Go to Qiita Advent Calendar Top
LoginSignup
7
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Day 7

Active Directory Security Advent Calendar 2025

@ymbl_eng(やんばる)inインフラ勉強会

Active Directory Domain Services(AD DS)基本解説

Posted at

はじめに

Active Directory Domain Services(AD DS)は、Windows Serverが提供するディレクトリサービスで、ユーザー・PC・グループ・セキュリティ設定を一元管理するための基盤です。

企業ネットワークで「誰が」「何に」「どこまでアクセスできるか」を統制する中心的な存在で、サーバー管理者にとって最重要技術のひとつです。

本記事では、基本概念に加えて、レプリケーションやFSMOロールといった"運用で必須の仕組み"までわかりやすくまとめます。

1. AD DS の役割とは?

AD DSが担う代表的な役割は次の3つです。

✔ 1. 認証と認可

  • Kerberos 認証により、ユーザーが正しい本人であるかを証明
  • ログインした後、どこまでアクセスできるかを判断

✔ 2. ポリシー適用(グループポリシー)

  • パスワードポリシー
  • アプリの使用制限
  • 自動ログオン、壁紙設定 など

→ 設定をまとめて管理できるため、手作業の設定ミスを防げる

✔ 3. リソース管理

  • 共有フォルダ
  • プリンタ
  • ファイルサーバのアクセス権

→ 誰がどのフォルダにアクセスできるか明確に管理

2. AD DS の主要コンポーネント

ADを理解するには「階層構造」を把握すると簡単です。

✔ ドメイン

  • AD管理の最小単位
  • 例:corp.local

✔ ツリー / フォレスト

  • ツリー:ドメインの階層構造(親子関係)
  • フォレスト:複数ツリーを束ねる最上位の集合体
  • フォレスト = AD全体の「世界」

✔ OU(組織単位)

  • ユーザー・PC・グループを分類する"フォルダ"
  • グループポリシーの適用範囲としても活用

✔ ドメインコントローラー(DC)

  • 認証を行うサーバー
  • ADの中枢であり、冗長化(複数台構成)が必須

3. レプリケーションの仕組みをわかりやすく

複数のドメインコントローラーがあると、「ユーザーを追加した」「パスワードを変更した」などの情報が同期(レプリケーション)されます。

✔ レプリケーションの特徴

マルチマスター方式
どのDCでも更新可能。1台が壊れても他が代わりに動ける。

変更通知方式
変更があると他のDCへ「更新されたよ」と通知。

トポロジ管理
通信経路は Active Directory Sites and Services で最適化。

✔ レプリケーションの種類

① イントラサイト(同一サイト内)

  • 高速
  • ほぼリアルタイム
  • LAN前提で更新頻度が高い

② インターサイト(異なるサイト間)

  • WAN(拠点間)向けに帯域を考慮
  • 通信圧縮あり
  • 更新間隔は長めに設定可能(15分~数時間など)

4. FSMOロール(Flexible Single Master Operations)

ADは「マルチマスター」ですが、一部の操作は"1台のDCだけ"が担当します。これが FSMOロール です。

✔ AD全体に1つだけのロール(フォレスト単位)

ロール名 説明
スキーママスター スキーマ(属性・構造)の変更を管理
ドメインネーミングマスター ドメインの追加・削除を管理

✔ 各ドメインに1つのロール(ドメイン単位)

ロール名 説明
RIDマスター SIDの一部(RID)を配布
PDCエミュレーター パスワード変更、時刻同期の中心
インフラストラクチャマスター 他ドメイン参照の整合性を維持

特に PDCエミュレーター は「時刻同期」「パスワード変更の即時反映」のため、最も重要とされます。

5. AD DS 導入・設計時のポイント

✔ DNS が強く関わる

ADの動作はDNSに依存しているため、DNSが壊れる=ADが壊れる と言っても過言ではありません。

  • DC は DNS サーバーとして動作させるのが一般的
  • フォワーダー設定も重要

✔ サイトとサービスの設計

  • 拠点ごとに サイト を定義
  • IPサブネットの紐づけ
  • WAN帯域に合わせたレプリケーション設定

✔ セキュリティベストプラクティス

  • ドメイン管理者権限の最小化
  • パスワードポリシー設定
  • SMB署名
  • Tier分離(管理用端末の分離)

6. よくある質問(FAQ)

❓ AD DS と Entra ID の違い

項目 AD DS Entra ID
用途 オンプレ認証基盤 クラウド向けID管理
認証方式 Kerberos/NTLM OAuth/OpenID Connect
管理対象 PC・ユーザー・サーバー SaaSアプリ・クラウドID

❓ ドメインとワークグループの違い

  • ドメイン:集中管理(企業向け)
  • ワークグループ:各PCが個別管理(家庭・小規模向け)

まとめ

Active Directory Domain Services(AD DS)は、企業ネットワークの認証・管理を一元化する非常に重要な基盤です。

  • ADの構造(ドメイン/OU/フォレスト)
  • レプリケーション
  • FSMOロール

これらを理解することで、トラブルシューティングや拠点間構成などの運用にも強くなれます。

7
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
7
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?