Active Directory (アクティブディレクトリ) とはマイクロソフト によって開発 かいはつ されたオンプレミス におけるディレクトリ・サービス ・システムであり、Windows 2000 Server から導入 どうにゅう された、ユーザとコンピュータリソースを管理 かんり するコンポーネント群 ぐん の総称 そうしょう である。なお、クラウドコンピューティング におけるディレクトリ・サービス・システムであるAzure Active Directory と区別 くべつ する場合 ばあい 、オンプレミス Active Directory と表記 ひょうき することもある[ 1] [ 2] 。
Microsoft Windows 95 発売 はつばい 後 ご 、Windows はグラフィカルユーザインタフェース (GUI) で操作 そうさ できる利便 りべん 性 せい からクライアント 用 よう オペレーティングシステム (OS) として急速 きゅうそく に普及 ふきゅう した。標準 ひょうじゅん でネットワーク 機能 きのう を有 ゆう していたことから、主 おも に企業 きぎょう や大学 だいがく などでPCのネットワーク化 か が促進 そくしん されたが、ユーザ管理 かんり やアクセス制御 せいぎょ 機能 きのう が貧弱 ひんじゃく で、ネットワークの規模 きぼ が拡大 かくだい するにつれて管理 かんり 上 じょう の弱点 じゃくてん となっていった。
これに対 たい してWindows NT では、クライアントPC単体 たんたい でユーザ管理 かんり およびアクセス制御 せいぎょ 機能 きのう を搭載 とうさい しており、さらにWindows NTサーバを中心 ちゅうしん とするNTドメイン を構築 こうちく することで、ユーザーおよびパーソナルコンピュータ (PC) のユーザアカウント をドメインコントローラ (Domain controller、以下 いか DC ) で集中 しゅうちゅう 管理 かんり できるようになった。
やがてNTサーバが大 だい 規模 きぼ ネットワークでも利用 りよう されるようになると、NTドメインの短所 たんしょ が指摘 してき されるようになった。
ドメイン間 あいだ の階層 かいそう 構造 こうぞう がとれない
PC名 めい (NetBIOS コンピュータ名 めい ) の名前 なまえ 空間 くうかん が単一 たんいつ であるため、別 べつ NTドメインであっても同名 どうめい のPCが同 どう 一 いち ネットワーク上 じょう に存在 そんざい できない
基本 きほん 的 てき にLAN 内 うち で構築 こうちく することが前提 ぜんてい のシステムであり、WAN のような狭 せま 帯域 たいいき の回線 かいせん が存在 そんざい すると、ログオン 認証 にんしょう パケット の不 ふ 達 たち や遅延 ちえん によるアクセス不能 ふのう 問題 もんだい を起 お こしやすい。
Security Account Manager (SAM) データベース の最大 さいだい 容量 ようりょう が40MBと少 すく なく、ユーザーアカウントやコンピュータアカウントを4万 まん 件 けん 程度 ていど しか登録 とうろく することが出来 でき ない。
などである。
これらの問題 もんだい を解決 かいけつ し、NTドメインのユーザーおよびコンピュータ管理 かんり 機能 きのう を継承 けいしょう しつつ、大 だい 規模 きぼ ネットワークでも利用 りよう できるように大幅 おおはば に改良 かいりょう したのがActive Directory (以下 いか AD ) である。
ADでは、上記 じょうき の欠点 けってん を改善 かいぜん したほか、以下 いか のような特徴 とくちょう を持 も つ。
DNS やケルベロス認証 にんしょう システム、LDAP の導入 どうにゅう など、いわゆる「インターネット 系 けい のオープン技術 ぎじゅつ 」が大幅 おおはば に取 と り入 い れられている。
DNSやDCにおいて、複数 ふくすう のマスタサーバが存在 そんざい する「マルチマスタシステム」が取 と り入 い れられている。
