Active Directory(アクティブディレクトリ)は、企業や組織で広く使用されるディレクトリサービスで、ユーザー、グループ、コンピュータ、プリンタなどのリソースを一元的に管理するためのツールです。Windows Serverで提供されるこのサービスは、企業内のネットワーク環境において、認証、アクセス制御、リソース管理などの重要な役割を果たします。この記事では、Active Directoryに関する基本的な用語や概念、操作方法について包括的に説明します。
1. Active Directoryの基本
Active Directoryは、Microsoftが提供するディレクトリサービスで、ネットワーク上のオブジェクト(ユーザー、グループ、コンピュータ、共有フォルダなど)を管理するためのサービスです。ディレクトリサービスは、これらのオブジェクトに関する情報を一元的に格納し、ユーザーがネットワーク内でリソースを簡単に検索したり、アクセスしたりできるようにします。
Active Directoryは、企業内でのセキュリティや管理を効率化するための重要なツールです。主な役割としては、認証(ユーザーがネットワークにアクセスするための認証)、認可(ユーザーがアクセスできるリソースの管理)、および監査(アクセスログの管理)があります。
2. 主な用語と概念
ドメイン(Domain)
Active Directoryで最も基本的な単位は「ドメイン」です。ドメインは、ネットワーク上のすべてのオブジェクト(ユーザーアカウント、コンピュータアカウント、グループなど)が属する論理的なグループです。ドメインは、同じセキュリティポリシーを共有するネットワーク上のコンピュータやリソースを管理します。
ドメインコントローラー(Domain Controller)
ドメインコントローラーは、Active Directory環境の中心となるサーバーです。ドメインコントローラーは、ユーザーの認証やアクセス権限のチェックを行い、ドメイン内のすべてのリソースに関する情報を管理します。複数のドメインコントローラーを配置することで、冗長性を確保し、可用性を高めることができます。
ユーザーアカウント(User Account)
ユーザーアカウントは、Active Directory内で個々のユーザーを識別するために使用されるアカウントです。ユーザーアカウントには、ユーザー名、パスワード、所属グループ、権限などの情報が含まれます。ユーザーアカウントを使用して、ネットワーク上のリソースにアクセスすることができます。
グループ(Group)
グループは、複数のユーザーアカウントをまとめて管理するためのオブジェクトです。グループを利用することで、ユーザーごとに個別に設定するのではなく、一括して権限やポリシーを適用することができます。グループには、セキュリティグループと配布グループの2種類があります。
組織単位(Organizational Unit, OU)
組織単位(OU)は、Active Directory内でオブジェクトを論理的にグループ化するためのコンテナです。OUを使用することで、組織内の部門やプロジェクトごとに異なる管理ポリシーを適用できます。OUは、ドメイン内で階層的に配置されることが一般的です。
3. Active Directoryの構成要素
Active Directoryは、いくつかの重要な構成要素から成り立っています。
スキーマ(Schema)
スキーマは、Active Directory内で格納されるデータの種類とその構造を定義するルールです。例えば、ユーザーアカウントにどのような属性(名前、メールアドレス、電話番号など)が含まれるかを決定します。スキーマは一度作成されると、すべてのドメインコントローラーで共有されます。
グローバルカタログ(Global Catalog)
グローバルカタログは、Active Directory内のすべてのオブジェクトに関する情報を格納しているデータベースです。ユーザーがどのドメインに属しているかに関わらず、グローバルカタログにアクセスすることで、ネットワーク全体のオブジェクト情報を迅速に検索することができます。
レプリケーション(Replication)
Active Directoryのデータは、複数のドメインコントローラー間で複製されます。このプロセスをレプリケーションと呼びます。レプリケーションにより、ドメインコントローラー間で情報の一貫性を保ち、可用性を高めます。
トラスト(Trust)
トラストは、異なるドメインやフォレスト間での信頼関係を確立するためのメカニズムです。信頼関係を構築することで、ユーザーは他のドメインのリソースにアクセスすることができます。例えば、企業の親会社が持つドメインと子会社のドメインとの間に信頼関係を結ぶことで、ユーザーは親会社のドメインと子会社のドメインをシームレスに利用できるようになります。
4. Active Directoryの管理ツール
Active Directoryを効果的に管理するためには、いくつかのツールを使用することが一般的です。
Active Directory Users and Computers(ADUC)
ADUCは、最も基本的な管理ツールで、ユーザーアカウントやグループ、コンピュータ、OUなどを管理するために使用されます。ADUCを使用することで、ネットワーク上のリソースの作成、削除、変更を行うことができます。
Active Directory Sites and Services
Active Directory Sites and Servicesは、ネットワークの物理的な構成を管理するツールです。これにより、サイトの作成、サイト間のレプリケーションの設定、およびサイトのトポロジーを管理することができます。
Active Directory Domain Services (AD DS)
AD DSは、ドメインコントローラー上で実行されるサービスで、Active Directoryの中心的な役割を担います。これを使用して、ドメイン内のすべてのリソースの管理を行います。
5. Active Directoryのセキュリティ
Active Directoryのセキュリティは、企業内のネットワークセキュリティにとって極めて重要です。以下の対策が推奨されます。
強力なパスワードポリシー
ユーザーアカウントのセキュリティを確保するためには、強力なパスワードポリシーを設定することが重要です。例えば、パスワードの最小長、複雑さ、期限切れなどのポリシーを定め、パスワードの漏洩や不正アクセスを防ぐことができます。
ログイン試行の制限
不正なアクセスを防ぐために、一定回数以上のログイン失敗があった場合にアカウントを一時的にロックするポリシーを設定することが推奨されます。
権限の最小化
ユーザーには、業務に必要な最小限の権限のみを与える「最小権限の原則」を適用することが重要です。これにより、万が一アカウント