※Windows Server 2008以降、ADは代表的なAD DS(Active Directory ドメインサービス)以外にAD FS、AD RMS、AD LDS、AD CSの4つのサービスがあります。この記事は代表的なAD DSについての記事で、分かりやすくADと書いています。
ADで出来る事
ユーザー・アカウント情報の集中管理
ドメインコントローラーで集中管理しているため、管理が容易になるし、グループ化が可能。
ADに対応したサーバー、アプリを使用するとメールサーバーやDBサーバーとドメインのユーザーアカウントを紐づけられるので、さらに管理が容易になるし、ユーザーにとっても覚えなければならないユーザー名やパスワードが減らせる。
ユーザー属性情報の集中管理
ADのユーザーアカウント情報は、ユーザー名やパスワードのほかに氏名、住所、電話番号、所属部署など様々な情報を保持することができるため、企業においてAD情報を住所録として使用できる。このメリットは、特にMicrosoft Exchange Server のようなAD対応メールサーバーと組み合わせた場合に効いてくる。
資源情報の集中管理
共有フォルダや共有プリンタの情報を、場所やキーワードの情報と一緒にADに登録できるため、ユーザーが名前を正確に覚えてない共有資源を探す際にADの検索機能を利用できるため、サーバーを探し回らなくてよくなる。
アプリへの情報提供
LDAP又はADSIを使用することでアプリがADに格納された情報にアクセスできる。これにより、ユーザー情報一元管理とシングルサインオンが実現できる。
情報へのアクセスに対する管理
ADに登録されたユーザーにアクセス権を設定できる
クライアントPCの一元管理
グループポリシーを利用してクライアントPCの設定を集中管理できる。
ADの用語について
フォレスト
ADを構成する要素の中で最も上の階層に属する。1つのフォレストの中に複数のドメインが存在できる。
ドメイン
インターネットにおけるドメインと同じようにピリオドで区切られた複数の単語で構成される<例>syobute.local
ドメインコントローラー
ドメインを管理しているサーバー。目に見える範囲ではドメインコントローラーがドメインの実態になり、ディレクトリ情報を格納していて、ユーザーのログオン認証やディレクトリ検索などの要求を処理する。通常可用性を考えて2台以上用意する。
サブドメイン
親になるドメインの子ドメイン。ドメイン名はピリオドで区切って階層を一つ増やして「<サブドメイン名>.<親ドメイン名>」となる。
OU
ドメイン、サブドメインに作成されるオブジェクト。ただ、グループと異なり、共有資源のアクセス権限設定対象にはできない。
OUは単にオブジェクトを分類する器として使えるだけでなく、次のような使い方ができる。
・グループポリシーの適用単位区分
→OUごとに、ドメイン同様グループポリシー(GPO)を設定できる。OU内のオブジェクトは基本、OUに対するポリシー設定を継承するため、オブジェクトはOU間を移動するたびに移動先のOUのポリシー設定に変化する。
・管理権限の委任
→OUを単位にして、ドメイン管理者以外のユーザーに、ユーザーとグループの管理権限を委譲することができる。そのため、社員の入れ替わりが激しい部署のOUの権限を、部署の担当者に委任するというようなことができる。
・アクセス権設定の単位
AD上のオブジェクトにも、アクセス権を設定できる(オブジェクトの作成や変更、オブジェクトに設定された情報へのアクセス、オブジェクトの検索や表示といった機能に関わる権限などがある)。このアクセス権を設定する単位としてOUを使用できる。オブジェクトに個別にアクセス権を設定するよりもOUにアクセス権を設定したほうが管理が容易になる。
オブジェクト
ユーザーやコンピューターのアカウント、グループ、OUなど、ADに作成される各種情報の総称。
AD上のオブジェクトは、「<ドメイン名>/<オブジェクト名>」という形式で、重複しない完全修飾ドメインを持っている。ただ、管理ツールに表示されるのは、オブジェクトに設定された表示用の名称。
サイト
地域またはIPサブネットなど物理的な境界を表す。作成する最大の理由としては、ドメインコントローラー間での複製の設定。サイト内の場合、既定では15秒に一回ディレクトリ情報を複製する。そのため、地域間の回線にWANを使用していた場合、既定の間隔で複製するとWAN回線を圧迫する可能性がある。
ドメインコントローラーの地域ごとにサイトを作成すると、WAN回線の使用料が少ない夜間などに複製を行うよう設定できる。また、サイト間では既定では180分に一回ディレクトリ複製が行われる。また、サイト間ではディレクトリ情報が圧縮された状態で複製されるため、WAN回線の帯域幅を保護できる。
サイト間の論理的な回線をサイトリンクという。ディレクトリ複製を設定するには、サイトのほかにサイトリンクを作成する必要がある(サイトは場所を定義しているだけのオブジェクトであるため)。ADではサイトやサイトリンクもオブジェクトとして扱われる。
AD DS以外のサービス
Active Directory ライトウェイディレクトリサービス (AD LDS)
Active Directoryに対応しているアプリに対して、アプリ固有の情報を格納する場所を構築できる。AD DSと違い、ディレクトリサービスのみを提供するため、ドメインを構築する必要がない。
Active Directory 証明書サービス (AD CS)
公開鍵基盤(PKI)を構築するために、証明書の作成と管理を行う証明機関を作成するためのサービス。多くのアプリで使用出来る証明書を発行したり管理できる。
Active Directory Rights Managementサービス (AD RMS)
ユーザーの身元を確認し、使用が許可されたユーザーだけが、コピーや印刷などの操作を行えるという仕組みを提供する。使用許可に関する情報はデータに付属するため、機密データを移動した場合でも不正なユーザーが情報を入手できなくなる。
Active Directory フェデレーションサービス(AD FS)
Web シングルサインオン(SSO)とセキュリティ保護されたIDアクセスソリューションを構築できる。
参考文献
Actice Directory 導入と運用の基本 ひとめで分かる Active Directory Windows Server 2022版