半面 はんめん 、ADを構築 こうちく するにはDNSサーバの設置 せっち やゾーン 情報 じょうほう の編集 へんしゅう が必須 ひっす となるなど、設計 せっけい 、構築 こうちく 、運用 うんよう 、保守 ほしゅ の全 すべ てにおいて必要 ひつよう なスキル水準 すいじゅん が上昇 じょうしょう した。したがって、ファイルとプリンタの共有 きょうゆう ができれば十分 じゅうぶん であり、システムをリプレースするメリットはないと判断 はんだん して導入 どうにゅう を見送 みおく ったユーザーも多 おお かった。
Active Directoryの構成 こうせい 要素 ようそ と概念 がいねん [ 編集 へんしゅう ]
出版 しゅっぱん 企業 きぎょう の内部 ないぶ ネットワークを単純 たんじゅん 化 か した一 いち 例 れい 。企業 きぎょう は4つのグループを持 も ち、ネットワーク上 じょう の3つの共有 きょうゆう フォルダーに対 たい してそれぞれアクセス許可 きょか が与 あた えられている。
ADドメインとは、Windows 2000 Server以降 いこう のWindows Server DCで構成 こうせい される、ユーザーとコンピュータの管理 かんり 単位 たんい である[ 3] 。
DCはADをインプリメントした実体 じったい であり、ディレクトリデータベースにPCやユーザー、グループなどのアカウント を登録 とうろく することにより、ユーザーやコンピュータの権利 けんり と権限 けんげん の集中 しゅうちゅう 管理 かんり を可能 かのう とする。また、「グループポリシー 」機能 きのう によってPCやユーザーの環境 かんきょう を制御 せいぎょ できる。
ADドメインに登録 とうろく されたユーザは「Domain Users」など何 なん らかのセキュリティグループに所属 しょぞく しており、通常 つうじょう は管理 かんり を簡略 かんりゃく 化 か するためグループ単位 たんい でセキュリティを設定 せってい する。セキュリティグループには、適用 てきよう 範囲 はんい の狭 せま い順 じゅん に「ビルトインローカル」「ドメインローカル」「グローバル」「ユニバーサル」の4種類 しゅるい があり、異 こと なる種類 しゅるい のグループを別 べつ のグループに所属 しょぞく させる“入 い れ子 こ ”も可能 かのう である。
ADドメインの主要 しゅよう な機能 きのう である、ユーザー認証 にんしょう とグループポリシーの適用 てきよう を管理 かんり する機能 きのう を持 も たされた特別 とくべつ なサーバがDCである。DCはクライアントPCから常 つね に参照 さんしょう 可能 かのう でなければならないため、IPアドレス を固定 こてい で割 わ り当 あ てる必要 ひつよう がある。ADドメインのドメイン階層 かいそう 構造 こうぞう はDNS の名前 なまえ 階層 かいそう 構造 こうぞう をLANに応用 おうよう したものであり、コンピュータ間 あいだ の名前 なまえ 解決 かいけつ にはDNSサーバ が必須 ひっす である。
基本 きほん 的 てき に1つのフォレストに1台 だい のDNSサーバがあればサブドメインを含 ふく めて統一 とういつ 管理 かんり できるので、必 かなら ずしもADのサブドメインにDNSサーバを設置 せっち しなくてもよい。ただし1台 だい だけではサービス効率 こうりつ と耐 たい 障害 しょうがい 性 せい が劣 おと るため、通常 つうじょう は複数 ふくすう 台 だい 設置 せっち する。
ディレクトリデータベースはDC間 あいだ で「マルチマスタレプリケーション」が行 おこな われており、ユーザアカウントの登録 とうろく などディレクトリデータベースへの変更 へんこう 操作 そうさ は、基本 きほん 的 てき にすべてのDCで可能 かのう である。ただし、Windows Server 2008の「読 よ み取 と り専用 せんよう DC」においてはこの限 かぎ りではない。ちなみにNTドメインではSAMの“原本 げんぽん ”を扱 あつか うプライマリDCがただ1台 だい あり、必要 ひつよう に応 おう じてバックアップDCを追加 ついか する。ユーザアカウントの登録 とうろく などは常 つね にプライマリDCが行 おこな い、バックアップDCは複製 ふくせい されたSAMを参照 さんしょう してユーザー認証 にんしょう を行 おこな う。
