|
◆ Active Directory(アクティブディレクトリ)とは
Active Directoryとは、Windows Serverの機能であり、ユーザとコンピュータを管理する仕組みのことです。
Active Directoryによりユーザ認証とアクセス制御を行うことができます。ユーザアカウントを集中的に管理
できますし、ファイルやフォルダの共有データへのアクセス権限、プリンタなどの周辺機器への利用制限など
ユーザの利用権限を効率的に管理することができます。
現在のWindows ServerのActive Directoryには複数のサービスがあり、Active Directoryドメインサービス、
Active Directory証明書サービスなどがあります。「Active Directory」という用語だけ使用されている場合、
一般的にActive Directoryドメインサービス(AD DS)のことを指していることが多いです。
※ 本記事においても、「Active Directoryドメインサービス」のことを「Active Directory」という用語を使用して解説しています。
◆ Active Directory:採用している主な技術
Active Directoryはディレクトリサービスの一種ではありますが、様々な技術が使用されています。例えば、
ディレクトリサービスにはLDAP、ユーザ認証にはKerberosなどのプロトコルが使用されています。そして
名前解決サービスとしてDNSを採用しています。
| Active Directoryの主な機能 |
Active Directoryで採用している主な技術 |
| ディレクトリサービス |
LDAPプロトコル(情報の保管と検索を行うプロトコル) |
| ユーザ認証 |
Kerberosプロトコル |
| 名前解決サービス |
DNS(Domain Name System) |
◆ Active Directory:ドメイン
Active Directoryではドメインと呼ばれる単位で管理範囲を定義しています。ドメインを1つ作成することで
組織内のユーザ、グループ、コンピュータなどのリソースを集中管理できるようになります。
Active Directoryでは、ユーザ、コンピュータ、プリンタ、共有データなどのネットワーク上のリソースを
階層的に管理しています。ドメインとは、Active Directoryによりこれらのリソースを管理・共有する範囲
のことです。なお、ドメインはADドメインともいいます。
ドメインではドメインコントローラと呼ばれるWindows Serverが、ユーザIDとパスワードにより認証を
行います。認証されたユーザは、権限のある共有フォルダやプリンタなどのリソースにアクセスできます。
※ ドメインコントローラでは「 Active Directoryドメインサービス 」が実行されている必要があります。
※ Active Directoryデータベースに登録されているユーザであれば、ドメイン内のどのWindows PCを利用してもログオン可能。
ドメインコントローラはユーザ認証や管理だけではなく、ドメイン内のリソースに直接干渉することが
可能であることから、パソコンのOSやセキュリティソフトの更新作業などを遠隔で行うことが可能です。
Active Directoryでは、複数のユーザアカウントはグループアカウントと呼ばれる1つの代表アカウントに
ひとまとめにできます。グループアカウントを作成することでフォルダやプリンタなどの共有リソースに
対するアクセス権限をユーザアカウントごとに設定することなくグループアカウントごとに設定できます。
◆ ドメインとワークグループの違い
Windowsのユーザ管理をする仕組みには「ドメイン」と「ワークグループ」の大きく2種類があります。
企業ネットワークは、セキュリティ性と集中管理の観点から、一般的にドメインで構成されていますが、
SOHOや家庭利用などPC数が少ない環境ではワークグループで構成されています。Windowsパソコンの
デフォルトは「ドメイン」ではなく、WORKGROUPという名称の「ワークグループ」に参加しています。
ワークグループでは、各PCで各自が利用するユーザアカウントを管理することから、一元管理する役割
のドメインコントローラなどのサーバは不要ですが、セキュリティ対策はしっかりと行う必要があります。
Windows PCを「ワークグループ」から「ドメイン」参加に変更したい場合、ネットワーク上のドメインで
ドメインコントローラを構築した後、Windows PCの「システム」画面の「設定の変更」画面のなかにある
所属するグループを「ドメイン」に変更してドメイン名を入力します。その後、ドメインに参加するための
アクセス許可のあるアカウントとパスワード画面が表示されるので入力して、PCを再起動すれば完了です。
|