【Active Directory】ADについて

Active Directory

【Active Directory】ADについて

2018年4月3日

こんにちは!

 

今回は、Active Directory 初心者の方を対象に、Active Directory ついて書いてみました。

 

Active Directory を全て説明する事は量的にも多く難しいので、ここでは簡単に説明いたします。

Active Directory は Microsoft が Windows ドメインネットワークの為に開発したディレクトリサービスというものになります。

このディレクトリサービスというものを先に説明いたします。

 

ディレクトリサービスについて

 

ディレクトリサービスとは、コンテナ(大きな入れ物)のようなもので、ここでは便宜的に企業といたします。

 

コンテナ(企業)には、階層構造(事業所や部署など)があります。

またその階層構造には、オブジェクト(人やコンピューターやプリンターなどの物)があります。

 

企業には受付担当の人や電話がありますよね。受付から事業所、部署やスタッフを確認できます。

つまりディレクトリサービスとは、企業の受付ようなものになります。

 

言い換えますと、以下のように言い換えることができると思います。

 

  • ディレクトリサービス → 受付
  • コンテナ → 企業
  • コンテナ内のオブジェクト → 人やコンピューターなど

 

とりあえず、ディレクトリサービスの説明はここまでいたします。

ディレクトリサービスは Active Directory を理解するにあたり、必要な知識になりますので覚えておくと良いでしょう。

 

 

Active Directory について

 

Active Directory の概要

 

では、Active Directory の説明に進みます。(部分的にディレクトリサービスのおさらいみたいになってしまいますが)

その前に この用語の文字数が長いので、よく AD (エーディー) とも呼ばれます。

 

AD は、先に出てきたオブジェクトを作成したり、作成したオブジェクトが保管されています。

 

 

AD は認証サービスが実装されています。AD があるサーバーをドメインコントローラーと呼びます。

(正確には Active Directory Domain Services (ADDS) が動いているサーバーがドメインコントローラーになります。)

この認証サービスは、Kerberos(ケルベロス)や SSO (SingleSignON) と言うものを使っています。(オンプレミス AD の場合)

 

ユーザーがネットワークを経由して、ドメインコントローラーに認証します。

認証が成功すれば、ユーザーにチケットというものを渡して、可能なリソース範囲を許可します。

ユーザーは、可能な範囲の中で、リソースにアクセスする事ができます。

 

 

 

オブジェクトには属性という情報を持っています。例えばユーザーであれば名前や場所や会社、他にも電話番号などを持っています。

ユーザーはオブジェクトからこのような属性を参照する事もできます。

 

 

 

ドメインについて

 

AD を説明すると必ずドメインという単語がでてきます。ドメインについてはここでは詳しくは説明いたしません。

ドメインそのものは企業名のような識別できるものと言い換える事ができます。例えば、microsoft.com は Microsoft 社が所有するドメインになります。

世界中のインターネット上で、このドメインは 1 つしか作れません。このドメイン= Microsoft と識別ができるわけです。

 

さて、ここで言いたいドメインはドメインネットワークを指すのですが、ドメインネットワークとは簡潔に言いますと 一種の Windows コンピュータのグループを意味します。

コンピューターが OS で持っているコンピューターアカウントを Active Directory に登録し、特定の ドメインネットワーク上で管理されるようになります。

 

 

 

では、主なオブジェクトである、Active Directory のユーザーやコンピュータ、グループについて見てみましょう。

 

 

Active Directory ユーザー

 

俗にいうユーザーアカウントと呼ばれるものを指します。組織の一部になりユニークな ID を持っており、ドメイン内のリソースにアクセスができます。

ユニークな ID とは SID と呼ばれるもので、重複される事はありません。

また、ユーザーアカウントの名前もユニークで重複して作成する事はできません。このユーザーアカウントはパスワードで保護されています。

 

 

Active Directory コンピューター

 

ネットワーク上のクライアント PC、ワークステーション、サーバーやネットワーク機器などを指します。

ユーザーアカウントと同様に、ユニークなアカウント名でなければならず、重複して作成する事はできません。

ドメインに登録されていれば、認証されていれば、ドメイン内のリソースへのアクセスができます。

 

サーバーであれば、ドメインコントローラーやメンバーサーバーになります。

 

 

Active Directory グループ

 

AD のグループに格納されているユーザーやコンピューターが含まれています。

 

グループは 2 種類あります。

  • セキュリティーグループ: AD でドメイン内のリソースに対して、グループ単位で権限を制御する事ができます。
  • 配布グループ: E-Mail 向けのグループになります。メールの送受信に対して、グループ単位でまとめる事ができます。

 

 

Active Directory グループ スコープ

 

グループ スコープは 3 種類あります。

  • ドメインローカル: フォレスト内のグループを登録できるが、アクセス許可はグループを作成したドメイン内に対してにのみ設定でき、アクセス制御に使用するグループになります。
  • グローバル: 同じドメイン内のユーザーとグローバルグループのみ登録可能で、組織化のために使用するグループになります。
  • ユニバーサル: フォレスト内のグループを登録でき、ドメインをまたがる組織化のために使用するグループになります。

 

 

Active Directory のセキュリティ

 

上で説明しましたように、AD には様々なオブジェクトが管理されています。

基本的にはコンピューターがドメインに登録されていて、且つドメインに登録されているコンピューターで、ドメインに登録されているユーザーからドメインコントローラーの認証が成功しないとドメイン内のリソース参照ができない仕組みになっています。

ですので非常に堅いセキュリティで守られています。

 

 

ざっと AD について説明しました。AD はそもそも多くの企業で採用されているのでしょうか?

 

 

Active Directory は実に多くの企業で使用されております。私が経験しました企業では全ての企業が Active Directoryでした。
ディレクトリサービスは、Active Drectory の他にも、Novellなどございます。

 

ですが、Fortune 1000 に入る、90%以上の企業がActive Directoryを使用しているそうです。
それだけ、Active Directoryでは、全世界的に殆どの企業で使用されております。

 

ですので、インフラに携る様々な職種で必要なスキルとなりますので、重要なシステムコンポーネントと言う事になります。

 

 

いかがでしたか?

 

Active Directory の概要をざっと説明しました。

企業では、いきなり AD が何かも分からず担当する方は少なくないかと思います。

分からないままで、AD を構築したり運用したりする事は非常にリスクがあるかと思っております。

 

本屋さんに行くと、AD について書かれている本は今は沢山ありますので、立ち読みする事も良いかと思います。

 

では、最後までお読みいただきありがとうございました!

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りでマイペースな人です。

人気記事

1

こんにちは!SE ブログの相馬です。       今回は、PC に適用されている GPO を確認する方法について書きました。     グループポリシー ...

2

こんにちは!SE ブログの相馬です。       今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは ...

3

こんにちは!SE ブログの相馬です。       今回は、グループポリシーを使って、特定のコンピューターに対して、ドメインユーザーに Administrators 権限を ...

4

こんにちは!SE ブログの相馬です。       今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 ...

5

こんにちは!SEブログの相馬です。       今回は、ユーザープロファイルを削除する方法について書いてみました。     1 台の PC を複数人で ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!SE ブログの相馬です。       今回は、Windows Server 2016 で NTP サーバーと同期する方法について書きました。   & ...

-Active Directory
-, ,