Active Directory(AD)は、業務完遂に必要なネットワークリソースにユーザを接続するデータベースと一連のサービスです。
データベース(またはディレクトリ)には、どんなユーザやコンピューターが存在するか、誰がどんな操作を許可されているかなど、環境に関する非常に重要な情報が含まれています。例えば、データベースには、各ユーザの役職、電話番号、およびパスワードなどの詳細を含む100件のユーザアカウントが一覧表示される場合があります。また、各ユーザの権限も記録されています。
サービスは、IT環境内で行われる多くのアクティビティを制御します。特に、通常は入力されたユーザIDとパスワードにより、各ユーザが申告通りの人物か確認(認証)し、ユーザが使用を認められたデータのみにアクセスを許可(承認)します。
Active Directoryのメリット、その仕組み、Active Directoryデータベースの内容の詳細をご覧ください。
Active Directoryは、管理者とエンドユーザの活動をシンプル化しつつ、組織のセキュリティを強化します。管理者は、ADグループポリシー機能により、ユーザと権限の一元管理や、コンピューターおよびユーザ設定の集中制御を活用できます。ユーザは一度認証されると、承認を受けたドメイン内のすべてのリソースにシームレスにアクセスできます(シングルサインオン)。さらに、ファイルは中央リポジトリに保存されるため、他のユーザと共有でき、コラボレーションも容易になります。また、ITチームが適切にバックアップを行うことで、ビジネスの継続性を確保できます。
Active Directoryの中心となるサービスは、Active Directory Domain Services(AD DS)です。これはWindows Serverオペレーティングシステムの一部となっています。AD DSを実行するサーバは、ドメインコントローラー(DC)と呼ばれます。一般的に、組織には複数のDCがあり、それぞれにドメイン全体のディレクトリのコピーが存在します。パスワード更新やユーザアカウントの削除など、1つのDCでディレクトリに変更が加えられると、変更内容がその他のDCに複製され、最新の状態が維持されます。グローバル・カタログ・サーバは、ドメインのディレクトリ内にある全オブジェクトの完全なコピーと、フォレスト内のその他すべてのドメインにある全オブジェクトの部分的なコピーを保存するDCです。これを使用することで、ユーザやアプリケーションは、フォレスト内のあらゆるドメインのオブジェクトを見つけることができます。Windows(Windows Server以外)を実行中のデスクトップ、ノートパソコン、およびその他のデバイスは、Active Directory環境の一部に入ることができますが、AD DSは実行しません。AD DSは、LDAP(Lightweight Directory Access Protocol)、KerberosおよびDNS(Domain Name System)など、確立されたプロトコルと標準に依拠しています。
Active Directoryは、オンプレミスのMicrosoft環境専用であることにご注意ください。クラウドのMicrosoft環境では、Azure Active Directoryを使用します。これはオンプレミス版と同じ目的で動作します。ADおよびAzure ADは別個のものですが、組織にオンプレミスとクラウド両方のIT環境(ハイブリッド導入)が存在する場合、ある程度は連携して動作することができます。
ADには、ドメイン、ツリー、およびフォレストという3つのメイン階層があります。ドメインとは、関係するユーザ、コンピューター、およびその他のADオブジェクト(企業の本社の全ADオブジェクトなど)のグループです。複数のドメインをまとめたものがツリー、複数のツリーをグループにしたものがフォレストです。
ドメインは、管理境界であることにご注意ください。あるドメインのオブジェクトは、単一のデータベースに保存され、まとめて管理することができます。フォレストはセキュリティ境界です。異なるフォレストのオブジェクトは、各フォレストの管理者がそれらの間に信頼を構築しない限り、相互にやり取りすることができません。例えば、連携していないビジネスユニットが複数ある場合、複数のフォレストを作成するとよいでしょう。
Active Directoryデータベース(ディレクトリ)には、ドメイン内のADオブジェクトに関する情報が含まれています。一般的なタイプのADオブジェクトには、ユーザ、コンピューター、アプリケーション、プリンター、および共有フォルダが含まれます。その他のオブジェクトを含むオブジェクトもあります(そのため、ADは「階層的」と表現されることがあります)。特に組織では、ADオブジェクトを組織ユニット(OU)に編成して管理をシンプル化し、ユーザをグループにしてセキュリティを効率化することがよくあります。このようなOUやグループは、それ自体がディレクトリに保存されたオブジェクトです。
オブジェクトは属性を持ちます。一部の属性は明示されていますが、明確にはわからない属性もあります。たとえばユーザオブジェクトは、一般的にユーザの氏名、パスワード、部署、およびEメールアドレスなどの属性を持ちますが、固有のGlobally Unique Identifier(GUID)、セキュリティ識別子(SID)、最終ログオン時刻、およびグループメンバーシップなど、ほとんど目にすることのない属性も存在します。
データベースは構造化されています。つまり、保存するデータのタイプや、そのデータを整理する方法を決める設計があります。この設計はスキーマと呼ばれます。Active Directoryも例外ではありません。そのスキーマには、Active Directoryフォレスト内に作成できるすべてのオブジェクトクラスと、Active Directoryオブジェクト内に存在できるすべての属性の公的な定義が含まれています。ADにはデフォルトのスキーマが設定されていますが、管理者はビジネスの必要に応じて変更することができます。重要なのは、スキーマは事前に慎重に計画するのが最善だということです。認証および承認においてADが中心的な役割を果たすため、後からADデータベースのスキーマを変更すると、業務に大きな混乱を招く可能性があります。
Active Directoryは現代のビジネスで成功するための中核を成します。Active Directoryの最も重要な領域におけるベストプラクティスの詳細については、次のページも参考にしてください。