Active Directoryとは何？ わかりやすく解説 Weblio辞書 (original) (raw)

Active Directory (アクティブディレクトリ) とはマイクロソフトによって開発されたオンプレミスにおけるディレクトリ・サービス・システムであり、Windows 2000 Serverから導入された、ユーザとコンピュータリソースを管理するコンポーネント群の総称である。なお、クラウドコンピューティングにおけるディレクトリ・サービス・システムである**Azure Active Directoryと区別する場合、オンプレミス Active Directory**と表記することもある[1][2]。

目次

• 1 経緯
• 2 Active Directoryの構成要素と概念
  • 2.1 ADドメイン
  • 2.2 フォレスト
  • 2.3 組織単位
  • 2.4 サイト
  • 2.5 マルチマスタレプリケーション
• 3 ADSI
• 4 関連項目
• 5 脚注
• 6 外部リンク

経緯

Microsoft Windows 95発売後、Windowsはグラフィカルユーザインタフェース (GUI) で操作できる利便性からクライアント用オペレーティングシステム (OS) として急速に普及した。標準でネットワーク機能を有していたことから、主に企業や大学などでPCのネットワーク化が促進されたが、ユーザ管理やアクセス制御機能が貧弱で、ネットワークの規模が拡大するにつれて管理上の弱点となっていった。

これに対してWindows NTでは、クライアントPC単体でユーザ管理およびアクセス制御機能を搭載しており、さらにWindows NTサーバを中心とするNTドメインを構築することで、ユーザーおよびパーソナルコンピュータ (PC) のユーザアカウントをドメインコントローラ (Domain controller、以下DC) で集中管理できるようになった。

やがてNTサーバが大規模ネットワークでも利用されるようになると、NTドメインの短所が指摘されるようになった。

• ドメイン間の階層構造がとれない
• PC名 (NetBIOSコンピュータ名) の名前空間が単一であるため、別NTドメインであっても同名のPCが同一ネットワーク上に存在できない
• 基本的にLAN内で構築することが前提のシステムであり、WANのような狭帯域の回線が存在すると、ログオン認証パケットの不達や遅延によるアクセス不能問題を起こしやすい。
• Security Account Manager (SAM) データベース の最大容量が40MBと少なく、ユーザーアカウントやコンピュータアカウントを4万件程度しか登録することが出来ない。

などである。

これらの問題を解決し、NTドメインのユーザーおよびコンピュータ管理機能を継承しつつ、大規模ネットワークでも利用できるように大幅に改良したのがActive Directory (以下AD) である。

ADでは、上記の欠点を改善したほか、以下のような特徴を持つ。

• DNSやケルベロス認証システム、LDAPの導入など、いわゆる「インターネット系のオープン技術」が大幅に取り入れられている。
• DNSやDCにおいて、複数のマスタサーバが存在する「マルチマスタシステム」が取り入れられている。

半面、ADを構築するにはDNSサーバの設置やゾーン情報の編集が必須となるなど、設計、構築、運用、保守の全てにおいて必要なスキル水準が上昇した。したがって、ファイルとプリンタの共有ができれば十分であり、システムをリプレースするメリットはないと判断して導入を見送ったユーザーも多かった。

Active Directoryの構成要素と概念

出版企業の内部ネットワークを単純化した一例。企業は4つのグループを持ち、ネットワーク上の3つの共有フォルダーに対してそれぞれアクセス許可が与えられている。

ADドメイン

ADドメインとは、Windows 2000 Server以降のWindows Server DCで構成される、ユーザーとコンピュータの管理単位である[3]。

DCはADをインプリメントした実体であり、ディレクトリデータベースにPCやユーザー、グループなどのアカウントを登録することにより、ユーザーやコンピュータの権利と権限の集中管理を可能とする。また、「グループポリシー」機能によってPCやユーザーの環境を制御できる。

