Active Directory
■ Active Directory
Active Directoryとは、
いわゆる「ディレクトリ・サービス」を、
Windows 2000上で実装したものである。
従来、Windows NTで使われてきたユーザー管理システムを廃し、
Windows 2000に組み込んだ新しいディレクトリ・サービスである。
Active Directoryは,複数のサービスの集合体であり、
個別の構成要素としては、次のような業界標準プロトコルを使う。
(1) DNSのSRVレコード
ユーザーがログオンするとき、
認証を行うコンピュータ(ドメイン・コントローラ)を検索する。
(2) Kerberos
ユーザの認証を行う。
(3) LDAP
他のユーザーやコンピュータの情報を取得する場合に使用する。
また、Active Directoryの管理ツールが、
ディレクトリ・サービスの登録情報を変更する場合に使用する。
■ ディレクトリサービス。Directory Service。
ディレクトリ・サービスとは、
ネットワーク上に存在するさまざまな資源や情報を
一括して登録・管理し、クライアントからの検索を受け付ける
サービスのことを指す。
すなわち旧来のDNSや検索エンジンは、ディレクトリサービスに類する。
ディレクトリ・サービスを使うと、システム管理者は、
自分が管理すべき情報を全てディレクトリ・サービス上に置くことができる。
例えば、ユーザーのアカウント名、氏名、所属部署などはもちろん、
共有フォルダやプリンタ、あるいはネットワーク機器など、
ネットワーク上のあらゆるオブジェクトを統一的に管理できるようになる。
利用者にとっても、ディレクトリ・サービスの利点は大きい。
ディレクトリ・サービスでユーザー情報を一元管理しているため、
あらゆる環境下でのシングル・ログオンを実現できる。
つまり、ドメインへログオンするだけで、
あらゆるネットワーク・リソースにアクセスできるという利便性を得られる。
ディレクトリ・サービスは、
ITU-TでX.500規格として標準化されており、
Active Directoryを含む多くの製品がこれに準拠している。
ディレクトリ・サービス・プロトコルとしては、主にLDAPが使われる。
■ ドメイン。Domain。
Active Directoryでは、
ドメインという単位で、自身が管理する範囲を定義する。
ドメインはすなわち、Active Directoryの論理構造の基本単位である。
システム管理者はあらかじめ、
ドメインを定義し、管理対象となるオブジェクトを登録しておく。
登録されたものだけがドメインの領域に含まれ、
登録されなかったものはドメインの領域に含まれない。
同じドメイン内のすべてのサーバは、
当該ドメイン内のすべてのユーザーを正しく識別し、
かつ自身が持つリソースへのアクセスを制御することができる。
Active Directoryにおけるドメインは、
物理的なネットワーク構造に依存しない、論理的な領域である。
たとえ同じセグメントに接続されていたとしても、
同じドメインに登録されていないものは、サービス範囲外の扱いになる。
なお、Active Directoryでドメインを図示する場合は、
三角形で描く習慣がある。
■ OU。Organizational Unit。
ドメイン内に、
ユーザーやグループ、コンピュータなどの管理すべき情報が増えてくると、
管理にかかる負担が大きくなる。
そこでActive Directoryでは、
ドメイン内に「OU」という入れ物の役割をするオブジェクトを作成して、
ユーザーやグループ、コンピュータの個々のオブジェクトを、
管理しやすい小さな単位に束ねることができる。
さらに、OU単位で別の管理者を割り当て、管理を委任することもできる。
■ ドメインツリー。Domain Tree。
Active Directoryでは、
単一の管理組織内において複数のドメインを定義し、
互いに階層構造を構築することが可能である。
この階層構造のことをドメイン・ツリーと呼ぶ。
例えば、同一の会社内で部署ごとにドメインを設ける場合がある。
ドメインの階層構造は、
DNSの階層と同様に、連続した名前空間として構成する。
すなわち、ドメイン・ツリー内に定義する子ドメインは、
必ず親ドメインのドメイン名を継承し、
それにサブドメイン名を付すことで識別される。
なおユーザーは、
同じドメイン・ツリーに所属するドメインであれば、
別のドメインの資源でも利用できる。
■ フォレスト。Forest。
Active Directoryは、拡張性に優れており、
さらに大規模な組織にも対応できるようになっている。
すなわち、同じ組織でも、必要に応じて
複数のドメイン・ツリーを構成することができる。
こうして、複数のドメインツリーが存在する状態を、
「フォレスト(forest、森)」と呼ぶ。
Active Directory構造において、グループ化の最大の単位は、
このフォレストである。
ドメイン・ツリーを分けた場合でも
ドメイン・ツリー同士で信頼関係を結べば、
同じフォレストに参加しているドメインのユーザーは、
互いの資源へのアクセスが可能になる。
■ 推移する信頼関係。
Active Directoryにおいては、
ドメインAとドメインBが信頼関係を結び、
ドメインBとドメインCが信頼関係を結んでいると、
自動的にAとCも信頼関係が結ばれる、
このことを推移する信頼関係と呼ぶ。
■ ドメインコントローラ
Active Directoryにおいて、
ドメインを管理するコンピュータをドメイン・コントローラ(DC)という。
DCはドメインを制御するための中心的なシステムであり、
以下のような役割を持つ。
(1) 認可。Authorize。
ユーザーやコンピュータの情報を
ディレクトリ・データベースに登録する作業。
(2) 認証。Authorization。
ログオン認証要求があったとき、ユーザー名やパスワードなどの情報が
データベース内の情報と一致しているかどうかを調べ、
正当な利用者かどうかを判定する作業である。
ユーザーは認証を受けて初めて、ドメイン内のリソースを利用できる。
Active Directoryのドメイン・コントローラになれるのは
Windows 2000 Server以上(もしくはWindows .NET Server以上)が動作する
コンピュータである。
通常は、1台のDCが停止した場合でもディレクトリサービスを継続できるように、
1つのドメイン内に複数のDCを配置する。
DCが持っているディレクトリデータベースは、
自動的にほかのDCにも複製されるようになっており、
ユーザーの認証はドメイン内の任意のDCで行われる。
また、どのDCで認証された場合でも、ドメインの資源を利用できる。
■ 参考URL
アットマークIT
http://www.atmarkit.co.jp/fwin2k/operation/adprimer001/adprimer001_01.html
以上。
2004/03/01 pm