基本機能 | 身近なもので例えると |
---|---|
ディレクトリーサービス | 住民基本台帳(住民票) |
ユーザ認証 | マイナンバーカード |
クライアント管理 | 法律 |
ネットワーク上に存在するリソース情報を、記録、検索できるデータベースのこと
例えば、ユーザ(社員)、コンピュータ(社員のPC)、プリンター(officeの複合機)の情報管理に利用される。
※ディレクトリーサービスに、ネットワークに接続するためにLDAPと呼ばれる通信プロトコルが使われている。
ディレクトリーサービスの情報へアクセスするユーザを識別する機能
※kerberos(ケルベロス)と呼ばれる通信プロトコルを使い、チケット(身分証明書みたいなもの)を使ってシングルサインオン認証を行う。
Active Directoryの管理下にあるコンピュータに対して、設定(グループポリシー)を配布する機能
※ポリシーの配布には、ファイル共有でも使われるSMBと呼ばれる通信プロトコルが利用される。
・「簡単なパスワードを使わせない」、「定期的に変更を強制させる」ルールもよく使わ
れる。
・ドメイン管理下のユーザアカウント管理が簡単になる。
・ファイルサーバへのアクセス許可が簡単になる。
・ドメイン管理下のコンピュータに同じ設定を簡単に適用できる
・ドメイン管理下のコンピュータと連携アプリケーション(officeやTeamsなど)は、同じユーザ名とパスワードでログオン可能。
・WindowsUpdate等のセキュリティ管理を利用者側で意識しなくてもよい。
・検索機能を使えば、ユーザ(全社員の情報)を簡単に検索できる。
Windowsコンピュータをネットワークに接続して利用、管理するには2種類の方式がある。
家庭や数人程度の会社に適した設定
※Windows10homeはこの設定のみ可能
企業ネットワークに適した設定。ネットワーク上にドメインコントローラーの役割を持つサーバが最低1台必要になる。
ユーザアカウントを各コンピュータが管理する方式。
・ユーザ名とパスワードは「SAM」と呼ばれる特殊なデータベースに格納される。
・管理されるユーザアカウントは「ローカルアカウント」と呼ばれる。
・複数台のコンピュータを使う場合、それぞれのコンピュータが「SAM」を持っているので、ユーザ名とパスワードは台数分設定が必要。
「ドメイン」という論理的な単位で、組織のネットワークに接続されたコンピュータをまとめ「ドメインコントローラー」と呼ばれる役割を持つサーバが、ユーザーアカウントを集中管理する方式。
・ユーザ名、パスワードは「SAM」ではなく、ドメインコントローラーが持つNTDSデータベースで集中管理される。
・管理されているアカウントは「ドメインアカウント」と呼ばれる。
・ドメインで管理できるPCはWindows10Professional以上
・ドメインアカウントを所持していると、ドメインに参加したPC全てにサインインできる(制限している場合を除く)
アクセス許可とは、ファイルやフォルダなど、ネットワーク上のオブジェクトに関連付けられている規則のこと。
・オブジェクトにアクセスできるかどうか、オブジェクトに対してどのような操作を実行できるかはアクセス許可によって決まる。
・Administratorのアカウントはフルコントロールすることができる。
・アクセス許可レベルについては、フルコントロール、変更、読み取りと実行、読み取りと書き込みといったものがある(今あげたものは例として、ファイルサーバのアクセス許可レベルについて)
Active Directoryを導入してグループ単位でファイルサーバのアクセス許可を設定すれば、ユーザーが増えても、そのグループにユーザーを追加するだけでファイルサーバーの設定変更なしにアクセスを許可することができる。(ファイルサーバ以外にメールサーバやアプリケーションサーバなども同様の対応を設定していることが多い。)
Crieitは誰でも投稿できるサービスです。 是非記事の投稿をお願いします。どんな軽い内容でも投稿できます。
また、「こんな記事が読みたいけど見つからない!」という方は是非記事投稿リクエストボードへ!
こじんまりと作業ログやメモ、進捗を書き残しておきたい方はボード機能をご利用ください。
ボードとは?
コメント