Active Directory 基礎知識

Active Directory

Active Directoryの機能

1. ディレクトリサービス

2. ユーザ認証

3. クライアント管理

身近な物で例えると...

ディレクトリサービス ≒住⺠基本台帳

ユーザー認証 ≒ マイナンバーカード

クライアント管理 ≒ 法律

1. ディレクトリサービスとは

ネットワーク上に存在するリソース情報を、記録・検索できるデータベース
- 例えば、ユーザ(社員)・コンピュータ(社員のPC)・プリンター(オフィスの複合機)の情報管理に利⽤される

2. ユーザー認証とは

ディレクトリサービスの情報へアクセスするユーザを識別する機能
- 例えば、企業の社員じゃない⼈は「社員情報データベースへアクセスできない」、「社員⽤のコンピュータにサインインできない」といった、「アクセスしようとしているユーザーが本当に正しいユーザーかどうか」判別する仕組みを提供できる

3.クライアント管理とは

Active Directoryの管理下にあるコンピュータに対して、設定(グループポリシー)を配布する機能
- 例えば、情報漏洩の恐れがある「USBメモリの利⽤を禁⽌する」設定を、全PCに⼀括適⽤する仕組みを提供する

Active Directory のメリット

Active Directory のメリットを簡単に説明すると

管理者側のメリット
• ドメイン管理下のユーザアカウント管理が簡単になる
• ファイルサーバへのアクセス許可の管理が簡単になる
• ドメイン管理下のコンピュータに同じ設定を簡単に適⽤できる

利⽤者側のメリット
• ドメイン管理下のコンピュータと連携アプリケーション(Officeや
Teamsなど)は、同じユーザ名とパスワードでログオン可能
• Windows Update等のセキュリティ管理を利⽤者側で意識しなくても良い
• 検索機能を使えば、ユーザ(全社員の情報)を簡単に検索できる

Active Directory の管理対象例

Active Directoryとワークグループ

Windowsコンピュータをネットワークに接続して利⽤・管理するには、以下2種類の⽅式がある。
そして、それぞれユーザーの認証⽅法が異なる。

1. ワークグループ

家庭や数⼈程度の会社に適した設定
※Windows 10 Homeはこの設定のみ可能

2. Active Directory(ドメイン)

企業ネットワークに適した設定
ネットワーク上にドメインコントローラーの役割を持つサーバが最低1台必要

Active Directoryとワークグループ

1.ワークグループ環境

ユーザーアカウントを各コンピュータが管理する⽅式

ユーザー名とパスワードは、「SAM」と呼ばれる特殊なデータベースに格納される
管理されるユーザーアカウントは、「ローカルアカウント」と呼ばれる
複数台のコンピュータを使う場合、それぞれのコンピュータが「SAM」を持つので、ユーザ名とパスワードは台数分設定が必要

2.Active Directory環境

「ドメイン」と⾔う論理的な単位で、組織のネットワークに接続されたコンピュータをまとめ、「ドメインコントローラー」と呼ばれる役割を持つサーバが、ユーザーアカウントを集中管理する⽅式

ユーザー名、パスワードは「SAM」ではなく、ドメインコントローラーが持つNTDSデータベースで集中管理
管理されるアカウントは、「ドメインアカウント」と呼ばれる
ドメインで管理できるPCは、Windows10 Professional以上
ドメインアカウントを所持していると、ドメインに参加したPC全てに、サインインできる(制限している場合を除く)

Active Directoryオブジェクトに対するアクセス許可について

アクセス許可とは、ファイルやフォルダなど、ネットワーク上のオブジェクトに関連付けられている
規則。
オブジェクトにアクセスできるかどうか、オブジェクトに対してどのような操作を実⾏できるかは、アクセス許可によって決まる。
たとえば、部署単位や社員単位でファイルサーバのフォルダのアクセスを制限するなど、規則は柔軟に決められる。