SEブログ

【Active Directory】ADについて

こんにちは!

 

今回は、Active Directory 初心者の方を対象に、Active Directory ついて書いてみました。

 

Active Directory を全て説明する事は量的にも多く難しいので、ここでは簡単に説明いたします。

Active Directory は Microsoft が Windows ドメインネットワークの為に開発したディレクトリサービスというものになります。

このディレクトリサービスというものを先に説明いたします。

 

ディレクトリサービスについて

 

ディレクトリサービスとは、コンテナ(大きな入れ物)のようなもので、ここでは便宜的に企業といたします。

 

コンテナ(企業)には、階層構造(事業所や部署など)があります。

またその階層構造には、オブジェクト(人やコンピューターやプリンターなどの物)があります。

 

企業には受付担当の人や電話がありますよね。受付から事業所、部署やスタッフを確認できます。

つまりディレクトリサービスとは、企業の受付ようなものになります。

 

言い換えますと、以下のように言い換えることができると思います。

 

  • ディレクトリサービス → 受付
  • コンテナ → 企業
  • コンテナ内のオブジェクト → 人やコンピューターなど

 

とりあえず、ディレクトリサービスの説明はここまでいたします。

ディレクトリサービスは Active Directory を理解するにあたり、必要な知識になりますので覚えておくと良いでしょう。

 

 

Active Directory について

 

Active Directory の概要

 

では、Active Directory の説明に進みます。(部分的にディレクトリサービスのおさらいみたいになってしまいますが)

その前に この用語の文字数が長いので、よく AD (エーディー) とも呼ばれます。

 

AD は、先に出てきたオブジェクトを作成したり、作成したオブジェクトが保管されています。

 

 

AD は認証サービスが実装されています。AD があるサーバーをドメインコントローラーと呼びます。

(正確には Active Directory Domain Services (ADDS) が動いているサーバーがドメインコントローラーになります。)

この認証サービスは、Kerberos(ケルベロス)や SSO (SingleSignON) と言うものを使っています。(オンプレミス AD の場合)

 

ユーザーがネットワークを経由して、ドメインコントローラーに認証します。

認証が成功すれば、ユーザーにチケットというものを渡して、可能なリソース範囲を許可します。

ユーザーは、可能な範囲の中で、リソースにアクセスする事ができます。

 

 

 

オブジェクトには属性という情報を持っています。例えばユーザーであれば名前や場所や会社、他にも電話番号などを持っています。

ユーザーはオブジェクトからこのような属性を参照する事もできます。

 

 

 

ドメインについて

 

AD を説明すると必ずドメインという単語がでてきます。ドメインについてはここでは詳しくは説明いたしません。

ドメインそのものは企業名のような識別できるものと言い換える事ができます。例えば、microsoft.com は Microsoft 社が所有するドメインになります。

世界中のインターネット上で、このドメインは 1 つしか作れません。このドメイン= Microsoft と識別ができるわけです。

 

さて、ここで言いたいドメインはドメインネットワークを指すのですが、ドメインネットワークとは簡潔に言いますと 一種の Windows コンピュータのグループを意味します。

コンピューターが OS で持っているコンピューターアカウントを Active Directory に登録し、特定の ドメインネットワーク上で管理されるようになります。

 

 

 

では、主なオブジェクトである、Active Directory のユーザーやコンピュータ、グループについて見てみましょう。

 

 

Active Directory ユーザー

 

俗にいうユーザーアカウントと呼ばれるものを指します。組織の一部になりユニークな ID を持っており、ドメイン内のリソースにアクセスができます。

ユニークな ID とは SID と呼ばれるもので、重複される事はありません。

また、ユーザーアカウントの名前もユニークで重複して作成する事はできません。このユーザーアカウントはパスワードで保護されています。

 

 

Active Directory コンピューター

 

ネットワーク上のクライアント PC、ワークステーション、サーバーやネットワーク機器などを指します。

ユーザーアカウントと同様に、ユニークなアカウント名でなければならず、重複して作成する事はできません。

ドメインに登録されていれば、認証されていれば、ドメイン内のリソースへのアクセスができます。

 

サーバーであれば、ドメインコントローラーやメンバーサーバーになります。

 

 

Active Directory グループ

 

AD のグループに格納されているユーザーやコンピューターが含まれています。

 

グループは 2 種類あります。

  • セキュリティーグループ: AD でドメイン内のリソースに対して、グループ単位で権限を制御する事ができます。
  • 配布グループ: E-Mail 向けのグループになります。メールの送受信に対して、グループ単位でまとめる事ができます。

 

 

Active Directory グループ スコープ

 

グループ スコープは 3 種類あります。

  • ドメインローカル: フォレスト内のグループを登録できるが、アクセス許可はグループを作成したドメイン内に対してにのみ設定でき、アクセス制御に使用するグループになります。
  • グローバル: 同じドメイン内のユーザーとグローバルグループのみ登録可能で、組織化のために使用するグループになります。
  • ユニバーサル: フォレスト内のグループを登録でき、ドメインをまたがる組織化のために使用するグループになります。

 

 

Active Directory のセキュリティ

 

上で説明しましたように、AD には様々なオブジェクトが管理されています。

基本的にはコンピューターがドメインに登録されていて、且つドメインに登録されているコンピューターで、ドメインに登録されているユーザーからドメインコントローラーの認証が成功しないとドメイン内のリソース参照ができない仕組みになっています。

ですので非常に堅いセキュリティで守られています。

 

 

ざっと AD について説明しました。AD はそもそも多くの企業で採用されているのでしょうか?

 

 

Active Directory は実に多くの企業で使用されております。私が経験しました企業では全ての企業が Active Directoryでした。
ディレクトリサービスは、Active Drectory の他にも、Novellなどございます。

 

ですが、Fortune 1000 に入る、90%以上の企業がActive Directoryを使用しているそうです。
それだけ、Active Directoryでは、全世界的に殆どの企業で使用されております。

 

ですので、インフラに携る様々な職種で必要なスキルとなりますので、重要なシステムコンポーネントと言う事になります。

 

 

いかがでしたか?

 

Active Directory の概要をざっと説明しました。

企業では、いきなり AD が何かも分からず担当する方は少なくないかと思います。

分からないままで、AD を構築したり運用したりする事は非常にリスクがあるかと思っております。

 

本屋さんに行くと、AD について書かれている本は今は沢山ありますので、立ち読みする事も良いかと思います。

 

では、最後までお読みいただきありがとうございました!