テックライフメディア

ActiveDirectory（AD）とは、Windows Server 2000以降に搭載されたディレクトリーサービスの名称で、WindowsOSの搭載されたコンピューター、POS、サーバーやプリンターなどのハードウェアからソフトウェアまでをなどの情報を集約し、一元的に管理します。

これにより企業は拠点間でのIoTのセキュリティ運用を社員番号や共通のIDといった一意の識別情報で管理が安易になりユーザー管理の効率化、業務効率化につなげられる点がメリットです。

本記事では、Active Directoryの基本的な内容に加え、専門用語の解説や重要視されつつある理由や機能面を詳しく紹介します。

Active Directoryとは？

Active Directory（AD）は、Windowsサーバーに搭載されるディレクトリサービスです。ネットワーク上の端末やサーバー、プリンター、アプリケーションなどの情報を収集し、一元管理できます。

ディレクトリーサービスとは、LDAP「Lightweight Directory Access Protocol」によって提供されるコンピューター、デバイス、アプリケーション、連絡情報などを一元に管理するインターフェイス付きシステムのことです。

Active Directoryに関連する用語解説

Active Directoryを理解する上で重要な関連用語があります。関連用語を理解しておけば、Active Directoryの全体を容易に理解し、自社における重要性を把握できるはずです。

ここからは、Active Directoryに関連する以下の用語を紹介します。

• ドメイン・サブドメイン
• ドメインコントローラー
• ドメインツリー
• フォレスト
• シングルサインオン

  • Kerberos認証

  • AzureAD認証
• LDAP
• DNS
• ボリュームライセンス
• 完全修飾ドメイン名
• コンピューター名
• NETBIOS名

ドメイン・サブドメイン

ドメインとは、企業内または組織・部署ネットワーク上でリソースやアクセス権限を一元管理する単位です。つまり組織全体の名称＝exmaple-corp.co.jp

企業や組織内のコンピューターやユーザー、プリンターなどのネットワークリソースがこの単位にまとめられます。＝ドメインネットワーク参加

ネットワークに参加したクライアント、サーバー、ユーザーアカウントはすべて後述のドメインコントローラーと呼ばれるデータベース上に、記録されます。ドメインコントローラー

ドメインコントローラー

ドメインコントローラーとは、ActiveDirectoryサービスがインストールされドメインコントローラーとして昇格されたサーバーが持つ機能で、ユーザーアカウント、コンピューターアカウントなどの認証情報をすべて保管・記録しLDAPを通じてクライアントの認証を置こうなうホストのことです。

役割をまとめると

• ドメイン・サブドメイン：組織や部署の名称
• ドメインコントローラー：ドメインの機能全般を提供するサーバー

ドメインツリー

ドメインツリーとは、ドメイン間で信頼関係を構築し、ドメイン間のアクセスを効率化する設定を指します。

大規模な組織では、さまざまな部門や子会社・外注先とアクセス権限を共有することもあるでしょう。これらの一連の動作において、信頼関係を結んでいるドメイン間では、管理者のポリシー次第で自由にリソースにアクセスできるようになります。

ドメインツリーを作成することで、データ閲覧のために新アカウントを作成したり、新しいユーザーを追加して権限を承認する必要がなくなるため、利便性向上が期待できます。

フォレスト

フォレストは複数の「ドメインツリー」から成り立っている大きなネットワークの構造を指します。フォレスト内の各ドメインツリーは、互いに信頼関係を持ち、リソースの共有やアクセス権限の管理が行えます。

たとえば、大規模な組織や別会社のアクセスを管理する場合、多国籍企業が異なる国や地域にある複数のドメインツリーなどを管理するために役立ちます。

シングルサインオン

シングルサインオン (SSO) は、ユーザーが一度のログインで複数のアプリケーションやサービスにアクセスできる認証方式です。

通常、複数のシステムを利用する際は、システム別でユーザー認証が必要になりますが、シングルサインオンを採用することでユーザーは複数のパスワードを覚える必要がなく、一つの認証情報で全ての連携サービスを利用できます。

