法人系のIT環境に関わると避けては通れないシステム、そう! Active Directory !でも仕様はなかなかのブラックボックスで、あまり情報がない...というか教えてくれる人がいない...たまたま良い記事&本を見つけたので、自分の研鑽もかねて記事にします。
本記事は運用や仕様の解説ではなく、Active Directory初心者向けに概念の理解の手助けを目的にしていますので、あしからず。
Active Directory の概要
そもそもITにおけるディレクトとは?
どういう情報がどこにあるのか、その場所情報を示すための入れもの(例えば案内版や目次)のようなものです。
ディレクトリサービスとは?
ディレクトリ内にただ情報が入っているだけだと、どこに何があるが分かりづらくなります。そこでディレクトリ内の情報を整理して「○○はここにある」と教えてくれるのがディレクトリサービスです。
上記を踏まえてActiveDirectory (以下AD)をざっくり説明するとwindows Server で利用可能なユーザ、コンピュータ、共有フォルダなどの情報を管理するシステムです。
Windows Server の機能の1つなので、UNIXサーバでは利用できません。
※クライアントとしてWindowsOS以外のデバイスがドメイン参加したり、OSSで似た機能を構築するとはできると思います。
サービスの構成
1口にActiveDirectoryと言っても実は以下の5つのサービスから構成されています。
- Active Directory ドメインサービス(ADDS)
- Active Directory ライトウェイトディレクトリサービス(ADLDS)
- Active Directory 証明書サービス(ADCS)
- Active Directory Rights Management サービス(ADRMS)
- Active Directory フェデレーションサービス(ADFS)
一般的にADと呼ばれる機能はADDSの部分になります。一応それぞれのサービスは個別にインストールすることができます。またAD機能を利用する≒DNSサーバの機能が必要になるので、AD機能をインストールするとDNS機能も併せてインストールされます。
オブジェクトとは?
ディレクトリサービス内の情報のこと。例えば以下のようなものがあります。
- ユーザオブジェクト・・・ユーザがログインするときの設定情報
- コンピュータアカウント(コンピュータオブジェクト)・・・ユーザが使うコンピュータの設定情報
- 共有フォルダ・・・コンピュータ上のファイル共有で使う
ユーザがコンピュータにログインするときには入力されたID,PWがユーザオブジェクトと一致するかを確認しています。
ADDSでは属性の近いオブジェクト一括りにしてグループにまとめて、管理する「組織単位(OU)」という機能があります。この機能を利用すれば、1つずつオブジェクトにいちいち設定をしなくてもまとめて設定できるようになります。
ドメインとは?
ざっくりと 「ADDS で管理されている端末のまとまり(管理が及ぶ範囲)」 だと思ってください。
ADDSで管理する際に基本的な単位(=コンピュータグループ単位)になります。
ちなみにADDSで管理されていない環境を WorkGroup(ワークグループ) と言います。
ADDSはDNSと統合されており、ドメイン名(corp.xxx.com等)はDNSで名前解決されてドメインコントローラ(何者かは後述)へルーティングされます。
コンピュータをドメインへ組み込む(ドメイン参加)させる際にはNICのプロパティのDNSサーバをドメインコントローラにする必要があります。
Windows PCはドメイン参加すると以下の画像のように「サインイン先」がどのドメインかというのが表示されます。
出典:https://ittrip.xyz/soft/windows/join-domain
ドメイン名は一般にはcorp.xxx.comやxxx.local という形式になることが多いです。よくあるxxx.comやxxx.jpをドメイン名に使うこともできますが、外部(インターネットアクセス)と区別するためにサブドメインや別のドメインを使うことが一般的です。
ドメインコントローラ(DC)とは?
