「Active Directory」は、企業のITシステムにおけるIDとアクセス管理の基本となる存在だ。ドメインをはじめ、Active Directoryを理解するための必須要素を解説する。
「Active Directoryドメイン」(以下、ADドメイン)は、MicrosoftのID・アクセス管理ツール「Active Directory」(AD)のネットワーク内の「オブジェクト」の集合だ。オブジェクトとは、単一のユーザーやグループ、コンピュータやプリンタなどのハードウェアコンポーネントなどを指す。各ドメインはオブジェクトの識別情報を含むデータベースを保持している。
Active Directoryは、MicrosoftのサーバOS「Windows Server」の一部であり、「Windows」をベースにしたネットワーク管理の基盤となる。概念的には、Active Directoryは電話帳のようなものだ。ユーザーは、電話帳を使って特定の相手の居場所や連絡先を調べられるのと同じように、Active Directoryを利用してネットワーク上のオブジェクト情報を知ることができる
ADドメインは、Active Directory内に保持されるオブジェクトの論理的なグループだ。オブジェクトとは、ユーザー、コンピュータ、または組織単位(OU)などの最小単位を指す。ドメイン内のオブジェクトは、管理ポリシーやセキュリティ設定、保護動作を共有し、通常は同じネットワーク内に配置される。企業は多数のドメインを設定でき、IT担当者はドメイン内のオブジェクト管理を担う。
ADドメインの集合は「フォレスト」と呼ばれる。ドメインとフォレストはActive Directoryの論理構造の基礎を形成する。フォレストはこの構造のセキュリティ境界として機能する。ドメインをフォレスト内に構造化することで、データとサービスの独立性を確保できる他、論理構造を使用してデータを「区分化」し、アクセスを制御することもできる。
ドメインは、Active Directoryが管理するオブジェクトまたはリソースの論理的なグループを表すラベルやカテゴリーだ。ドメインは通常、長期間維持され、めったに変更されないため、ほとんどの企業管理者はドメインを頻繁に作成することはない。ただし、企業が成長し、組織の要求が進化するにつれて、定期的に新しいドメインの追加が必要になってくる可能性がある。例えば、オフィススイート「Microsoft 365」を採用している企業は、Active Directoryに代替UPNサフィックス(デフォルトとは異なるドメイン名でのログインを可能にするドメイン名)を設定する必要がある場合がある。
代替UPNサフィックスを追加することで、Microsoft 365をはじめとするクラウドサービスへのログイン時に、デフォルトのドメイン名とは異なるドメイン名を使用できるようになる。代替UPNサフィックスを追加してもユーザーの操作には影響せず、必要に応じて新しいユーザーアカウントやオブジェクトに適用できる。
Active Directoryは基本的に、企業ネットワーク全体のユーザーとネットワークリソース(サーバやストレージなど)についての全ての関連情報を保持するために設計されたデータベースだ。Active Directoryは、これらのネットワークリソースを、DNS(ドメインネームシステム)と連携してネットワークアドレスに関連付けるディレクトリサービスを提供し、情報をネットワーク全体で確実に利用できるようにする。正当なユーザーだけがネットワークにアクセスできるようにする認証や、正当なユーザーが権限を持つリソースにのみアクセスできるよう保証する許可などのセキュリティも、Active Directoryが処理する。
Microsoftの「Active Directoryドメインサービス」(以下、AD DS)は、ディレクトリデータを保存し、管理者が利用できるようにする方法を提供する。このデータには、名前やパスワードなどのユーザーアカウントデータが含まれる場合がある。AD DSは Windows ServerのOSの一部として提供される。
「Active Directoryドメインと信頼関係」は、ドメインとActive Directoryを管理するために利用できるツールの一つだ。管理者は「Microsoft Management Console」(MMC)を使用して、ドメイン信頼、機能レベル(ドメインとフォレスト)、UPNサフィックスを管理することができる。
Microsoftが提供するその他のAD管理ツールは、「Remote Server Administration Tools」(RSAT)を使用してインストールできる。そうしたネイティブAD管理ツールには、以下のようなものがある。
全てのActive Directoryドメインには、AD DSソフトウェアとWindows Server OSのバージョンを実行する従来のコンピュータサーバである「ドメインコントローラー」(DC)が必要だ。ドメインコントローラーは、Active Directoryに保存されているデータの認証、認可、ポリシー管理、グループ管理のための処理を担う。ドメインコントローラーは、フォレスト内の全てのドメインの主要な属性をグローバルカタログ(GC)に保存してグローバル検索を可能にする。このDCはグローバルカタログサーバと呼ばれる。
ドメインコントローラーはミッションクリティカルなビジネスリソースである点に留意することが重要だ。ドメインコントローラーサーバやデータベースに障害が発生すると、ユーザーはネットワークとそのリソースにアクセスできなくなる可能性がある。組織は通常、ネットワークトラフィックの負荷を共有し、運用のレジリエンス(障害発生時の回復力)を提供するために、2つ以上のドメインコントローラーを連携させて実行する。ドメインコントローラーはそれぞれADデータベースのコピーを保持しており、レプリケーション(複製)によって自動的に同期されるため、あるドメインコントローラーでディレクトリに加えられた変更は他のドメインコントローラーにも複製される。
次回は、Active Directoryの構造を解説する。
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