フォレストの階層 かいそう 構造 こうぞう の変更 へんこう や、オブジェクトの元 もと となるスキーマの編集 へんしゅう 、相対 そうたい IDの発行 はっこう などは、ドメインまたはフォレストごとに1台 だい 存在 そんざい する、Flexible Single Master Operations (FSMO) の操作 そうさ マスタを実行 じっこう するDCが占有 せんゆう 的 てき に操作 そうさ する。
ログオン認証 にんしょう などでは、サイズが大 おお きくサーチに時間 じかん がかかるディレクトリデータベースよりも、もっぱら簡易 かんい なグローバルカタログ(GC)が多用 たよう される。
フォレストは、DNSの名前 なまえ 階層 かいそう に基 もと づく1つ以上 いじょう のADドメインの階層 かいそう 的 てき 集合 しゅうごう である。1つ以上 いじょう のADドメインを含 ふく むシステム領域 りょういき であり、ADの概念 がいねん の中 なか で最 もっと も外側 そとがわ の領域 りょういき である。
1つ以上 いじょう のADドメインを設置 せっち する際 さい に、DNSの名前 なまえ 階層 かいそう に従 したが って階層 かいそう 構造 こうぞう 、すなわちフォレストを構成 こうせい できる。Wikipediaを例 れい に取 と ると、基準 きじゅん となるADドメインD1 (ja.wikipedia.org) の下層 かそう に作成 さくせい されたADドメインD2 (sub1.ja.wikipedia.org) は「サブドメイン」となる。基準 きじゅん ドメインD1とサブドメインD2の間 あいだ には自動的 じどうてき に双方向 そうほうこう の信頼 しんらい 関係 かんけい が結 むす ばれる。サブドメインD2は、ドメインD1の下 した に作成 さくせい された別 べつ のサブドメインD3 (sub2.ja.wikipedia.org)、あるいはドメインD1のさらに上位 じょうい ドメインD0 (wikipedia.org) とも自動的 じどうてき に信頼 しんらい 関係 かんけい が結 むす ばれる。つまり、「ドメインD2がドメインD1を信頼 しんらい し、ドメインD1がドメインD0を信頼 しんらい しているとき、ドメインD2はドメインD0を信頼 しんらい する」という論理 ろんり で信頼 しんらい 関係 かんけい を結 むす ぶ。これを「信頼 しんらい の推移 すいい 」と呼 よ ぶ。
同 どう 一 いち フォレスト内 ない のADドメインであれば、信頼 しんらい の推移 すいい が行 おこな われるとともに、グループの共有 きょうゆう も可能 かのう である。ただ1つのADドメインしかなくてもフォレストを形成 けいせい し、シングルフォレスト、シングルドメイン、シングルサイト構成 こうせい になる。最初 さいしょ に構築 こうちく したADドメインは「フォレストルートドメイン」となり、他 た のADドメインを増設 ぞうせつ する際 さい の基準 きじゅん ドメインになる。先 さき の例 れい では、ドメインD0 (wikipedia.org) がフォレストルートドメインであり、他 た のADドメインに先駆 さきが けて最初 さいしょ に構築 こうちく しなければならない。
Windows 2000 Serverによるフォレストでは、フォレスト間 あいだ で一括 いっかつ して信頼 しんらい 関係 かんけい を結 むす ぶことはできない。すなわち、フォレストルートドメイン間 あいだ で信頼 しんらい 関係 かんけい を結 むす んでも、サブドメインには信頼 しんらい は推移 すいい しない。NTドメインと同様 どうよう に、異 こと なるフォレストに属 ぞく するADドメイン間 あいだ で個別 こべつ に信頼 しんらい 関係 かんけい を結 むす ぶことはできる。Windows Server 2003 以降 いこう では「フォレスト間 あいだ 信頼 しんらい 」がサポートされ、フォレストルートドメイン間 あいだ で信頼 しんらい 関係 かんけい を結 むす ぶことで、各 かく フォレストに属 ぞく するADドメインも自動的 じどうてき に推移 すいい する信頼 しんらい 関係 かんけい を結 むす んだことになる。