ADドメインに登録されたユーザは「Domain Users」など何らかのセキュリティグループに所属しており、通常は管理を簡略化するためグループ単位でセキュリティを設定する。セキュリティグループには、適用範囲の狭い順に「ビルトインローカル」「ドメインローカル」「グローバル」「ユニバーサル」の4種類があり、異なる種類のグループを別のグループに所属させる“入れ子”も可能である。

ADドメインの主要な機能である、ユーザー認証とグループポリシーの適用を管理する機能を持たされた特別なサーバがDCである。DCはクライアントPCから常に参照可能でなければならないため、IPアドレスを固定で割り当てる必要がある。ADドメインのドメイン階層構造はDNSの名前階層構造をLANに応用したものであり、コンピュータ間の名前解決にはDNSサーバが必須である。

基本的に1つのフォレストに1台のDNSサーバがあればサブドメインを含めて統一管理できるので、必ずしもADのサブドメインにDNSサーバを設置しなくてもよい。ただし1台だけではサービス効率と耐障害性が劣るため、通常は複数台設置する。

ディレクトリデータベースはDC間で「マルチマスタレプリケーション」が行われており、ユーザアカウントの登録などディレクトリデータベースへの変更操作は、基本的にすべてのDCで可能である。ただし、Windows Server 2008の「読み取り専用DC」においてはこの限りではない。ちなみにNTドメインではSAMの“原本”を扱うプライマリDCがただ1台あり、必要に応じてバックアップDCを追加する。ユーザアカウントの登録などは常にプライマリDCが行い、バックアップDCは複製されたSAMを参照してユーザー認証を行う。

フォレストの階層構造の変更や、オブジェクトの元となるスキーマの編集、相対IDの発行などは、ドメインまたはフォレストごとに1台存在する、Flexible Single Master Operations (FSMO) の操作マスタを実行するDCが占有的に操作する。

ログオン認証などでは、サイズが大きくサーチに時間がかかるディレクトリデータベースよりも、もっぱら簡易なグローバルカタログ（GC）が多用される。

フォレスト

フォレストは、DNSの名前階層に基づく1つ以上のADドメインの階層的集合である。1つ以上のADドメインを含むシステム領域であり、ADの概念の中で最も外側の領域である。

1つ以上のADドメインを設置する際に、DNSの名前階層に従って階層構造、すなわちフォレストを構成できる。Wikipediaを例に取ると、基準となるADドメインD1 (ja.wikipedia.org) の下層に作成されたADドメインD2 (sub1.ja.wikipedia.org) は「サブドメイン」となる。基準ドメインD1とサブドメインD2の間には自動的に双方向の信頼関係が結ばれる。サブドメインD2は、ドメインD1の下に作成された別のサブドメインD3 (sub2.ja.wikipedia.org)、あるいはドメインD1のさらに上位ドメインD0 (wikipedia.org) とも自動的に信頼関係が結ばれる。つまり、「ドメインD2がドメインD1を信頼し、ドメインD1がドメインD0を信頼しているとき、ドメインD2はドメインD0を信頼する」という論理で信頼関係を結ぶ。これを「信頼の推移」と呼ぶ。

同一フォレスト内のADドメインであれば、信頼の推移が行われるとともに、グループの共有も可能である。ただ1つのADドメインしかなくてもフォレストを形成し、シングルフォレスト、シングルドメイン、シングルサイト構成になる。最初に構築したADドメインは「フォレストルートドメイン」となり、他のADドメインを増設する際の基準ドメインになる。先の例では、ドメインD0 (wikipedia.org) がフォレストルートドメインであり、他のADドメインに先駆けて最初に構築しなければならない。

Windows 2000 Serverによるフォレストでは、フォレスト間で一括して信頼関係を結ぶことはできない。すなわち、フォレストルートドメイン間で信頼関係を結んでも、サブドメインには信頼は推移しない。NTドメインと同様に、異なるフォレストに属するADドメイン間で個別に信頼関係を結ぶことはできる。Windows Server 2003以降では「フォレスト間信頼」がサポートされ、フォレストルートドメイン間で信頼関係を結ぶことで、各フォレストに属するADドメインも自動的に推移する信頼関係を結んだことになる。

