【Q&A】ADドメイン間のユーザー移行にCSVDEは使えません
この記事の内容
- ADドメイン間のユーザー移行にCSVDEコマンドを使おうとした際に発生するよくある誤解を解説します
- CSVDEが「使えない」理由と、何のためなら使えるかを整理します
- ドメイン移行で本当に重要なのはSIDヒストリーの引き継ぎであることを説明します
- ドメイン移行に適切なツール(ADMT)を紹介します
質問の内容
「ActiveDirectoryのユーザー移行について教えてください。Windows Server 2016環境にドメインのユーザーやグループを移行したいのですが、CSVDEコマンドを使ってインポートしようとするとエラーが発生します」
このような質問はよく寄せられます。まず結論からお伝えすると、ドメイン間のユーザー移行にCSVDEを使うのはそもそも適切ではありません。
CSVDEとは何か
CSVDEは、ActiveDirectoryのオブジェクト(ユーザー、グループなど)をCSV形式でエクスポート・インポートするためのコマンドラインツールです。
csvde -f export.csv -r "(objectClass=user)"
同じドメイン内で同名のユーザーを大量作成したい場合や、テスト環境で本番環境と同じ構成のユーザーを素早く用意したい場合には有効です。たとえば「テスト環境に本番と同じユーザーを作りたい」といったシナリオであれば、CSVDEは十分に活用できます。
ドメイン移行にCSVDEが使えない理由
ドメイン間のユーザー移行においてCSVDEが使えない最大の理由は、SIDヒストリー(SID History)を引き継げないからです。
Windowsのアクセス権限は、ユーザー名ではなくSID(セキュリティ識別子)に紐付いています。ドメインが変わると新しいSIDが割り当てられるため、たとえ同じユーザー名でアカウントを作り直しても、移行前にアクセスできていたリソース(ファイルサーバー、共有フォルダなど)へのアクセス権限は引き継がれません。
CSVDEはあくまでADオブジェクトの属性をCSVで出し入れするツールであり、SIDヒストリーをきちんと移送する仕組みは備わっていません。
つまり、「ユーザーを移行した」はずなのに「リソースにアクセスできない」という問題が発生します。これが、ドメイン移行にCSVDEが適さない本質的な理由です。
ドメイン移行に適切なツール:ADMT
ドメイン間のユーザー移行には、**ADMT(Active Directory Migration Tool)**を使用してください。
ADMTはMicrosoftが提供するドメイン移行専用ツールで、以下を適切に処理します。
- ユーザー、グループ、コンピューターオブジェクトの移行
- SIDヒストリーの引き継ぎ(移行後も旧ドメインのリソースにアクセス可能)
- パスワード移行(Password Export Server(PES)と組み合わせて使用)
SIDヒストリーが引き継がれることで、移行後のユーザーは移行前と同様にファイルサーバーや各種リソースにアクセスし続けることができます。これがドメイン移行における最も重要なポイントです。
まとめ
| 用途 | CSVDEの適否 |
|---|---|
| 同ドメイン内での一括ユーザー作成 | ✅ 使用可 |
| テスト環境への同名ユーザー作成 | ✅ 使用可 |
| ドメイン間のユーザー移行 | ❌ 使用不可 |
ドメイン間のユーザー移行は、単純に「同じ名前のアカウントを作り直す」作業ではありません。SIDヒストリーを含めたアクセス権限の完全な引き継ぎが不可欠です。
そのためには、CSVDEではなく**ADMT(Active Directory Migration Tool)**を正しく学んで使用することが重要です。移行プロジェクトを始める前に、ADMTの仕組みとSIDヒストリーの概念をしっかり理解しておくことをお勧めします。