Go to Qiita Advent Calendar 2024 Top
LoginSignup
13
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

テコテックAdvent Calendar 2019

Day 23
@teco_naka

ADって何?

Last updated at Posted at 2019-12-22
  • 2019.12.23 create

こちらの記事は「tecotec Advent Calendar 2019」の23日目です。
今年ようやく我が社にも導入できたActiveDirectoryドメインサービス(以下ADという)。現在は他のシステムとの連携(シングルサインオン等)を推し進めるべく動いているのですが、よく周りの社員から「ADって何?」って声が聞こえるのでこの機会におさらいしておこうと思います。

####トピック

  1. ADとは?

  2. ADは何をやってるの?

  3. いろいろ連携るの?

  4. ADとは

ADって一言で言うことが多いのですが実はこれだけのサービスに分かれています。
Active Directory ドメインサービス(AD DS)
ADって一言でいった場合8割方はこのActive Directory ドメインサービスのことを指します。
言われるLDAP等と同じディレクトリサービスです。どういったサービスかというとのは2章で詳しく

Active Directory ライトウェイトディレクトリサービス(AD LDS)
ディレクトリサービスのみ。ドメインコントローラーやDNSは不要らしい。使ったことないですねw

Active Directory 証明書サービス(AD CS)
証明書の作成と管理を行う証明機関を作成するサービス。

Active Directory フェデレーションサービス(AD FS)
ID連携機能。利用したいサービスの一つです。主にクラウドサービスとの連携ができるようになりますね。
手始めにやりたいのがAzureADとの連携!これができれば一般的なクラウドサービス(office365、github、AWS等)のSSO(シングルサインオン)が可能となります!
今は手が回りませんwが実現できれば我が社のADレベルが一段階レベルアップすることでしょう。

Active Directory Rights Management Services(AD RMS)
ドキュメントの権限管理やコンテンツ保護機能など
AD RMSを利用すれば、メールやドキュメントの保護が可能になり、保護されたデータは暗号化され、細かな権限設定をユーザ単位で設定されます。これも利用したいサービスの1つ!実現できればさらにADレベルが上がりますw

  1. ADは何をやってるの?

ここからはActive Directory ドメインサービス(AD DS)のお話
どういったサービスかというと
・ユーザアカウントの管理、発行
 PCやファイルサーバ等にログインするためのアカウントを集中管理・発行しています。
 これの何が便利かと言うとドメインに参加しているPCなら誰のPCでも自分のアカウントでログインできるんですね。
 情シス目線で話をすると1台毎にローカルのアカウントをセットアップする必要もなくなるのでPCセットアップの効率もよくなりますね!

・認証
 PCへログイン認証をしてくれています。アカウントも一元管理なら認証も一元管理です。

・DNS
 これはADの機能ではないですがセットみたいなものなので入れておきます。ドメイン内のPCやらサーバやらプリンタやらはホストネームをドメインのDNSに自動登録される仕組みになってます。PC名やプリンタ名で接続できるのはこいつのおかげですね。

残念ですがADがMACのクライアントPCへできることは上記の3点までです。

ここからはwindowsPCだけの機能です。
・グループポリシー
 これがアカウント管理に並ぶADのメインの機能だと思ってます。手間もかかりますが使いこなせばかなり便利な機能です。会社のPCのルールはここのポリシーで設定しているのです。
 グループポリシーにはユーザポリシーとコンピュータポリシーと2種類があります。
  ユーザポリシー
 ユーザアカウントに対するポリシーです。パスワードのルールやら有効期限とかを設定しています。
  コンピュータポリシー
 そしてこちらはクライアントPCに対するポリシーです。何ができるかというとプリンタの共有、windowsアップデートの管理、ログイン/ログアウト時のスクリプト実行など・・PCの設定に関わることはここで設定しています。

グループポリシーは非常に便利でかつセキュリティ向上・企業コンプライアンス遵守にも非常に有効なのですが一方でルールを固めすぎるとユーザビリティが悪くなるといったデメリットもありバランスが大事なところだと思っています。
ユーザビリティを下げずにセキュリティを高める!これは情シスの腕の見せ所ではないでしょうか!
我が社の場合はまだまだ試行錯誤の途中といったところなので温かい目でご協力お願いできればと思います。

  1. いろいろ連携

AD FSはまだ利用前なのですが、それでも連携できることはいろいろあります!
ファイルサーバやVPNなど基本的に社内オンプレにある機器とは連携が可能です。
目指せSSO Life!

ここで大事なことは自分のID・パスワードを人には教えない!
そして無くさない!

まあ当たり前なことですけどねー

以上、簡単にですが今回はADについて書いてみました。
ADの構成とかには触れなくてすみません。。。

ただADを導入したことで裏課題である「インフラからワークフローを構築する」が一歩前進したのではないでしょうか。

13
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
13
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?