組織単位

組織単位 (OU; Organizational Unit, Organization Unitとも) とは、セキュリティグループとは別に、ユーザーやコンピュータを管理するグループである。本社、支社、支店といった大きな分類の下に、経理、営業、総務、開発などのOUを作成して、現実の組織体制や資産管理体制に即したグループの階層を構築することで、運用管理を容易にする。組織体制に則した複数のADドメインを作成する必要がなく、セキュリティ要件が同一であれば、単一ドメインで管理できる。

また、OUにはグループポリシーオブジェクトをリンクできるので、「開発用のPCではデスクトップ環境をカスタマイズ可能にするが、経理のPCでは変更できないようにしたい」といった要求に対応できる。

サイト

サイトはADとはやや性格を異にする、物理ネットワークの境界に基づいた概念であり、主に4つの目的で使用される。すなわち、ディレクトリデータベースの複製トラフィックの最適化、ログオン認証トラフィックの最適化、グループポリシーの適用スコープ変更、そして管理の委任である。

通常は同一LANで通信できる範囲をサイトとする。ただし高速なWAN回線を使う場合はWANを越えたサイトを作成することもある。ADドメインを新規構築すると、自動的に「Default-First-Site-Name」という名前のサイトも作成されるため、意識せずともサイトを利用する。

サイト内では、ディレクトリ情報は変更がある度に圧縮されずに複製される。また複製パスは最大3ホップの複数リング状に構成される。一方、サイト間の場合は、定期的に (既定値は180分、最短で15分に構成可能)、圧縮して複製される。また、複製パスはスパンツリー型に構成される。

クライアントは、自分のサブネット情報をもとにサイト情報を取得し、同一サイトのDCに対して優先的に認証を要求する。

サイトの目的を達成するためには、各サイトに1台以上のDCが設置されている必要がある。DCのないサイトは、近隣サイトのDCがそのサイトを自動的に担当する。これを「自動サイトリカバリ」と呼ぶ。

あるDCが持つディレクトリ情報を他のサイトのDCに複製することを、「サイト間**レプリケーション**を行なう」という。レプリケーションを行なうDCは、管理ツールの「Active Directoryサイトとサービス」でサイトを作成し、レプリケーションパートナーとなる相手のサイトリンクと関連付ける必要がある。レプリケーションすることで、ディレクトリデータベースの情報を共有するため、グループポリシーやデータベースをパートナー同士で自動的に最新の状態を維持することができる。

ひとつの地域に複数のDCがあるとき、サイト内と同様のパスで他の地域とレプリケーションすると、ネットワークに膨大な負荷がかかる。そのためサイト内の1台のDCを「ブリッジヘッドサーバ」、すなわち橋頭堡として自動的に選出し、そのDCをサイトの代表としてサイト間複製を行う。そのほかのDCはそのブリッジヘッドサーバから得た情報をサイト内で複製する。つまり、ブリッジヘッドサーバは、他の地域からレプリケーションされたものをそのサイト内のすべてのDCへレプリケーションする。そうすることで効率よく最新の状態を確保している。

• 例
  東京にあるDC「wiki」と、大阪にあるDC「pedia」があるとする。二つのDCはレプリケーションパートナーとなっている。
  東京のDCのドメインに参加しているクライアントを使っている「草薙さん」がブリッジヘッドサーバのグループポリシーを変更すると、定期的に変更が大阪のレプリケーションパートナーにもフィードバックされ、大阪のブリッジヘッドサーバにも変更が反映されるため、大阪ドメインの「バトーさん」も同じ状態のグループポリシーで作業ができる。
  同じように全国のDCをレプリケーションパートナーとして設定すると、東京で変更したディレクトリデータベースが自動的に自分の参加しているDCに反映されるため、東京のサーバにアクセスする必要が無い。また、レプリケーション間隔はDCで設定できる。ここで設定した間隔もすべてのパートナー間でレプリケーションする。

