Active Directory

■ Active Directory

  Active Directoryとは、
  いわゆる「ディレクトリ・サービス」を、
  Windows 2000上で実装したものである。
  従来、Windows NTで使われてきたユーザー管理システムを廃し、
  Windows 2000に組み込んだ新しいディレクトリ・サービスである。

  Active Directoryは,複数のサービスの集合体であり、
  個別の構成要素としては、次のような業界標準プロトコルを使う。

  (1) DNSのSRVレコード
      ユーザーがログオンするとき、
      認証を行うコンピュータ(ドメイン・コントローラ)を検索する。

  (2) Kerberos
      ユーザの認証を行う。

  (3) LDAP
      他のユーザーやコンピュータの情報を取得する場合に使用する。
      また、Active Directoryの管理ツールが、
      ディレクトリ・サービスの登録情報を変更する場合に使用する。

■ ディレクトリサービス。Directory Service。

  ディレクトリ・サービスとは、
  ネットワーク上に存在するさまざまな資源や情報を
  一括して登録・管理し、クライアントからの検索を受け付ける
  サービスのことを指す。
  すなわち旧来のDNSや検索エンジンは、ディレクトリサービスに類する。

  ディレクトリ・サービスを使うと、システム管理者は、
  自分が管理すべき情報を全てディレクトリ・サービス上に置くことができる。
  例えば、ユーザーのアカウント名、氏名、所属部署などはもちろん、
  共有フォルダやプリンタ、あるいはネットワーク機器など、
  ネットワーク上のあらゆるオブジェクトを統一的に管理できるようになる。

  利用者にとっても、ディレクトリ・サービスの利点は大きい。
  ディレクトリ・サービスでユーザー情報を一元管理しているため、
  あらゆる環境下でのシングル・ログオンを実現できる。
  つまり、ドメインへログオンするだけで、
  あらゆるネットワーク・リソースにアクセスできるという利便性を得られる。

  ディレクトリ・サービスは、
  ITU-TでX.500規格として標準化されており、
  Active Directoryを含む多くの製品がこれに準拠している。
  ディレクトリ・サービス・プロトコルとしては、主にLDAPが使われる。

■ ドメイン。Domain。

  Active Directoryでは、
  ドメインという単位で、自身が管理する範囲を定義する。
  ドメインはすなわち、Active Directoryの論理構造の基本単位である。

  システム管理者はあらかじめ、
  ドメインを定義し、管理対象となるオブジェクトを登録しておく。
  登録されたものだけがドメインの領域に含まれ、
  登録されなかったものはドメインの領域に含まれない。

  同じドメイン内のすべてのサーバは、
  当該ドメイン内のすべてのユーザーを正しく識別し、
  かつ自身が持つリソースへのアクセスを制御することができる。

  Active Directoryにおけるドメインは、
  物理的なネットワーク構造に依存しない、論理的な領域である。
  たとえ同じセグメントに接続されていたとしても、
  同じドメインに登録されていないものは、サービス範囲外の扱いになる。

  なお、Active Directoryでドメインを図示する場合は、
  三角形で描く習慣がある。

■ OU。Organizational Unit。

  ドメイン内に、
  ユーザーやグループ、コンピュータなどの管理すべき情報が増えてくると、
  管理にかかる負担が大きくなる。

  そこでActive Directoryでは、
  ドメイン内に「OU」という入れ物の役割をするオブジェクトを作成して、
  ユーザーやグループ、コンピュータの個々のオブジェクトを、
  管理しやすい小さな単位に束ねることができる。

  さらに、OU単位で別の管理者を割り当て、管理を委任することもできる。

■ ドメインツリー。Domain Tree。

  Active Directoryでは、
  単一の管理組織内において複数のドメインを定義し、
  互いに階層構造を構築することが可能である。
  この階層構造のことをドメイン・ツリーと呼ぶ。
  例えば、同一の会社内で部署ごとにドメインを設ける場合がある。

  ドメインの階層構造は、
  DNSの階層と同様に、連続した名前空間として構成する。
  すなわち、ドメイン・ツリー内に定義する子ドメインは、
  必ず親ドメインのドメイン名を継承し、
  それにサブドメイン名を付すことで識別される。

  なおユーザーは、
  同じドメイン・ツリーに所属するドメインであれば、
  別のドメインの資源でも利用できる。

■ フォレスト。Forest。

  Active Directoryは、拡張性に優れており、
  さらに大規模な組織にも対応できるようになっている。
  すなわち、同じ組織でも、必要に応じて
  複数のドメイン・ツリーを構成することができる。

  こうして、複数のドメインツリーが存在する状態を、
  「フォレスト(forest、森)」と呼ぶ。
  Active Directory構造において、グループ化の最大の単位は、
  このフォレストである。

  ドメイン・ツリーを分けた場合でも
  ドメイン・ツリー同士で信頼関係を結べば、
  同じフォレストに参加しているドメインのユーザーは、
  互いの資源へのアクセスが可能になる。

■ 推移する信頼関係。

  Active Directoryにおいては、
  ドメインAとドメインBが信頼関係を結び、
  ドメインBとドメインCが信頼関係を結んでいると、
  自動的にAとCも信頼関係が結ばれる、

  このことを推移する信頼関係と呼ぶ。

■ ドメインコントローラ

  Active Directoryにおいて、
  ドメインを管理するコンピュータをドメイン・コントローラ(DC)という。
  DCはドメインを制御するための中心的なシステムであり、
  以下のような役割を持つ。

  (1) 認可。Authorize。
      ユーザーやコンピュータの情報を
      ディレクトリ・データベースに登録する作業。

  (2) 認証。Authorization。
      ログオン認証要求があったとき、ユーザー名やパスワードなどの情報が
      データベース内の情報と一致しているかどうかを調べ、
      正当な利用者かどうかを判定する作業である。
      ユーザーは認証を受けて初めて、ドメイン内のリソースを利用できる。

  Active Directoryのドメイン・コントローラになれるのは
  Windows 2000 Server以上(もしくはWindows .NET Server以上)が動作する
  コンピュータである。
  通常は、1台のDCが停止した場合でもディレクトリサービスを継続できるように、
  1つのドメイン内に複数のDCを配置する。

  DCが持っているディレクトリデータベースは、
  自動的にほかのDCにも複製されるようになっており、
  ユーザーの認証はドメイン内の任意のDCで行われる。
  また、どのDCで認証された場合でも、ドメインの資源を利用できる。

■ 参考URL

  アットマークIT
  http://www.atmarkit.co.jp/fwin2k/operation/adprimer001/adprimer001_01.html

以上。

2004/03/01 pm

HOME |  BACK

PC用眼鏡【管理人も使ってますがマジで疲れません】 解約手数料0円【あしたでんき】 Yahoo 楽天 NTT-X Store

無料ホームページ 無料のクレジットカード 海外格安航空券 ふるさと納税 海外旅行保険が無料! 海外ホテル