ActiveDirectryとはWindowsパソコンやユーザー情報を組織単位で管理することができるディレクトリサービスの一つです。
企業でWindowsパソコンが利用されている環境の場合、ほとんどActiveDirectryで運用されています。
ActiveDirectryで運用されていると、パソコンやユーザー情報が一元化され、一括で管理できます。
インフラ対応やヘルプデスク業務では、ActiveDirectryの運用が必須業務になることが多くなります。
今回はそんなActiveDirectryについて説明していきます。

目次

①ディレクトリサービスについて

②ActiveDirectryの仕組み

③ActiveDirectryを利用してできること

④まとめ

①ディレクトリサービスについて

ActiveDirectryはディレクトリサービスのひとつなので、最初にディレクトリサービスについて大まかに説明します。
ディレクトリサービスとは、コンピュータおよび周辺機器とその利用者を多く保有する企業内ネットワークでよく利用されるシステムで、
ネットワーク上の資源(コンピュータやプリンターなど)とその所在や設定などの情報を収集・記録し、検索できる機能を持っています。
ディレクトリサービスを利用して利用者やネットワーク資源を一括管理することで、管理者の負担を減らすことができます。

②ActiveDirectryの仕組み

ActiveDirectryはドメインを利用して機器やユーザーの情報登録や管理を行います。
同じ資源情報(コンピュータやユーザなど)のデータベースを共有する範囲のことを「ドメイン」(またはADドメイン)といい、
ドメインにはデータベースを管理するドメインコントローラが置かれ、
ドメイン内の資源情報について一元的に登録・管理を行います。
ひとつのドメインに対して一台以上のドメインコントローラが必要ですが、
複数台を利用することで負荷分散や障害発生時の処理を行わせることができるため、最低2台以上での運用が求められます。
ドメインコントローラはWindowsServerシリーズのOS製品に標準で内蔵されています。

ドメインはインターネット上のドメインと同じDNSの仕組みが使われており、「.com」などドット(ピリオド)で区切られた階層構造で表記されます。
ドメイン名についてはMicrosoft社よりインターネット登録ドメインのサブドメインを利用することが推奨されています。
特に「.local」を利用するとmDNSの兼ね合いと一意ではないドメインのためトラブルになる可能性があるとされているためドメイン設定時は注意が必要です。

また、会社の規模が大きくなってくると上部組織・下部組織でドメインを分ける場合がありますが、
組織全体で共有リソースにアクセスする必要がある場合、上部・下部組織のドメイン間で信頼関係を構築し、
アクセスできるように運用することがあります。これを「ドメインツリー」といいます。
また、会社の吸収合併などで複数のドメイン間で共有リソースにアクセスする必要がある場合、
お互いに信頼関係を構築することで共有リソースにアクセス可能にする場合もあります。
このような状態を「フォレスト」といいます。

このように、会社の規模や状況によって柔軟に運用を変えることが可能です。

③ActiveDirectryを利用してできること

ActiveDirectryを利用してできることはおもに以下になります。

・ユーザー認証とアクセス制御を行う
ドメインに参加しているユーザーの認証が可能です。
また、ユーザーの属性ごとに応じたアクセス制限を行うことができ、
特定のフォルダは編集権限があるが、別のフォルダは閲覧のみ、といったアクセス設定も可能です。
ActiveDirectryにおいては、ユーザーやコンピュータの設定や権限を管理する
最小単位の集まりを「OU」(Organizational Unit:組織単位)といい、
OUに対応したグループポリシーの設定項目が含まれる「GPO」を関連付けることで設定します。

・ドメイン内のソフトウェアや接続機器・メディアを管理する
先ほど説明したグループポリシーを利用して、ソフトウェア(コンピュータプログラム)を
ドメイン内のユーザーおよびコンピュータに配布することが可能です。
ソフトウェアの割り当てをActiveDirectry上で行うことで、コンピュータに自動でインストールされます。
また、グループポリシーを使って特定の部署のコンピュータのUSB接続や特定のソフトウェアの起動を制限するといったことも可能です。

・信頼関係を結んだドメインのリソースにアクセスできるようにする(シングルサインオン)
同一ドメイン内(または信頼関係を結んだドメイン)の複数のシステムを利用する際、
本来利用するシステムの分ID・パスワードの認証が必要になりますが、
一度認証を行えばほかのシステムは自動で認証されるシングルサインオンという仕組みを
ActiveDirectryを使って利用することができます。
ActiveDirectryではケルベロス認証という認証方式が取り入れられており、
正しく認証が確認できたユーザーへチケットを発行する形で自動認証されます。
ほかのシステムを利用する際、最初に発行されたチケットが通行証のような役割になり、
自動で認証されるようになります。
企業内で多数のシステムが必要になる場合、システムごとにIDやパスワードを管理する手間が減り、
円滑な業務進行につながります。

④まとめ

以上がActiveDirectryの機能と役割になります。
ActiveDirectryの運用は多くの企業で取り入れられており、業務利用する機会も少なくないので、
ある程度の仕組みを覚えておくといいでしょう。

フリーランスでヘルプデスク・ネットワークエンジニアの求人をお探しの方はこちら
フリーランスのシゴト探しはエンジャーフリーランス

関連記事

  • 関連記事
  • おすすめ記事
  • 特集記事

コメント

この記事へのコメントはありません。

TOP