いつも使っているWindowsserverのActive Directoryについて、名前くらいは知っていましたが具体的にどんなことができるのかは知っていませんでした。軽く調べてみました。今回はActive Directoryのドメインコントローラについて整理したく思います。
そもそもドメインコントローラとは
ドメインコントローラ(Domain Controller, DC) は、Microsoftの Active Directory(AD) において、ドメイン環境を管理するサーバーのことです。
DCは、ユーザー認証、ポリシー管理、リソース制御などの役割を果たします。
ドメインコントローラでできること
●ユーザーアカウント管理
・ユーザーの作成・削除・無効化・ロック解除
・パスワードポリシーの適用(長さ、複雑性、有効期限)
・ユーザーのグループ所属管理
●コンピューター管理
・Windows PCやサーバーをADドメインに参加(参加させるとDCが管理できる)
・デバイスポリシーの適用(セキュリティ・ネットワーク設定)
●認証とシングルサインオン
・Kerberos認証 / NTLM認証
一度ログインすればドメイン内の他のリソース(共有フォルダ、アプリ)に再ログインせずにアクセスが可能となる。
・LDAP(Lightweght Directory Access Protcol)
他のシステム(Linuxサーバー)とAD連携が取れる認証の形式
●グループポリシー管理(GPO)
・パスワードポリシー(長さ、複雑性、有効期限)
・デスクトップ制御(壁紙固定、コントロールパネル制限)
・ネットワーク設定(プロキシ、Wi-Fi、VPN設定)
・アプリケーションの配布(自動インストール・制御)
●DNS管理(AD統合DNS)
・Windowsドメイン内の名前解決
●証明書サービス(Active Directory Certificate Services, AD CS)
・ドメイン内部でSSL証明書を発行・管理
●ログ管理
・ユーザーがいつどこからログインしたかを確認できる
まとめ
企業のIT環境を運用するにあたって、認証・管理・セキュリティの基本的な設定と管理をするのがドメインコントローラであることがわかりました。
参考にしたドキュメント
他にもこんな記事書いています。