LoginSignup
4
7
これからの情報伝達手段の在り方について考えてみよう!
Qiita Engineer Festa20242024年7月17日まで開催中!
@JK447

Active Directory (AD)の基本

Posted at

Active Directory (AD)とは :beginner:

Active Directory (AD)は、Microsoftが開発したディレクトリサービスで、ネットワーク上のリソースを効率的に管理するためのツールです。ユーザーアカウント、コンピュータ、プリンター、ファイル共有などを一元的に管理することができます。以下に、ADの基本的な概念、機能、利点、主要なADサービス、およびFSMOロール、レプリケーション、UPN、ADゴミ箱機能、正常性確認ツールについて解説します。

【Active Directoryの基本概念】

1. ドメイン

ADの基本単位であり、ネットワーク上のすべてのリソースを論理的にグループ化します。ドメイン内のすべてのオブジェクトは共通のデータベースで管理されます。

2. ツリーとフォレスト

複数のドメインが階層的に構成されるとツリーとなり、複数のツリーが連携してフォレストを形成します。フォレストはADの最上位構造で、すべてのドメインやツリーを含みます。

3. オーガニゼーショナルユニット (OU)

ドメイン内でオブジェクトを整理するためのコンテナです。ユーザー、グループ、コンピュータなどを論理的に分類し、管理を簡素化します。

4. グループ

ユーザーやコンピュータをグループ化し、共通の権限を割り当てるために使用されます。セキュリティグループと配布グループの2種類があります。

【Active Directoryの機能】

  1. ユーザー管理
    ユーザーアカウントの作成、削除、属性の変更を一元的に管理します。

  2. グループポリシー
    グループポリシーを使用して、ユーザーやコンピュータの設定を集中管理し、セキュリティやコンプライアンスを確保します。

  3. 認証と承認
    ドメイン内のすべてのユーザーとデバイスに対して認証を提供し、アクセス権を制御します。

  4. ドメインコントローラー
    ADドメインサービスを実行するサーバーで、認証リクエストの処理やディレクトリデータベースの管理を行います。

【Active Directoryの利点】

  1. 中央管理
    一元的にリソースを管理することで、運用コストを削減し、効率を向上させます。

  2. セキュリティの強化
    強力な認証とアクセス制御を提供し、組織のセキュリティを確保します。

  3. 柔軟性とスケーラビリティ
    小規模から大規模な組織まで、さまざまなニーズに対応できる柔軟性とスケーラビリティを備えています。

【Active Directoryの主要サービス】

  1. Active Directory Domain Services (AD DS)
    AD DSは、ADの中心的なサービスであり、ユーザー、コンピュータ、およびその他のリソースの認証、認可、ディレクトリデータベースの管理を行います。ドメインコントローラーがAD DSを実行し、ドメイン内のすべてのオブジェクトを管理します。

  2. Active Directory Certificate Services (AD CS)
    AD CSは、デジタル証明書の発行、管理、および検証を行うサービスです。これにより、セキュアな通信やデータの暗号化、デジタル署名が可能になります。証明書のライフサイクル管理を効率化し、企業のセキュリティポリシーを強化します。

  3. Active Directory Lightweight Directory Services (AD LDS)
    AD LDSは、軽量なディレクトリサービスを提供するもので、AD DSのフル機能が不要なシナリオに適しています。複数のインスタンスを同じサーバー上で実行でき、アプリケーション専用のディレクトリサービスを提供します。

  4. Active Directory Federation Services (AD FS)
    AD FSは、シングルサインオン (SSO) 機能を提供し、異なる組織間での信頼関係を確立します。これにより、ユーザーは一度のサインオンで複数のシステムやアプリケーションにアクセスできるようになります。AD FSは、クラウドサービスや外部パートナーとの連携において特に有用です。

  5. Active Directory Rights Management Services (AD RMS)
    AD RMSは、デジタル情報の使用制限を管理するサービスです。文書、電子メール、Webページなどのコンテンツに対してアクセス権や使用権を設定し、機密情報の漏洩を防ぎます。AD RMSは、情報の保護とコンプライアンスを確保するために重要です。

【FSMOロールとは】

FSMO(Flexible Single Master Operation)ロールとは
FSMOロールは、AD内で特定の重要な操作を管理するために割り当てられた役割です。AD環境で一貫性と信頼性を維持するために必要な5つのFSMOロールが存在します。

