリングリストのメンバーシップの変更
• アプリケーションの利用権限の変更

前出のワークフローを使用すれば、人事異動によってActive Directoryに登録されている部署名が変更された場合、自動的に旧グループのメンバーシップを削除し、新しい部門のグループに所属するようなプロセスを組み上げることができます。承認処理を「自動承認」に設定しておけば、人事異動に伴う承認を自動化することもできます。

しかし、ここでいう「セルフ・グループ管理」とは、人事異動のような定例イベント以外でのグループ管理、すなわち上記4つのシチュエーションのうち後者3つを指しています。

部門内ファイルサーバーのアクセス権を変更したり、メーリングリストのメンバーシップを変更する、そしてアプリケーションサーバーへの利用権限を与える..といった作業は、サミダレ式に発生します。そのため、忙しいシステム管理者だけでなく、設定を依頼した当人にもストレスが加わりがちです。そこで使えるのが「セルフ・グループ管理機能」です。

たとえば部門内ファイルサーバーにアクセス権を与える場合のプロセスを考えてみましょう。およそ以下のような流れになるはずです。

1. 利用者が利用申請をする（紙に書く or メール）
2. ファイルサーバーのオーナー（内部統制上の承認者）が承認する
3. 管理者がファイルサーバーにアクセス権を与える（グループに申請者のIDを加える）

これ、無駄だと思いませんか？特に3番目の処理。オーナーが承認したら、即座にメンバーシップに加えられたほうが、管理者の負荷も低くなりますし、申請者の待ち時間も短くなります。

かといって、オーナーがファイルサーバーのアクセス権変更を直接行う…なんてことになったら、あまりITに明るくない「部長」や「課長」といった管理職の方が作業しなければならず、そのたびに「詳しい人」が呼ばれて作業する…なんてことになりかねません。

そんな負荷を軽減してくれるのが、前出のワークフローです。

たとえば、ワークフローにより、以下のようなプロセスが実現できます。

1. 利用者は OUTLOOK を使用してグループへの参加依頼をする
     ※RC版の画面です
2. 参加依頼はグループのオーナー（＝ファイルサーバーのオーナー）にメールされる
3. オーナーは OUTLOOK を使用して「承認/拒否」する
   

いかがでしょう？誰にも「面倒な作業」や「テクニカルなスキルを必要とする作業」が要求されないことがわかりますし、管理者にも全く負荷がかかっていません。

ここでは OUTLOOK を使用していますが、OUTLOOKが無い場合でもFIM 2010のポータル画面から申請/承認することができます。

同じように、メーリングリストのメンバーを配布グループによって管理している場合や、App-V（マイクロソフトの仮想アプリケーション配信サーバー）といったアプリケーションサーバーの利用権限も同様に行えます。

ちなみに、このような機能は既にマイクロソフト社内にも導入されており、「AutoGroup」という名称で愛用されています。

まとめ

• セルフグループ管理機能により、管理者の作業が軽減されるだけでなく、利用者のニーズに対して柔軟にかつ迅速に対応することができる
• メンバーシップの変更に関するプロセスは FIM 2010 のワークフローを通過するため、アクセス権限付与等の履歴も残される

■セルフ・パスワードリセット 機能

これについては説明の必要はないかもしれません。俗にいう「秘密の質問」機能です。

これまで、Active Directoryに登録したユーザーのパスワードを忘れてしまった場合には、システム管理者にリセットを依頼する必要がありました。この作業は、管理者にとってストレスとなるだけでなく、利用者にとっても「業務が使えない！」「ログオンできない！」といったストレスになります。学校ならば、少数の学生がログオンできないために、授業を停止して情報センターにリセットを依頼する…なんてことが起きていたのではないでしょうか。

このようなストレスをすこしでも緩和するために用意されたのが、パスワードのセルフリセット機能です。

FIM 2010とともに提供されるエージェントを事前にインストール（グループポリシーを使用して配布することも可能）しておくと、利用者がはじめてログオンしたときに「秘密の質問」に答えるよう、特別な画面が表示されます。

「秘密の質問」は FIM 2010 のワークフローによって制御されており、「どのような質問をするか」「いくつ質問するか」「いくつ回答しなければならないか」等の項目が管理されています。

秘密の質問に対する回答を保存しておき、Windowsのログオン画面で「パスワードのリセット」をクリックすると、秘密の質問が表示されます。

  

秘密の質問は、用意されている質問からランダムに表示することも可能ですし、決まった質問を表示することもできます。もちろん回答しなければならない質問数を指定することもできます。

質問に正しく回答できれば、新しいパスワードを設定する画面が表示されるので、自分自身でパスワードをリセットすることができます。

まとめ

• パスワードのセルフリセット機能により、パスワードを忘却した利用者が自らパスワードのリセットを行うことができる
• FIM 2010の同期機能と併用すれば、他のディレクトリサービスへの同期も自動的に行われる

いかがでしょう。Active Directory 単体の運用であっても、FIM 2010 を使用することで、より高度な、より柔軟な、より迅速な運用ができそうな気がしませんか？是非とも OUTLOOK と併用いただき、面倒な承認/申請処理の負荷を軽減してください！

ここでご紹介したいずれの機能も、単に「負荷を軽減する」「コストを削減する」ことだけを目的としているわけではありません。FIM 2010 によって、Active Directoryによるセキュリティに守られた状態を維持しつつ「IT利用者のビジネス活動を停滞させない」柔軟な仕組みを作り上げることができるのです。

FIM 2010 を含む Forefront ブランド製品共通の合言葉は、Business Ready Security（ビジネスで使えるセキュリティ）です。セキュリティにより、管理者にも利用者にも、そして経営層にもメリットのある IT を目指していきましょう！

マイクロソフトのセキュリティ製品群 – Forefront  http://www.microsoft.com/japan/forefront/default.mspx