「Microsoft Active Directoryとは何か?」について調べる機会がありました。概念把握のレベル(=基本的な用語を押さえる/最初の一歩以前)ではありますが、内容をまとめます。
間違っていたらごめんなさい。
Microsoft社の製品紹介ページとサポートページわかりにくすぎです。結局本屋さんで買ってきたマニュアルを参考にしました。
1.Microsoft Active Directoryとは何か??
Microsoft Active Directoryとは、Windows Servcerに搭載されている機能の一つで、ネットワーク上の機器(パソコンやプリンタ)を効率的に管理することができます。
(今回は2016年03月21日時点での最新版Windows Server 2012 R2を基準にまとめます)
ユーザーのアクセスコントロールをする関係上、企業で導入する場合はシステム上に全社員の所属する部署とアカウント情報、使っている端末の情報が保存されます。
つまり、Acrive Direcrotyを基準とした社員の情報の管理や他社システムと連携したSSOの設定が一括でできます。
2.利用環境
Windows Serverのあるところで、OSが下記のバージョンのパソコンが相手であればコントロールすることができるようです。
- Windows 2000 Server~Windows Server 2012 R2
- Window 2000 Professional
- Windows XP Professional
- Windows Vista Business / Enterprise / Ultimate
- Windows 7 Professional / Enterprise / Ultimate
- Windows 8 Pro / Enterprise
- Windows 8.1 Pro / Enterprise
- Windows 10 Pro / Enterprise
下記のような個人版のOSではWindows ServerにActive Directoryをインストールしても使えないようです。
- Windows XP Home Edition
- Windows Vista Home Basic / Home Premium
- Windows 7 Starter / Home Premium
- Windows 8 RT
- Windows 8.1 RT
4.ActiviDirectoryを構成するサービス(5種類)【重要】
- AD DS:Active Directoryドメインサービス
- AD LD:Active Directory ライトウェイトディレクトリサービス
- AD CS:Active Direvtory 証明書サービス
- AD RMS:Active Directory Rights Management サービス
- AD FS:Active DIrectory フェデレーションサービス
AD DS:Active Directoryドメインサービス
ネットワーク上のホスト(=プリンタやパソコンなどの端末)情報をディレクトリサービスとして管理する。管理者もユーザーもホスト情報の検索やアクセスができる。
(Active Directoryの設定はほとんどここに集中していました)
AD LD:Active Directory ライトウェイトディレクトリサービス
端末内のアプリケーションの設定情報などを管理します。AD DS(Active DIrectory ディレクトリサービス)とは別にLDAPを利用することができます。
AD CS:Active Direvtory 証明書サービス
自前の認証局を設置する。グループポリシーを使うことでユーザーに自動で証明書を発行する設定も可能。また、ルート認証局から認証を受けることで外部へ対しても認証情報を提示できるようにすることもできる。
AD RMS:Active Directory Rights Management サービス
ユーザーからのネットワーク上の機器へのアクセス権限を設定する。「特定のユーザーだけファイルサーバーにアクセスさせない」のような使い方ができる。
AD FS:Active DIrectory フェデレーションサービス
SSOを構築する。ただし利用するためにはサーバー証明書の発行が必要。
概要については以上です、ここからは用語の説明です。
5.ActiviDirectoryドメインサービスの構成要素
ドメイン(Active Directoryドメイン)
システム上での最も基本的な管理の単位です。ドメイン内にはActive Directoryオブジェクトを登録し、それらをまとめて管理することができる。
ドメインコントローラ(Active Directory ドメインコントローラ)
ドメインを管理しているサーバーのこと。一つのドメインにはかならず一つ以上のドメインコントローラーが設置される。冗長性を確保するために2台以上の設置が推奨される。
フォレスト
ドメインをまとめたもの。システム上では必ず一つ以上のフォレストが作成される。必要であれば複数のフォレストを設定することもできる。
ドメインツリー
ドメインが階層構造になったものを言います。フォレスト内の最上位のドメインが「フォレストルートドメイン」となり、その下に「子ドメイン」が設置される。ドメインツリー全体をまとめて「フォレスト」と呼ぶ。
OU:組織単位
ドメイン内での管理区分のことを言います。管理区分ごとに責任者を任命し管理を委任することや、特定のOUに対してのみオフィスソフトをインストールするような使い方ができる。
サイト
地理的な区分を言います。「オンサイト」のサイトと同じ意味です。ドメインコントローラ間の複製の設定を行う際に考慮します。
サイトリンク
サイト間を接続する仮想的な回線を言います。サイト間で複製を行うためにはあらかじめサイトリンクを設定しておく必要があります。
6その他の基本用語
IFM:Install From Media