ドメインの設定や変更を行うための設定が入ったサーバです。DCに設定を投入することで、ドメイン配下のコンピュータに対して、一斉に設定や変更を適用させます。以下の例では「◎✖▲のPWは[12345]」という設定をドメイン内のコンピュータに設定する例となります。
実際の企業環境ではDCが単独(シングル構成)だとDCのサーバが故障した際にドメイン配下の全コンピュータに影響が及ぶため、DCをプライマリーとセカンダリーの2台で構築して、DC同士の設定を同期させておくことが一般的です。
2つDCを構築した場合、端末側のDNS設定の「次のDNSサーバを使う」の項目に各DCのIPアドレスを登録しておきます。「優先DNS」、「代替DNS」の2つを登録しておけば優先DNS(=1つ目のDC)が故障して通信できなくなった場合には代替DNSを参照してくれます。
操作マスター(FSMO)とは?
DCを複数構築している環境で、それぞれのDCから矛盾する設定を適応されてしまうと困ってしまいます。以下の例では「◎✖▲のPW」設定で矛盾する情報が登録されてしまうパターンです。
そんなことにならないようにDC中で一番信頼する(優先する)DCを決めておききます。一番信頼する(優先する)DCのことを 操作マスター(FSMO) と言います。
フォレストとは?
ドメインの集まり指します。[corp.xxx.com]やそのサブドメイン[AAA.corp.xxx.com]などのまとめてドメインフォレストと呼びます。[corp.xxx.com]は親ドメインであり、「フォレストルートドメイン」でもあります。
フォレスト、ドメイン、DC、OUの概念を図にすると以下のようになります。
フォレストルートドメインより下のドメインはサブドメインになります。
ユーザプロファイルとコンピュータの関係
PCにログインする際にはユーザ名(ログインID)とログインPWを入力している方が多いと思います。よくよく考えると「ログインするだけならログインIDっていらなくね?」っとなりますが、実はPCの中にはユーザプロファイルというユーザ環境の設定表のようなものがあり、1つのPC内で複数のユーザプロファイルを作ることができるので、ログインIDというものが存在しています。ざっくりと「どのユーザの環境にログインしますか?=ログインID」で「そのユーザ環境に入るためのPWは?=ログインPW」という形です。ユーザプロファイルはユーザの数だけ作成され、それぞれの環境は独立しています。一方でPC共通=どのユーザプロファイルでも同じ設定になるものも存在しています。
WORKGROUP環境では、複数のユーザプロファイルが作成されていることは少なく、おそらく1つのユーザプロファイルで運用されていることが多いと思いますが、ドメイン環境だと複数のユーザプロファイルが作成されている環境が多いと思います。
グループポリシーオブジェクト(GPO)とは?
ドメイン内のオブジェクトに対して、操作制限したり、アプリケーションの配布を行ったりする設定ポリシーのことです。PCのレジストリーの設定表の集まりみたいなイメージです。GPOの適用はOU単位で設定可能で、上位のOUに適用した場合、設定は下位のOUにも引き継がれます。上位と下位で矛盾する設定を行った場合は下位で設定したGPOが優先されます。
上位とは別のGPOを下位OUに追加で設定することも可能です。
GPOを適用するのは基本的には「コンピュータオブジェクトのOU」か、「ユーザオブジェクトのOU」になります。どちらのOUにGPOを割り当てるのかは、どの部分を制御したいのか(「User Profile」か「PCの設定」)によって変わってきます。
「PCの設定」に関するGPOをユーザオブジェクトのOUに適用しても、制限出来ないので、どのOUに、どのGPOを適用するのかはきちんと確認しましょう!
2023年5月追記
Part2の記事も書きましたのでご参考までに
Active Directoryとは? part2
参考にしたサイトおよび書籍
ひと目でわかるActive Directory Windows Server 2019版
今さら聞けない! Active Directoryドメインサービス入門
終わりに
Active Directory は奥が深く、実運用環境がないと理解が難しいジャンルだと思います。しかも全然初心者向けの情報がない(´・ω・`)
AD運用方法や設定方法は社内担当内で先輩から後輩に一子相伝のように受け継がれているというのがほとんどの会社の実情のようです。現代の北斗神拳…それがActive Directoryなのですd(`・ω・’)
時間があれば、「ADでこんな設定もできるよ!」的な記事も書こうと思いますが、まぁ本記事のプレビュー数、LGMT数次第ですね...