0
会員になると、いいね!でマイページに保存できます。
共有する
Active Directory(アクティブディレクトリ:AD)とはWindows Serverに備わっている機能で、組織のシステム管理者がユーザーを管理するのに非常に有用なシステムです。ただし、その役割を説明する上では、普段ITに馴染みのない人にはピンとこない用語がいくつか出てきます。用語の意味を1つひとつ押さえながら、Active Directoryの仕組みやメリット・デメリットについて理解を深めていきましょう。
用語解説1:「Active Directory」「ディレクトリ」
「Active Directory(AD)」 はマイクロソフトが提供するWindows Serverというサーバ向けOSに搭載されている機能の1つです。この名称から用途をイメージすることは難しいかもしれませんが、「ディレクトリ」の意味を把握していると少し想像がつきやすくなります。
「ディレクトリ」 とは「何がどこにあるのかを示す総覧」のことで、パソコンの中にある「階層型のフォルダ構造」などもディレクトリの一種です。
ディレクトリはあくまで「一覧表」のようなものなので、そこに「モノ」があるわけではありません。
これは電話帳をイメージすると良いでしょう。名前と電話番号が記載してありますが、電話帳の中に人がいるわけでも電話が入っているわけでもありません。「人」や「組織」にアクセスするための番号と住所が記載してあるだけです。また場合によっては、電話帳に家族や親戚といった人間同士の関係性や企業の部署や支社といった組織同士の関係についても記載されているでしょう。
また、PCでよく見るフォルダやファイルも同様です。フォルダの中にファイルがあっても、ファイルが示してるのはHDD等のストレージのどの部分にデータが保管してあるかという情報で、フォルダの中に直接データが入っているわけではありません。とは言え、フォルダの中に入っているファイルは互いに関連性のあるものばかりで、場合によっては互いに同じフォルダに入っていないければ意味を持たないファイルも存在します。
フォルダの中にあるファイルはそれぞれ同属であったり、強い関わりがあることは確かです。フォルダやファイルは、そうしたデータの関係性や場所を分かりやすくするための「ディレクトリ」であって、データそのものではないことに留意しましょう。
では、それがActive Directoryとどう関係しているのか。結論から言えば、Active Directoryは会社や組織が保有している人材や情報などの各種リソースを管理するためのディレクトリです。会社のリソースをファイルに置き換え、階層型のフォルダに入れて、どこに何があるのか分かりやすくするためのツール。そう考えると分かりやすいのではないでしょうか。
企業や組織にはたくさんの「人」や「モノ」があり、それらは会社が管理するべき「リソース」です。しかし、そのリソースが人であれば所属や権限、モノであれば用途や価値があり、適切な管理がなされなければなりません。たくさんいる社員や機材には複雑な関係性があり、その関係性を無視してリソースを管理することはできません。こうしたリソースの管理を行うのがActive Directoryです。
複雑化するリソース管理のタスクも、Active Directoryを使うことによって簡単になります。
▼この記事を動画・音声でご覧いただけます▼
VIDEO
用語解説2:「ドメイン」「ドメインコントローラー」
Active Directoryでは
「ドメイン」 と呼ばれるリソース同士の関係性を表す領域が作成されます。ドメインは、大きなフォルダのようなものだと考えても構いません。このドメインの中で、ユーザー、プリンタ、PC、共有データ、部署やプロジェクトチームといったリソースに関する情報を扱うことができます。
誰がどのPCを利用していて、どの部署に誰が所属していて、どの部署がどの共有データにアクセスして良いのか。こういったリソース同士の関係性を
「ドメインコントローラー(DC)」 と呼ばれる管理システムを利用し、ドメインの中に記述するのです。
それによって、ユーザーは「自分が誰であるか」をドメインコントローラーを通して証明し、DCは「この人は誰であるか」を示すチケットを渡し、ユーザーはチケットを使って自分と関わりのあるリソースに自由にアクセスすることができるようになります。Active Directoryによって、ユーザーとその他のリソースにどのような関係があるのかが分かっているので、リソースを使う度に別々のパスワードを入れる必要がありません。
さらに、システム管理者はDCを利用してドメインを管理するだけではなく、DCでドメイン内に存在するリソースそのものを一括管理することができるようになります。これによってPCをアップデートしたり、不具合を修正したり、遠隔でサポートをすることもできるようになるため、管理者の労力は大幅に軽減されます。
特にそれぞれのリソースのセキュリティポリシーを管理者側で管理できるようになるため、端末が更新されていなかったり、設定ミスによって脆弱(ぜいじゃく)性を持った端末から情報漏えいを許してしまったりといった初歩的なトラブルを防止することができます。
用語解説3:「ドメインツリー」「フォレスト」
ドメインはある種の家族のようなもので、ユーザーがドメインに参加していれば、管理者のポリシー次第でドメイン内のリソースに自由にアクセスできます。
ところが、大きな会社になると子会社や支社を持ち、場合によっては別のドメインを作成することがあります。親会社のリソースが必要になった場合に、改めてアカウントを作ってもらってアクセスするというのも不便ですので、それぞれのドメイン間で信頼関係を構築し、アクセスができるようなポリシーを設定することができます。これを
「ドメインツリー」 と呼びます。
ドメインツリーを作ると、ツリー内のドメインに参加しているユーザーであればほかのドメインのリソースにもアクセスできるようになるため利便性は向上します。兄弟や息子の家族に自宅の冷蔵庫を自由に使ってもらうようなものかもしれません。
一方で、まったく別のドメイン(ドメインツリー)と信頼関係を結ぶことも可能です。合併吸収などでまったく別のドメインツリーへのアクセスが必要になった場合を想定すると良いでしょう。別の会社なのでドメインの構造やポリシーは大きく違いますし、向こうは向こうで別のドメインツリーを持っているかもしれません。
そういった状況下でも信頼関係を設定し、互いにアクセスできるような環境を作ることもできるのです。こちらは配偶者の父母(義父母)に冷蔵庫を使ってもらうようなイメージでしょうか。
このようにほかのドメインやドメインツリーを含め、1つ以上のドメインツリーで構成された最大の単位を
「フォレスト」 と呼びます。
用語解説4:「シングルサインオン」「フェデレーション」
「ドメインツリー」や「フォレスト」では、ユーザー自身が所属するドメインに一度ログインするだけで信頼関係を結んだドメインのリソースにアクセスできるようになります。このような1度のログインでさまざまなリソースにアクセスできるようになる仕組みを
「シングルサインオン」 と呼びます。
こんな話を聞くと、GoogleやTwitterのアカウントでさまざまなサービスにログインできるような仕組みをイメージするかもしれませんが、それもまたシングルサインオンの一種です。
先ほどのドメインツリーとフォレストの関係をGoogleサービスで例えると、GmailアカウントでGoogle Driveを使えるようになるのがドメインツリーの関係で、GmailアカウントでGoogle以外のサービスにもログインできるのがフォレストと言えるでしょう。
ただ、フォレストはWindows Server内でActive Directoryを使った信頼関係を指しますので、外部のクラウドサービスやウェブサービスにおいてシングルサインオンができる関係性は
「フェデレーション」 と呼びます。
Active Directoryでは、こうしたウェブ上のクラウドサービスなどにシングルサインオンで接続するための「Active Directoryフェデレーションサービス」なども提供しており、ドメインに参加するだけで別にIDとパスワードを入力することなしに「Office 365」や「Microsoft Azure」に接続できるようになっています。
【次ページ】Active Directoryのメリット・デメリット、クラウド版は?
関連タグ