マルチマスタレプリケーション

マルチマスタレプリケーションとは、分散管理されているADのディレクトリデータベースおよびグループポリシーオブジェクトを、矛盾なく相互に交換し統合する複製手法である。同一オブジェクトが複数のDCで更新された場合、時系列的に後に更新されたオブジェクトが採用される。これによって、複数DCで齟齬が生じる状況を回避できる。

ADSI

アプリケーションがADにアクセスするためのAPIが、ADSI (= Active Directory Service Interface) である。AD内のオブジェクトの検索、閲覧、編集、削除を実行できるため、例えばユーザー管理やコンピュータ管理などの操作を自動化することができる。

関連項目

• ネットワークオペレーティングシステム
• LAN Manager
• ドメインコントローラ
• Samba - オープンソースのActive Directoryドメインコントローラ

脚注

1. ^ “Azure AD (Office 365) 上のユーザーをオンプレミス Active Directory ユーザーと紐付ける方法について”. マイクロソフト (2017年3月22日). 2021年3月14日閲覧。
2. ^ “de:code 2015 Azure Active Directory とオンプレミス Active Directory の連携”. マイクロソフト (2017年3月22日). 2021年3月14日閲覧。
3. ^ “Active Directory ドキュメント”. マイクロソフト (2020年11月9日). 2021年3月14日閲覧。

