【初心者用】Active Directoryについて

公開日: 2023/11/1

Active Directory(AD)とはマイクロソフトが提供するWindows Serverに搭載されている機能で、ネットワークにつないでいるクライアント端末やサーバー、プリンター、アプリケーションなどの情報を収集し、一元管理できるディレクトリサービスです。

ユーザーアカウントを集中的に管理できるので、ファイルやフォルダの共有データへのアクセス権限、プリンタなどの周辺機器への利用制限などユーザの利用権限を効率的に管理することができます。

複雑化するリソース管理のタスクも、Active Directoryを使うことによって管理しやすくなります。

1. Active Directoryとは

ディレクトリーについて

「何がどこにあるのかを示す総覧」のことで、パソコンの中にある「階層型のフォルダ構造」などもディレクトリの一種です。

ディレクトリーはあくまで「一覧表」のようなものなので、データの関係性や場所を分かりやすくするためのものです。


https://www.sbbit.jp/article/cont1/37798


■補足

※現在のWindows ServerのActive Directoryには複数のサービスがあり、Active Directoryドメインサービス、Active Directory証明書サービスなどがあります。

「Active Directory」という用語だけで使用されている場合、一般的にActive Directoryドメインサービス(AD DS)のことを指していることが多いです。

※クラウドコンピューティングにおけるディレクトリ・サービス・システムであるAzure Active Directoryと区別する場合、オンプレミス Active Directoryと表記することもあります。


https://cybersecurity-jp.com/column/31169

1-1. Active Directoryに出てくる用語説明

ドメイン

Active Directoryによって許可されたユーザーがアクセスできる範囲(=コンピュータグループ単位)のことです。

ちなみにADDSで管理されていない環境をWorkGroup(ワークグループ)***と言います。

※例 パソコンやサーバーなどの「モノ」
   企業・組織に関わる「ヒト」
   プロジェクトにかかる費用などの「コスト」
   パソコンや周辺機器の「性能」
   ファイルやフォルダなどの「データ」

ドメインコントローラー

ドメインコントローラーとはADのデータベースを保持するサーバのことです。

ドメインに関するありとあらゆる情報が入っているサーバーです。

※例 誰がどの部署にいるのか
   誰がどのパソコンを使用して良いのか
   どの部署や人がどのデータにアクセスして良いのか

シングルサインオン

一度ログインするだけで信頼関係を結んだドメインのリソースにアクセスできるようになります。

この仕組みを「シングルサインオン」と呼びます。

この特性によって、ユーザはシステムごとにユーザIDとパスワードの組を入力する必要がなくなります。

フェデレーション

外部のクラウドサービスやウェブサービスにおいてシングルサインオンができる関係性は「フェデレーション」と呼びます。

ドメインに参加するだけで別にIDとパスワードを入力することなしに「Office 365」や「Microsoft Azure」に接続できるようになっています。

2. Active Directoryの構成について

ドメイン

組織ごと(会社ごと)にドメインが異なります。

Windowsコンピュータはホスト名と呼ばれるコンピュータ名を設定して、ドメインまたはワークグループのいずれかに所属させる必要があります。

パソコンを新規で調達した場合は図のような設定を行う必要があります。所属するグループをドメインかワークグループで選択するようになっています。

ちなみにADDSで管理されていない環境をWorkGroup(ワークグループ)と言います。


子ドメイン

ドメインは階層構造にすることができ、このような構造をドメインツリーといいます。

組織単位(OU)

ドメイン内で管理を分ける場合にOUという単位があります。

ドメインは会社単位でOUが部署単位といったイメージです。

ドメイン・子ドメイン・ドメインツリー・OUの関係性のイメージ


サイト

物理的な拠点を指すものであり、拠点毎に纏めた単位がサイトと定義されます。

高速に通信できる範囲を示します。

”サイト” の仕組みにより、ドメイン環境にてネットワークの構成を最適化させることができます。


https://ittrip.xyz/soft/windows/ad-perfact#index_id2


フォレスト

ドメインツリー同士を信頼関係で繋ぐことができます。

以下のような範囲がADの最大範囲です。


https://ittrip.xyz/soft/windows/ad-perfact#index_id2


ドメインコントローラーは一台でも動作しますが、以下2点の理由から複数台で構成するのが望ましいです。

1.負荷分散

ユーザーが多数同時にアクセスしても遅延せず処理できるようにします。

CPUは並列処理が苦手なのでいくら高スペックのサーバであっても同時にアクセスが集中すると遅延する可能性があります。


2.障害対策

1台に障害が発生しても残りのサーバーでAD機能を利用できます。

※ドメインコントローラーの複製はマルチマスター複製という方法で、マスターがなく常にサーバー同士が同期しているといった複製方式です。

なのでADへの変更作業はどのドメインコントローラーで行っても良いということです。


https://ittrip.xyz/soft/windows/ad-perfact#index_id6


Active Directoryを構成する際に、はじめにどのようにフォレストやドメインを構成するか、ドメインコントローラーを何台配置するかについて検討を行います。

ドメインコントローラーの台数を検討するには、下記のような複数の要因を考慮して検討します。


・認証要求を行うユーザーやクライアントなどのオブジェクトの数

・同時にログオンを処理する必要はどの程度あるのか

・LDAPのクエリーの数(Exchange Serverなど)

・どの程度のサイトに分割する必要があるのか(拠点、ネットワーク構成)

