Active Directory 【アクティブディレクトリ】 AD
概要
Active Directory(アクティブディレクトリ)とは、Windows Serverの機能の一つで、管理するネットワーク上に存在する様々な資源やその利用者の情報や権限などを一元管理することができるもの。一般的には「ディレクトリサービス」と呼ばれる機能の一種で、ネットワーク上に存在するWindowsで稼働するサーバやクライアントなどのコンピュータ、プリンタなどの周辺機器、それらを使用する利用者の識別・認証情報(ユーザーアカウント)や各資源へのアクセス権限などの情報を一元管理することができる。
企業の情報システム管理者などが、ネットワーク上に散在するコンピュータや情報機器、それを利用する従業員の利用権限などを効率よく管理するために用いられる。利用者や資源は一定の集団を単位に管理され、複数の集団を結びつけて大規模な組織やネットワークを管理することもできる。
ドメインとドメインコントローラ
Active Directoryでは、同じ資源情報のデータベースを共有する範囲のことを「ドメイン」という。他の分野の用語「ドメイン」と区別したい場合は「ADドメイン」と呼ぶこともある。
ドメインにはデータベースの管理を行う「ドメインコントローラ」が置かれ、ドメイン内の資源や利用者、アクセス権限などについての情報を一元的に登録、管理する。ドメイン内の利用者やクライアント機はドメインコントローラに問い合わせを行い、ログオン手続きや資源へのアクセス可否の判断などを行う。
一つのドメインには一台以上のドメインコントローラが必要で、複数台を設置して互いにデータのバックアップや処理の負荷分散、停止時の処理の肩代わりなどを行わせることもできる。コントローラの機能はWindows ServerシリーズのOS製品に標準で内蔵されている。
ドメインツリーとフォレスト
ドメインはインターネット上のドメイン名と同じDNS(Domain Name System)の仕組みを流用しており、「.」(ピリオド/ドット)で区切られた階層構造で表記される。「.com」「.jp」などで終わるインターネットのドメイン名をそのまま使う場合もあるが、末尾が「.local」のような組織内ネットワークでのみ通用するローカルなドメイン名を作成することもある。
ドメイン名は右端の要素を最上位として、各要素の左隣の要素がそれぞれ下位の子ドメインを表す階層構造となっている。同一の上位ドメインに属するドメインの集合体を「ドメインツリー」(domain tree)という。同じツリーに属するドメイン同士は互いに信頼関係にあり、あるドメインの利用者が他のドメインの資源にアクセスすることができる。
異なるドメインツリー間でも、頂点のドメインコントローラ同士が信頼関係を結ぶことで相互にアクセスできるようになる。このように複数のツリーが連結された連合体を「フォレスト」(forest:森)という。便宜上、単一のドメインツリーもフォレストを構成するため、すべてのドメインは何らかのフォレストに所属している。
OUとグループポリシー
Active Directoryでは設定や権限を管理する最小単位となる、ユーザーアカウントやコンピュータ、リソースの集合を「OU」(Organizational Unit)という。
ドメイン内のユーザーアカウントや共有リソースはいずれかのOUに属している必要があり、OU全体で共通する設定などを一元的に管理することができる。OUの下位にOUを設けて階層構造にすることもでき、ドメイン管理者がOU管理者に権限の一部を移譲したり、上位OUの設定を下位OUに引き継いで適用したりすることができる。
各OUには設定や権限などの指定を行うが、すべてのOUに個別に設定を行うのは手間がかかることがあるため、設定値の組み合わせを「GPO」(Group Policy Object)という雛形にまとめ、OUをGPOに紐付けることで設定を行う。この仕組みを「グループポリシー」(group policy)という。
OUは現実の組織構造を反映し、「△△支店」のような地理的な配置、あるいは「○○部」「××課」といった部署などに即して作成することが多いが、必ずしも一致している必要はなく、情報システム側の管理上の都合で組織構成とは一部が異なる場合もある。
Microsoft Entra ID
Active Directoryの仕組みは米マイクロソフト(Microsoft)社のクラウドサービス「Microsoft Azure」でも利用することができ、「Microsoft Entra ID」というサービス名で提供される。旧称は「Azure Active Directory」(Azure AD)。
Azure上に展開したサービスやMicrosoft 365など同社サービスにアクセスするためユーザーアカウントを登録・管理するための仕組みで、利用者の認証(サインイン)、クラウドサービスやデータに対するアクセス制御などの機能を提供する。
SAMLやOpenID Connectといった標準技術に対応し、一度のサインイン手続きで複数のサービスを横断的に利用できる「シングルサインオン」(SSO:Single Sign-On)、同社以外のネットサービスや外部システムにログインできる「IDフェデレーション」(ID連携)などの機能も利用できる。
組織内ネットワークのWindows Serverで構成されたActive Directory(オンプレミスAD)と連携することもでき、社内システムと同社のクラウドサービス、外部のネットサービスなどを同一のアカウント情報で横断的に利用できるよう設定することもできる。
関連用語
他の辞典による解説 (外部サイト)
- ウィキペディア 「Active Directory」
- SOMPO CYBER SECURITY サイバーセキュリティ用語集 「Active Directory」
- Insider's Computer Dictionary 「Active Directory」
- IODATA ビジネスNAS入門 「Active Directory」
- エリートネットワーク ビジネス用語集 「Active Directory」
- Proofpoint サイバーセキュリティ用語集 「Active Directory」
- デージーネット 用語集 「ActiveDirectory」
- TechTerms.com (英語) 「Active Directory」
- Computer Hope (英語) 「Active directory」
- WhatIs.com (英語) 「active directory」
この記事を参照している文書など (外部サイト)
- 京都工芸繊維大学 情報科学センター「マイクロソフトとの包括契約(OVS-ES)に基づくライセンスの利用について」(PDFファイル)にて引用 (2018年4月)
共有ボタンをタップ