外部リンク

• 『Active Directory』 - コトバンク

表 話 編 歴
人物	創業者 ビル・ゲイツ ポール・アレン 取締役会 ジョン・Ｗ・トンプソン サティア・ナデラ チャールズ・ノスキー（英語版） ヘルムート・パンケ（英語版） ジョン・W・スタントン（英語版） リード・ホフマン サンディ・ピーターソン（英語版） ペニー・プリツカー（英語版） チャールズ・シャーフ（英語版） アーン・ソレンソン（英語版） パッドマスリー・ウォーリアー（英語版） 上級幹部チーム サティア・ナデラ（CEO） スコット・ガスリー（英語版） エイミー・フッド（英語版） (CFO) フィル・スペンサー コーポレートバイスプレジデント ジョー・ベルフィオーレ（英語版） リチャード・ラシッド (SVP) パノス・パネイ（英語版） (CVP)
ソフトウェア	クライアント Windows (コンポーネント（英語版）) Internet Explorer Microsoft Edge Office Visual Studio Visual Studio Code Security Essentials Expression Money エンカルタ Student Mathematics Works MapPoint（英語版） Virtual PC Forefront Home（英語版） Midtown Madness Bob アップル・マッキントッシュ向け製品群 はがきスタジオ サーバー Windows Server SQL Server IIS PWS（英語版） Exchange BizTalk Commerce（英語版） Dynamics ISA Server System Center Home Server SharePoint WSS MOSS Search Server（英語版） Skype for Biz リモート デスクトップ サービス Microsoft Host Integration Server（英語版）
開発言語	BASIC VB.NET VBA VBScript Visual Basic C# F# MVPL（英語版） PowerShell Transact-SQL TypeScript Q# Visual J# Visual J++
技術	Active Directory DirectX .NET Windows Media PlaysForSure（英語版） App-V（英語版） Hyper-V Silverlight Windows Mobile Windows Embedded Mediaroom（英語版） HDi 大容量カラーバーコード（Microsoft Tag）
オンラインサービス	ウェブサイト adCenter（英語版） Azure Azure IoT SQL Database Bing Channel 9（英語版） CodePlex HealthVault Ignition（英語版） Microsoft Store MSDN MSN (ゲーム（英語版） msnbc.com（英語版） ninemsn（英語版）) TechNet Windows Live グループ（英語版） Hotmail Microsoft アカウント メッセンジャー Spaces Microsoft Popfly（英語版） Microsoft 365 答えてねっと Xbox Cloud Gaming Xbox Game Pass Live（英語版） Games for Windows – LIVE（英語版） Xbox Live (Arcade Marketplace（英語版）) Zune Social（英語版）
ゲーム	Xbox Xbox 360 Xbox One Xbox Series X/S XNA Xbox Game Studios Zone（英語版） Games for Windows（英語版） エイジ オブ エンパイア シリーズ Flight Simulator Train Simulator
ハードウェア	Surface Lumia PixelSense Zune KIN MSN TV Microsoft Natural keyboard（英語版） Jazz（英語版） キーボード（英語版） マウス LifeCam LifeChat（英語版） SideWinder（英語版） Ultra-Mobile PC Fingerprint（英語版） オーディオシステム（英語版） コードレス電話（英語版） Pocket PC Microsoft RoundTable Response Point（英語版） Venus（英語版） (開発中止)
教育と認識	BrowserChoice.eu MCPs MSDN AA MSCA（英語版） Microsoft Press Microsoft MVP スチューデントパートナー（英語版） Microsoft Imagine マイクロソフトリサーチ日本情報学研究賞 マイクロソフトに関連する研究（英語版）
ライセンス	Client Access License シェアードソース ライセンスサービス（英語版）
会議	Build（英語版） Ignite（英語版） Inspire（英語版） MIX (Microsoft)（英語版） PDC（英語版） WinHEC（英語版）
批判（英語版）	Windows（英語版） Windows Vista（英語版） Windows XP（英語版） Windows 2000（英語版） Windows Meに対する批判（英語版） Windows 9xに対する批判（英語版） Office（英語版） Xbox 360 Internet Explorer（英語版） 返金運動（英語版）
訴訟（英語版）	アルカテル・ルーセント（英語版） 欧州連合 アメリカ合衆国（英語版） Lindows（英語版） アップルコンピュータ（英語版） Mikerowesoft（英語版）
買収企業（英語版）	6wunderkinder アルタミラソフト（英語版） アクアンティブ Microsoft Amalga（英語版） ブルーリボンサウンドワークス（英語版） バンジー カリスタテクノロジーズ（英語版） コロクイス（英語版） コネクティクス コンシューマーズソフト（英語版） デンジャー（英語版） フェアキャスト（英語版） FASAスタジオ（英語版） ファストサーチ & トランスファ ファイアフライ（英語版） フォアソート（英語版） ジャイアントカンパニーソフト（英語版） GitHub グルーブネットワークス（英語版） Hotmail Jellyfish.com（英語版） リンクエクスチェンジ（英語版） ライオンヘッドスタジオ（英語版） マッシブインコーポレイテッド（英語版） Microsoft Mobile（フィンランド語版） オンフォリオ（英語版） プレイスウェア パワーセット プロクラリティ（英語版） レア スクリーントニック（英語版） Skype テレオ（英語版） テルミーネットワークス（英語版） バーミアテクノロジーズ（英語版） Visio（英語版） VXtreme（英語版） WebTVネットワークス ウィンターナルズ（英語版） Yupi（英語版） Mojang ゼニマックス・メディア（ベセスダ・ソフトワークス - id Software - Tango Gameworks）
キャラクター	マスターチーフ クラウディア・窓辺 窓辺ななみ 窓辺ゆう&窓辺あい 窓辺とおこ 藍澤光 藍澤祈
関連人物	スティーブ・バルマー ダレン・ヒューストン 西和彦 成毛眞 古川享 メリンダ・ゲイツ レイ・オジー スティーブン・シノフスキー
部門	マイクロソフトリサーチ .NET Foundation
カテゴリ コモンズ