これにより、ユーザーの利便性が向上するだけでなく、複数サービスでパスワードを設定する必要がない代わりに、英数字を混同させた強固なパスワード設定を行うきっかけになり、情報セキュリティの強化が期待できます。

フェデレーション

フェデレーションは、異なる組織間でユーザー認証情報を共有するためのシステムです。

この仕組みにより、ユーザーは異なる組織のシステムやサービスに対しても、1度のユーザー認証で複数のサービスやシステムにアクセスすることができます。

シングルサインオンを実現する一つの方式であり、他の導入方法に比べて簡単に実現できる点が特徴です。

LDAP

LDAP「Lightweight Directory Access Protocol」ディレクトリーサービスで提供されるコンピューターやユーザー、アプリケーションを管理するためのプロトコルのことでActiveDirectory＝LDAPというわけではない

DNS

DNS「Domain Name System」は、ネームサーバに記録されるActive Directory環境において、ドメインコントローラーやドメイン参加クライアントのアドレス情報を管理する仕組みを指します。この仕組みにより、ネットワーク内で効率的かつ確実なアドレス解決が実現されます。

完全修飾ドメイン名

完全修飾ドメイン名（Fully Qualified Domain Name、FQDN）は、特定のホストをインターネット上で一意に識別するための完全なドメイン名を指します。FQDNは、ホスト名とドメイン名の両方を含み、ルートドメインを示すピリオド（"."）で終わる形式を持っています。例えば、「www.example.com.」のように記述されます。この形式により、ネットワークやDNS（Domain Name System）が正確にホストを解決することが可能になります。FQDNは、特にサーバー設定やセキュリティ証明書の発行などで重要な役割を果たします。

コンピューター名

コンピュータ名とは、コンピュータの識別を目的として付けられる名称のことです。この名称は、ネットワーク上で各デバイスを区別するために使用され、管理や通信を効率的に行うための重要な要素となっています。通常、コンピュータ名は英数字や記号を組み合わせた形式で設定され、システム管理者やユーザーが任意に設定することが可能です。適切な命名規則を採用することで、ネットワーク環境内でのトラブルシューティングや管理が容易になります。

NETBIOS名

NETBIOS名は、ネットワーク上のコンピューターやデバイスを識別するために使用される名前で、主にWindowsベースのネットワーク環境で利用されます。この名前は16文字以内で構成され、通常はホスト名やワークグループ名として設定されます。NETBIOS名は、古いネットワークプロトコルであるNetBIOS（Network Basic Input/Output System）を基盤としており、特定のコンピューターを指定してリソースやサービスにアクセスする際に役立ちます。現在では、DNS（Domain Name System）などの新しい技術に取って代わられている部分もありますが、レガシーシステムや特定のネットワーク構成では依然として重要な役割を果たしています。

Active Directoryが必要になった理由は？

Active Directoryが必要になった理由には、これまで利用されていた「NTドメイン」が関係しています。Active Directoryが登場する前まではNTドメインにより情報が管理されていましたが、これには以下の課題がありました。

• ドメインの階層構造を作成できない
• 大規模での利用に向いていない
• DBの保存容量が少ない

これらの課題があるため、企業での利用に制限がかかっていました。

たとえば、組織の人数が多いと上層部と一般社員で権限やドメインを分けることがありますが、NTドメインではドメインごとの管理ができないために、明確なラインを引いて分けることはできませんでした。

また、NTドメインはLAN環境が一般的であった時代に合わせて構築されているため、WANなどの広域なネットワークには対応していません。SAM（アカウント情報などを格納しておく保存先）も最大で4万件と現在の利用には向いていないことが課題として挙げられていました。

Active Directoryはこれらの課題を解決するために生まれたもので、容量不足やドメインの階層構造を作成できるようになったことで、制限なく利用できるようになりました。その結果、接続機器の一元管理やユーザーのアクセス制限・管理もしやすくなっています。

具体的には、複数システムでユーザーIDやパスワードを一括管理できるため、ユーザーがパスワードを覚えておく必要がなくなりました。また、ユーザー管理の権限を持つ担当者が一括管理できるようになったため、業務工数の削減にもつながります。