組織 そしき 単位 たんい (OU; Organizational Unit, Organization Unitとも) とは、セキュリティグループとは別 べつ に、ユーザーやコンピュータを管理 かんり するグループである。本社 ほんしゃ 、支社 ししゃ 、支店 してん といった大 おお きな分類 ぶんるい の下 した に、経理 けいり 、営業 えいぎょう 、総務 そうむ 、開発 かいはつ などのOUを作成 さくせい して、現実 げんじつ の組織 そしき 体制 たいせい や資産 しさん 管理 かんり 体制 たいせい に即 そく したグループの階層 かいそう を構築 こうちく することで、運用 うんよう 管理 かんり を容易 ようい にする。組織 そしき 体制 たいせい に則 そく した複数 ふくすう のADドメインを作成 さくせい する必要 ひつよう がなく、セキュリティ要件 ようけん が同一 どういつ であれば、単一 たんいつ ドメインで管理 かんり できる。
また、OUにはグループポリシーオブジェクトをリンクできるので、「開発 かいはつ 用 よう のPCではデスクトップ環境 かんきょう をカスタマイズ可能 かのう にするが、経理 けいり のPCでは変更 へんこう できないようにしたい」といった要求 ようきゅう に対応 たいおう できる。
サイトはADとはやや性格 せいかく を異 こと にする、物理 ぶつり ネットワークの境界 きょうかい に基 もと づいた概念 がいねん であり、主 おも に4つの目的 もくてき で使用 しよう される。すなわち、ディレクトリデータベースの複製 ふくせい トラフィックの最適 さいてき 化 か 、ログオン認証 にんしょう トラフィックの最適 さいてき 化 か 、グループポリシーの適用 てきよう スコープ変更 へんこう 、そして管理 かんり の委任 いにん である。
通常 つうじょう は同 どう 一 いち LANで通信 つうしん できる範囲 はんい をサイトとする。ただし高速 こうそく なWAN回線 かいせん を使 つか う場合 ばあい はWANを越 こ えたサイトを作成 さくせい することもある。ADドメインを新規 しんき 構築 こうちく すると、自動的 じどうてき に「Default-First-Site-Name」という名前 なまえ のサイトも作成 さくせい されるため、意識 いしき せずともサイトを利用 りよう する。
サイト内 ない では、ディレクトリ情報 じょうほう は変更 へんこう がある度 たび に圧縮 あっしゅく されずに複製 ふくせい される。また複製 ふくせい パスは最大 さいだい 3ホップの複数 ふくすう リング状 じょう に構成 こうせい される。一方 いっぽう 、サイト間 あいだ の場合 ばあい は、定期 ていき 的 てき に (既定 きてい 値 ち は180分 ふん 、最短 さいたん で15分 ふん に構成 こうせい 可能 かのう )、圧縮 あっしゅく して複製 ふくせい される。また、複製 ふくせい パスはスパンツリー型 がた に構成 こうせい される。
クライアントは、自分 じぶん のサブネット情報 じょうほう をもとにサイト情報 じょうほう を取得 しゅとく し、同 どう 一 いち サイトのDCに対 たい して優先 ゆうせん 的 てき に認証 にんしょう を要求 ようきゅう する。
サイトの目的 もくてき を達成 たっせい するためには、各 かく サイトに1台 だい 以上 いじょう のDCが設置 せっち されている必要 ひつよう がある。DCのないサイトは、近隣 きんりん サイトのDCがそのサイトを自動的 じどうてき に担当 たんとう する。これを「自動 じどう サイトリカバリ」と呼 よ ぶ。
あるDCが持 も つディレクトリ情報 じょうほう を他 た のサイトのDCに複製 ふくせい することを、「サイト間 あいだ レプリケーション を行 おこ なう」という。レプリケーションを行 おこ なうDCは、管理 かんり ツールの「Active Directoryサイトとサービス」でサイトを作成 さくせい し、レプリケーションパートナーとなる相手 あいて のサイトリンクと関連付 かんれんづ ける必要 ひつよう がある。レプリケーションすることで、ディレクトリデータベースの情報 じょうほう を共有 きょうゆう するため、グループポリシーやデータベースをパートナー同士 どうし で自動的 じどうてき に最新 さいしん の状態 じょうたい を維持 いじ することができる。