表 話 編 歴 Windows コンポーネント
管理ツール	アプリインストーラ コマンドプロンプト コントロールパネル アプレット デバイスマネージャ ディスク クリーンアップ デフラグ Driver Verifier DxDiag イベントビューア IExpress 管理コンソール Netsh パフォーマンスモニタ リソースモニタ 設定 Sysprep システム構成 システム ファイル チェッカー システム情報 システムポリシーエディター システムの復元 タスクマネージャ Windows エラー報告 Windows Ink Windowsインストーラ PowerShell Windows Update Windows Insider WinRE WMI スキャンディスク CHKDSK 問題の報告と解決
アプリ	3Dビューア アラーム & クロック 電卓 カメラ 外字エディタ Cortana Edge FAX とスキャン フィードバック Hub サポートに問い合わせる 拡大鏡 メール/カレンダー 地図 メッセージング 映画&テレビ モビリティセンター ナレーター メモ帳 OneDrive OneNote ペイント ペイント3D Pay アドレス帳 People フォト クイック アシスト スマホ同期 切り取り & スケッチ 音声認識 Skype Sticky Notes Microsoftストア Windows Media Player ボイスレコーダ ワードパッド WinSAT 文字コード表 リモート アシスタンス
シェル	Aero ClearType エクスプローラ Windows サーチ スタートメニュー タスクバー 特殊フォルダ 関連付け シェル名前空間（英語版）
サービス	サービス コントロール マネージャー CLFS BITS Wireless Zero Configuration シャドウ コピー 自動再生 タスク スケジューラ マルチメディア クラス スケジューラ
ファイルシステム	CDFS DFS exFAT FAT12 FAT16 FAT32 IFS NTFS ジャンクション マウント ポイント リパース ポイント シンボリック リンク TxF EFS ReFS UDF
サーバ	Active Directory DFS レプリケーション DNS IIS MSDTC NAP AD RMS SharePoint Windows Media Services WSUS 移動ユーザー プロファイル グループ ポリシー ドメイン リモート デスクトップ サービス (Remote Desktop Protocol)
アーキテクチャ	NT系のアーキテクチャ スタートアップ プロセス (Vista) CSRSS DLL EXE HAL I/O Ntoskrnl.exe Svchost.exe WinPE NTLDR/ブート マネージャー アイドル プロセス カーネル パッチ保護 レジストリ IRP KTM LSASS SMSS Windows リソース保護 オブジェクト マネージャー Win32コンソール Winlogon セキュリティアカウントマネージャー（SAM）（英語版） 論理ディスク マネージャー
セキュリティ	Defender ファイアウォール Security Essentials 悪意のあるソフトウェアの削除ツール Safety Scanner DEP MIC UAC UIPI KPP セキュリティとメンテナンス BitLocker
互換性	互換モード COMMAND.COM 仮想DOSマシン WOW WOW64 Windows Subsystem for Linux
API	.NET Framework COM OLE OLE オートメーション（英語版） DCOM ActiveX 構造化ストレージ MTS DirectX DWM GDI Protected Media Path（英語版） PlayReady Windows Imaging Component Windows Imaging Format Windows Script Host VBScript JScript
開発終了	ゲーム リバーシ ピンボール インクボール Chess Titans Mahjong Titans Purble Place スパイダ ソリティア ソリティア ハーツ フリーセル マインスイーパ アプリ Windowsアドレス帳 Anytime Upgrade Windows Calendar(Vista) CardSpace DVD メーカー Internet Explorer Windows Journal 画像とFAXビューア(XP) Windows Mail(Vista) Media Center Messenger Microsoft ActiveSync Windows Mobile デバイス センター NetMeeting Outlook Express Snipping Tool WinHelp Write サウンド レコーダー デスクトップ ガジェット ハイパーターミナル バックアップと復元センター フォト ギャラリー プログラムマネージャ ミーティング スペース ムービー メーカー リソースメーター その他 UNIX サブシステム Interix Video for Windows
カテゴリ