サーバ入門6　Active Directoryの基礎知識

Active Directoryの基礎知識

ディレクトリーサービスとは

ネットワーク上に存在するリソース情報を、記録、検索できるデータベースのこと
例えば、ユーザ(社員)、コンピュータ(社員のPC)、プリンター(officeの複合機)の情報管理に利用される。
※ディレクトリーサービスに、ネットワークに接続するためにLDAPと呼ばれる通信プロトコルが使われている。

ユーザ認証とは

ディレクトリーサービスの情報へアクセスするユーザを識別する機能
※kerberos(ケルベロス)と呼ばれる通信プロトコルを使い、チケット(身分証明書みたいなもの)を使ってシングルサインオン認証を行う。

クライアント管理とは

Active Directoryの管理下にあるコンピュータに対して、設定(グループポリシー)を配布する機能
※ポリシーの配布には、ファイル共有でも使われるSMBと呼ばれる通信プロトコルが利用される。
・「簡単なパスワードを使わせない」、「定期的に変更を強制させる」ルールもよく使わ
れる。

Active Directoryのメリット

管理者側のメリット

・ドメイン管理下のユーザアカウント管理が簡単になる。
・ファイルサーバへのアクセス許可が簡単になる。
・ドメイン管理下のコンピュータに同じ設定を簡単に適用できる

利用者側のメリット

・ドメイン管理下のコンピュータと連携アプリケーション(officeやTeamsなど)は、同じユーザ名とパスワードでログオン可能。
・WindowsUpdate等のセキュリティ管理を利用者側で意識しなくてもよい。
・検索機能を使えば、ユーザ(全社員の情報)を簡単に検索できる。

Active Directoryとワークグループ

Windowsコンピュータをネットワークに接続して利用、管理するには2種類の方式がある。

1.ワークグループ

家庭や数人程度の会社に適した設定
※Windows10homeはこの設定のみ可能

2.Active Directory(ドメイン)

企業ネットワークに適した設定。ネットワーク上にドメインコントローラーの役割を持つサーバが最低1台必要になる。

ワークグループ環境

ユーザアカウントを各コンピュータが管理する方式。
・ユーザ名とパスワードは「SAM」と呼ばれる特殊なデータベースに格納される。
・管理されるユーザアカウントは「ローカルアカウント」と呼ばれる。
・複数台のコンピュータを使う場合、それぞれのコンピュータが「SAM」を持っているので、ユーザ名とパスワードは台数分設定が必要。

Active Directory環境

「ドメイン」という論理的な単位で、組織のネットワークに接続されたコンピュータをまとめ「ドメインコントローラー」と呼ばれる役割を持つサーバが、ユーザーアカウントを集中管理する方式。
・ユーザ名、パスワードは「SAM」ではなく、ドメインコントローラーが持つNTDSデータベースで集中管理される。
・管理されているアカウントは「ドメインアカウント」と呼ばれる。
・ドメインで管理できるPCはWindows10Professional以上
・ドメインアカウントを所持していると、ドメインに参加したPC全てにサインインできる(制限している場合を除く)

Active Directoryオブジェクトに対するアクセス許可について

アクセス許可とは、ファイルやフォルダなど、ネットワーク上のオブジェクトに関連付けられている規則のこと。
・オブジェクトにアクセスできるかどうか、オブジェクトに対してどのような操作を実行できるかはアクセス許可によって決まる。
・Administratorのアカウントはフルコントロールすることができる。
・アクセス許可レベルについては、フルコントロール、変更、読み取りと実行、読み取りと書き込みといったものがある(今あげたものは例として、ファイルサーバのアクセス許可レベルについて)

まとめ

Active Directoryを導入してグループ単位でファイルサーバのアクセス許可を設定すれば、ユーザーが増えても、そのグループにユーザーを追加するだけでファイルサーバーの設定変更なしにアクセスを許可することができる。(ファイルサーバ以外にメールサーバやアプリケーションサーバなども同様の対応を設定していることが多い。)