ひとつの地域 ちいき に複数 ふくすう のDCがあるとき、サイト内 ない と同様 どうよう のパスで他 た の地域 ちいき とレプリケーションすると、ネットワークに膨大 ぼうだい な負荷 ふか がかかる。そのためサイト内 ない の1台 だい のDCを「ブリッジヘッドサーバ」、すなわち橋頭堡 きょうとうほ として自動的 じどうてき に選出 せんしゅつ し、そのDCをサイトの代表 だいひょう としてサイト間 あいだ 複製 ふくせい を行 おこな う。そのほかのDCはそのブリッジヘッドサーバから得 え た情報 じょうほう をサイト内 ない で複製 ふくせい する。つまり、ブリッジヘッドサーバは、他 た の地域 ちいき からレプリケーションされたものをそのサイト内 ない のすべてのDCへレプリケーションする。そうすることで効率 こうりつ よく最新 さいしん の状態 じょうたい を確保 かくほ している。
例 れい
東京 とうきょう にあるDC「wiki」と、大阪 おおさか にあるDC「pedia」があるとする。二 ふた つのDCはレプリケーションパートナーとなっている。
東京 とうきょう のDCのドメインに参加 さんか しているクライアントを使 つか っている「草薙 くさなぎ さん」がブリッジヘッドサーバのグループポリシーを変更 へんこう すると、定期 ていき 的 てき に変更 へんこう が大阪 おおさか のレプリケーションパートナーにもフィードバックされ、大阪 おおさか のブリッジヘッドサーバにも変更 へんこう が反映 はんえい されるため、大阪 おおさか ドメインの「バトーさん」も同 おな じ状態 じょうたい のグループポリシーで作業 さぎょう ができる。
同 おな じように全国 ぜんこく のDCをレプリケーションパートナーとして設定 せってい すると、東京 とうきょう で変更 へんこう したディレクトリデータベースが自動的 じどうてき に自分 じぶん の参加 さんか しているDCに反映 はんえい されるため、東京 とうきょう のサーバにアクセスする必要 ひつよう が無 な い。また、レプリケーション間隔 かんかく はDCで設定 せってい できる。ここで設定 せってい した間隔 かんかく もすべてのパートナー間 あいだ でレプリケーションする。
マルチマスタレプリケーションとは、分散 ぶんさん 管理 かんり されているADのディレクトリデータベースおよびグループポリシーオブジェクトを、矛盾 むじゅん なく相互 そうご に交換 こうかん し統合 とうごう する複製 ふくせい 手法 しゅほう である。同 どう 一 いち オブジェクトが複数 ふくすう のDCで更新 こうしん された場合 ばあい 、時 とき 系列 けいれつ 的 てき に後 のち に更新 こうしん されたオブジェクトが採用 さいよう される。これによって、複数 ふくすう DCで齟齬 そご が生 しょう じる状況 じょうきょう を回避 かいひ できる。
アプリケーション がADにアクセスするためのAPI が、ADSI (= Active Directory Service Interface) である。AD内 ない のオブジェクトの検索 けんさく 、閲覧 えつらん 、編集 へんしゅう 、削除 さくじょ を実行 じっこう できるため、例 たと えばユーザー管理 かんり やコンピュータ管理 かんり などの操作 そうさ を自動 じどう 化 か することができる。
^ “Azure AD (Office 365) 上 じょう のユーザーをオンプレミス Active Directory ユーザーと紐 ひも 付 つ ける方法 ほうほう について ”. マイクロソフト (2017年 ねん 3月 がつ 22日 にち ). 2021年 ねん 3月 がつ 14日 にち 閲覧 えつらん 。
^ “de:code 2015 Azure Active Directory とオンプレミス Active Directory の連携 れんけい ”. マイクロソフト (2017年 ねん 3月 がつ 22日 にち ). 2021年 ねん 3月 がつ 14日 にち 閲覧 えつらん 。
^ “Active Directory ドキュメント ”. マイクロソフト (2020年 ねん 11月9日 にち ). 2021年 ねん 3月 がつ 14日 にち 閲覧 えつらん 。
人物 じんぶつ
ソフトウェア
開発 かいはつ 言語 げんご 技術 ぎじゅつ オンラインサービス
ゲーム ハードウェア 教育 きょういく と認識 にんしき
ライセンス 会議 かいぎ 批判 ひはん 訴訟 そしょう 買収 ばいしゅう 企業 きぎょう
キャラクター 関連 かんれん 人物 じんぶつ 部門 ぶもん