SYSVOLデータとディレクトリデータを保存したUSBメモリ/CD-ROMなどを言います。このメディアは他のサーバにドメインコントローラをインストールするために使います。コピー元のサーバとデータの転送に使うネットワークに負担がかからない利点があります。
オフラインドメイン
パソコンをドメインコントローラに接続できない場合であってもドメインに参加させるために使う機能です。
機能レベル
Active Directoryは、利用するWindows Serverのバージョンにより使える機能が異なります。そのため、ドメインコントローラーとして使うサーバーのバージョンにより利用する機能の設定を変更します。その設定を「機能レベル」と言います。
機能レベルをWindows Server 2012 R2などに設定すると、Windows Server 2008などはドメインコントローラとして使うことができなくなります。
信頼関係
別のドメインに含まれるリソースを利用可能にするための機能です。通常の設定では別ドメインでは認証ができないためにリソースを利用できませんが、ドメイン間で「信頼関係」を結ぶことでこれが可能になります。
情報セキュリティスペシャリスト2014年秋季試験ではこれが出題されました。
グローバルカタログ
AD DS(Active Directory ドメインサービス)のデータベースを言います。フォレスト内すべての検索の対象となるActiveDirectoryのオブジェクトが記録されています。破損するとフォレスト内のユーザーがログインできなくなるため、一つのフォレスト内に複数のグローバルカタログサーバを設置することが推奨されます。
UPN:ユーザープリンシパル名
AD DS(Active Directoryドメインサービス)にログインするときに使用する、ログインIDを言います。「sample@domain.sample」のような形式で生成されます。
UPNサフィックス:ユーザープリンシパル名サフィックス
UPNの@以降を別の文字列に変更できる設定です。「sample@domain.sample」のような形式を「sample@sample,sample」のようにすることが可能です。
移動ユーザープロファイル
ユーザーがネットワーク上のどの端末にログインした場合であっても、同じデスクトップ環境を使うことのできる機能です。
監査エントリ
監視をしたいオブジェクトに対する設定です。「ディレクトリサービスのアクセス監査」設定を有効にした後に個々のオブジェクトに「監査エントリ」を設定することでログを取得することができます。この設定は内部統制の面で重要です。
NTFSアクセス制御
オブジェクトに対するアクセス制限を設定する機能です。「読み取り不可」などを設定することができ、この設定はオブジェクトにアクセスするユーザー全員に適用されます。
ダイナミックアクセス制御
オブジェクトに対するアクセス制御を、ユーザーや端末の属性ごとに動的に変化させる機能です。特定のステータスの端末からのみアクセスを許可する、といった設定が可能です。(設定は「グループポリシーの管理」画面から行います)
GPOのコピー:グループポリシーオブジェクトのコピー
グループポリシーオブジェクトは、「他のドメイン」や「他のフォレスト内の別のドメイン」などにコピーすることができます。
(コピーをするためにはフォレスト同士もしくはドメイン同士の信頼関係が必要です)
レプリケーション
ディレクトリデータベースでの変更内容を別のドメインコントローラに送信することを言います。対象となる操作は下記です。
- オブジェクトの作成
- オブジェクトの複製
- オブジェクトの移動
- オブジェクトの削除
7.操作マスター(説明1項目+4種類)
スキーマ(前提となる説明)
Active Directoru内で使われるオブジェクトの属性を定義する際に使われるテンプレートを言います。
スキーママスター
フォレスト内のドメインコントローラーすべてにコピーするスキーマを保存しているドメインコントローラーのこと。
ドメイン名前付けマスター
フォレスト内のドメイン名を制御するためのドメインコントローラーです。競合を防ぐために1フォレスト内に1台のみ設置されます。
PDCエミュレーター
Windows NTドメインのPDCをエミュレート(仮想的に再現する)コンピュータを言います。Windows NTドメインを使う場合はかならずPDCエミュレータを1台設置しディレクトリ情報のマスターコピーをとる必要があります。
RIDマスター
ドメイン内でSID(セキュリティID)が重複しないよう制御するために、それぞれのドメインコントローラが生成するRIDの範囲を割り当てるドメインコントローラを言います。
インフラストラクチャマスター
ドメイン内にあるオブジェクトの関係を制御するドメインコントローラです。。オブジェクトの削除や移動その他の変更を管理します。
8.備考
認証方式について
Microsoft Active Directoryでは、認証方式としてKerberosが使われています。
LDAPとの関係について
AD LD(Active Directory ライトウェイトディレクトリサービス)では、AD DS(Active DIrectory ディレクトリサービス)とは別にLDAPを利用することができます。
そのため、スキーマでの通信や処理を行うことなく外部のアプリケーションとの連携が可能になります。
説明を見る限り、Microsoft社以外のディレクトリサービスと連携する時に使う機能のようです。(詳しくはわかりませんでした)
今回はかなりの部分を下記を参考にしました。
ひと目でわかる Active Directory WindowsServer 2012 R2版 (TechNet ITプロシリーズ)
- 作者:Inc. YokotaLab
- 発売日: 2014/02/13
- メディア: 単行本
大量のキャプチャ画像で操作画面を説明しているので、実際に設定するする場合には大いに役に立つと思います。