想定読者
・普段Windows パソコンに何気なくログインしているけど、その仕組みを知らない方
・Active Directoryって聞いたことはあるけどどんなことができるのか知らない方
・Acrive Directory管理の初心者
自己紹介
新卒で開発者(Cプログラマ)としてIT業界に入り、
Randstadの前身であるFSHD(フジスタッフホールディングス)への転職を機にヘルプデスクを経験、
後にRandstadでインフラへ転進後、会社の色々な事情でGISを経験、
またRandstadに戻ってきたインフラ系なんちゃってエンジニア。
はじめに
僕自身の経験からになりますが、開発やっていた頃はWindowsパソコンで仕事しているにもかかわらず
IT業界に入ってからしばらく経ってもその仕組みを知らずに仕事しておりました。
Windows使うのであればActive Directoryを理解しておいた方が何かと便利だった経験がありますので、
今回はActive Directoryの取っ掛かりとして初心者向けの記事を書かせていただきます。
■Active Directoryとは?
まずActive Directoryとは、何者かというところから。
Active DirectoryはWindows Serverに元々備えられている機能で、
パソコン利用者一人一人のパソコン設定を一元管理したり、パソコンにログインするアカウントの管理を行ったりするのに使用します。
基本的には同ネットワークに接続するパソコンすべてが関係するLAN(Local Area Network)で完結する機能になります。
会社単位の法人でなく、個人の家庭内のネットワーク環境で構築することもできます。
■Active Directoryでできること
機能/役割は以下の通り様々あるのですが、この記事ではユーザの操作に近い部分である
「Active Directory ドメインサービス」機能についてのみに焦点を当てて記載します。
■Active Directoryの「ドメイン」という概念
Active Directory≒「ドメイン」。
一般的にActive Directoryといえば「マイクロソフトが提供するユーザー管理に関わるさまざまな役割」を指し、
Active Directoryで言うところの「ドメイン」は元々「1回のログオン操作でアクセスできる範囲」と定義されているようです。
たとえば代表的な特徴としては以下の2つがあります。
####1. ユーザーアカウントを一括管理
パソコンにログインするアカウントやシステムで使用するアカウントをActive Directoryで一括管理。
特定のフォルダへのアクセス権限も管理できます。
####2. パソコンの設定を一括変更
パソコンのFirewall設定やネットワーク設定、その他セキュリティ関連の設定などを
サーバーからグループポリシーという機能で一括変更を行うことができます。
設定が適用されるタイミングはユーザーがパソコンにログインしたタイミングになりますので
パソコンのユーザは特に特別な操作をする必要無く設定を反映させることができます。
パソコンへの再ログインなどをせずに手動でコマンドプロンプトから「gpupdate /force」コマンドを叩いて
強制的にグループポリシーを当てる方法もあります。
■こんなときにActive Directory ドメインサービスは便利
####1. 特定の人(もしくはグループ)のみが指定のフォルダへアクセスしたい場合
①「IT部署」の権限"グループA”を作成
②「IT部署のメンバー」のアカウントを"グループA"に関連付ける
③IT部署のメンバーのみをアクセスさせたいフォルダに"グループA"を関連付ける
上記のような流れで特定の権限を持ったユーザのみのアクセスを絞ることができます。
####2. 指定した回数パスワードを間違えた人のログインアカウントにロックをかけたい場合
Actiive Directoryにある「グループポリシー」という機能で設定が可能です。
※一定時間が経つと自動的にロックを解除する機能もあります
####3. ログインアカウントのパスワードを忘れた場合
管理者は現在のパスワードを閲覧することはできませんが、
パスワードをリセットし、再設定することができます。
####4. 使っていたパソコンが壊れたが、すぐ仕事を再開したい場合
他のパソコンから自分のアカウントでログインすることにより、すぐに元パソコンで使用していた時と同じ
自分のWindows権限で作業を再開できます。
設定次第ではどのパソコンからログインしても、デスクトップのアイコンも同じ状態で
すぐに別のパソコンから作業を続行することが可能です。
※ただしこれはいろいろと制約が出てくると思いますので会社によっては実施していない会社もあります。
####5. 特定のパソコンに対して管理者がログインしたい場合
社内のActiveDirectoryで管理されているPCに対してであれば管理者は使用しているドメインの
「administrator」という権限を持つアカウントでActiveDirectory内のパソコン全てに
ログインすることができます。(こちらは基本的に管理者のみが管理します)
#終わりに
このテーマだとセキュリティの問題で具体的な設定の例を画像で乗せることはできませんでした。。
テーマの選択と文章が面白くないところが大きな反省点。
次回はもう少し反省点を活かして書きたいと思います。