  1. スキーママスターロール
    スキーママスターは、フォレスト内でスキーマを変更する権限を持つドメインコントローラーです。スキーマの変更は、スキーママスターが管理します。

  2. ドメイン名付けマスターロール
    ドメイン名付けマスターは、フォレスト内でドメインの追加や削除を管理するドメインコントローラーです。新しいドメインやツリーの追加は、ドメイン名付けマスターが行います。

  3. RIDマスターロール
    RIDマスターは、ドメイン内でRIDプール(相対ID)を管理するドメインコントローラーです。RIDプールは、ユーザー、グループ、コンピュータアカウントの一意の識別子を生成するために使用されます。

  4. PDCエミュレーターロール
    PDCエミュレーターは、ドメイン内で時間同期、パスワード変更、アカウントロックアウトなどの操作を処理するドメインコントローラーです。古いNT4ドメインとの互換性を保つためにも使用されます。

  5. インフラストラクチャマスターロール
    インフラストラクチャマスターは、ドメイン内でオブジェクトの参照を管理するドメインコントローラーです。クロスドメイン参照を更新し、正しいオブジェクト情報を維持します。

【ADレプリケーションとは】

ADレプリケーションの概要
ADレプリケーションは、複数のドメインコントローラー間でディレクトリデータベースの変更を同期するプロセスです。これにより、すべてのドメインコントローラーが最新の情報を保持し、データの一貫性と可用性が確保されます。

レプリケーショントポロジー
ADレプリケーションは、サイトとサイトリンクを使用してトポロジーを構成します。これにより、効率的なデータ同期が可能となります。

レプリケーションの種類
イントラスイトレプリケーション: 同一サイト内のドメインコントローラー間で行われるレプリケーション。
インターサイトレプリケーション: 異なるサイト間のドメインコントローラー間で行われるレプリケーション。
レプリケーションの確認コマンド
repadmin /showrepl - レプリケーションの状態を表示
つづき
ChatGPT
レプリケーションの確認コマンド(続き)
repadmin /replsummary - レプリケーションの概要を表示
dcdiag /test:replications - レプリケーションに関する診断テストを実行

【ユーザー プリンシパル名 (UPN)】

UPNとは
UPN(User Principal Name)は、ユーザーがドメイン内のリソースにアクセスするために使用するログオン名の形式です。通常、電子メールアドレス形式(username@domain.com)で表されます。

UPNの利点
一意性: 各ユーザーに対して一意の識別子を提供します。
簡便性: 覚えやすい形式のため、ユーザーがログオン情報を簡単に記憶できます。
UPNの設定
ユーザーのプロパティでUPNサフィックスを設定できます。
カスタムUPNサフィックスをActive Directoryドメインおよび信頼関係から追加できます。

【ADゴミ箱機能】

ADゴミ箱とは
ADゴミ箱機能は、誤って削除されたADオブジェクトを簡単に復元するための機能です。削除されたオブジェクトはゴミ箱に移動され、一定期間保持されます。

ゴミ箱機能の利点
データ復旧: 誤って削除されたオブジェクトを迅速に復元できます。
運用効率の向上: サポートチームの手間を減らし、ダウンタイムを最小限に抑えます。
ADゴミ箱の有効化
Enable-ADOptionalFeature -Identity 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target [フォレスト名]
オブジェクトの復元
Restore-ADObject -Identity [オブジェクトのDN]

【ADの正常性確認ツール】

dcdiag.exe
dcdiag.exeは、ドメインコントローラーの診断ツールで、さまざまなチェックを実行してドメインコントローラーの正常性を確認します。

使用例
dcdiag /v - 詳細モードで診断を実行
dcdiag /test:DNS - DNSに関するテストを実行
dcdiag /fix - 修正可能なエラーを修正
repadmin.exe
repadmin.exeは、レプリケーションに関する管理ツールで、ADレプリケーションの状態を確認および管理します。

使用例
repadmin /showrepl - レプリケーションの状態を表示
repadmin /replsummary - レプリケーションの概要を表示
repadmin /syncall - レプリケーションを強制的に同期
net share
net shareは、ネットワーク共有を管理するためのコマンドです。共有フォルダーの作成、表示、削除を行うことができます。

使用例
net share - 現在の共有を表示
net share [共有名]=[フォルダパス] - 新しい共有を作成
net share [共有名] /delete - 共有を削除

4
7
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
7