・特定のアプリケーションに対し専用にドメインコントローラーを 必要とするのか

・(Windows Server 2003以前の環境の場合)パスワードポリシーの数
 

ドメインコントローラーは複数のサ

3. Active Directoryの具体的な機能

Active Directoryの主な機能は以下になります。

3-1. ①ユーザー認証とアクセス制御

各ユーザーのアクセス権限管理と認証も行えます。

ユーザーごとやグループごとに、閲覧可、データ編集可といったアクセス権限を付与し、そのリストに基づいて認証を行います。

3-2. ②ネットワーク上の機器やソフトウェアの管理

Active Directoryの管理機能は、ユーザーのみではなく、ネットワーク上(同一ドメイン上)に接続されているパソコンやプリンター、USBメモリといった機器類や、Windows OSやセキュリティソフトアプリケーションなどのソフトウェア、ファイルやフォルダも対象としており、これらの管理も行えます。

このため、ソフトウェアのアップデートを管理者側で一括で行ったり、USBメモリへの書き込みを不可能にしたり、プリンターのドライバーを一斉に配布したり、プリンターのIPアドレスの変更にActive Directory側の設定のみで対応したりということが可能です。

3-3. ③接続機器の一括管理

PCのWindows Updateやセキュリティソフトの更新を、Active Directoryに接続されているPCに対して一括で行うことができます。

また、開発に必要なツールがあれば、Active Directoryサーバーから一斉配布(インストール)を行うことも可能です。

つまり、すべての業務PCを常に同じ環境に整えておくことができ、一部のPCのソフトだけがバージョン不一致を起こすような環境エラーをなくすことができるということです。

3-4. ④Active Directory上の操作ログの閲覧・管理

Active Directory上での操作にはログが残り、これを閲覧したり管理したりすることができます。

イベントログとして、ログインや特権の割り当て、チケット要求といった認証に関するログが記録されており、これらを確認することで、アカウントの悪用やサイバー攻撃を受けた場合に手がかりとなる情報を得られる可能性があります。

ただし、Active Directoryでは、個々のパソコンの操作ログは取得することができません。

3-5. ⑤Microsoft365ユーザー連携

ADにユーザーを新規追加する際に、Microsoft 365へもアカウントも同時作成し、権限を割り当てられます。

また、GUI上からMicrosoft 365の既存ユーザーの権限を設定し直すこともできます。

4. メリット


4-1. ①ユーザーの一元管理

Active Directoryを利用する最大のメリットと言えるのが、ユーザーの一元管理です。

・PCやユーザーの管理負担を軽減

各PCの「WindowsUpdate」が可能です。

Windows Server には「WSUS(Windows Server UpdateServices)」という機能がありますが、ActiveDirectoryで全PCに対してWSUSへ接続し、自動的にWindowsUpdateを実施させることでPC及びユーザーの管理負担を軽減できます。

・PC設定やユーザーの権限をカスタマイズできる

特定の従業員のみアクセスを許可するシステムが実現可能です。

ユーザー権限については、一般ユーザーに対しては、各PCで管理者ユーザー権限でのインストールを必要となるソフトウェアがインストールできないよう、管理者権限を付与しないようにし、システム部門の管理者に対しては、管理者権限を付与する形で管理することが可能です。

・複数のPCに対して1つのアカウントでログインできる

ActiveDirectoryで管理しているPC(ドメイン参加しているPC)であり、ActiveDirectoryで作成したアカウントという条件を満たしていれば、どのPCに対しても1つのアカウントでログインすることが可能です。

4-2. ②情報アクセスのセキュリティ強化

外部からの持ち込みPCに、一時的に権限を付与する際にも、細かなアクセス制限を施せるので、セキュリティ面の強化には最適です。

4-3. ③業務環境がすぐに作れる

新しいプロジェクトメンバーが入った場合でも、開発環境などの業務に必要なPC環境がすぐに整います。

PCを立ち上げ、セットアップし、開発ツールなどをひとつずつインストールする作業が不要になり、Active Directoryサーバーへユーザーを登録することで、その他のメンバーと同じ環境をすぐに構築できます。

・ユーザー側のメリット

シングルサインオンが利用できるようになるため、利用している複数のシステムやアプリケーションで毎回、異なるID/パスワードを入力せずに済むので、パスワード忘れによるログインができなくなる問題がなくなります。

また、アップロードを手動でするわずらわしさがなくなります。

・管理者側のメリット

一元管理によって、管理作業にかかる負荷の軽減で業務の効率化ができます。

グループ単位で権限設定できるので手間が少なくて済みます。

・企業側のメリット

ユーザー・管理者とも業務を効率化できることから余計は人件費が発生せず、コストを削減できます。

ユーザーに依存せず管理者によるアップデートが可能なため、既知の脆弱性を放置したことに付け込まれるNデイ攻撃も防ぐことができます。

こうした点から、セキュリティ対策の面でもメリットがあります。

5. デメリット

①制限が厳しいと、操作のたびに管理者の許可が必要になる

②Active Directoryの導入時に初期コストがかかる

③Active Directoryに対する不正アクセスにより、社内すべてのパソコンが乗っ取られる危険性がある

④Active Directoryの機能を使いこなすためには、専門的な知識や技術が必要

6. まとめ

Active Directoryでどんなことができるのかを解説しました。

アクセス制御だけでなく、周りの接続機器に対しても一元管理できる便利さは魅力的です。

Active Directoryの機能を使いこなすことができれば、効率よく仕事ができそうです。