Windows 2000 キーワード

Active Directory

アクティブ・ディレクトリ

デジタルアドバンテージ

 Active Directoryとは、Windows 2000 Serverで導入されるディレクトリサービスの名称である。ディレクトリサービスとは、組織の内外に散在する各種の物理的/論理的リソースの名前やそれに関連付けられた属性を、組織的構造や地理的な区分などに従って系統的に(ツリー状に)まとめて管理し、それを更新・参照するためのサービスのことである。もともとはOSIのX.500シリーズ勧告としてまとめられた仕様であるが、それをWindowsベースのネットワーク環境で利用可能にしたのがActive Directoryサービスである。従来からのNTドメインシステムを、ダイナミックDNSを使ったTCP/IPベースのディレクトリサービスシステムと融合させ、大規模なWindowsネットワークシステムにおける管理の手間を軽減させ、ユーザーにとって直観的で使いやすいディレクトリサービス環境を提供するために開発された。 Windows 2000以前のWindowsネットワーク環境では、「ドメイン」という概念を使ってネットワーク環境を管理していた。これは、ドメインコントローラと呼ばれる中央集権的な役目のサーバにユーザーアカウントなどの情報を格納し、それをクライアントコンピュータからのユーザー認証などに使うという方式である。しかし複数のドメインを相互に組み合わせて運用する能力に欠けていたため、たとえば人事異動などでユーザーアカウント情報を他のドメインへ移動させたくとも、簡単には行えなかった(現実的には、新たに異動先ドメインでアカウントを作り直すか、アカウントを集中管理する特別なドメインを別途構築して対処する必要がある)。また、Windows NTのユーザーアカウント以外の情報は管理されていないので、たとえばExchange Serverなどでは独自に電子メールなどのアカウント情報を管理しており、これらの統合も長らく望まれていた。 そこでWindows 2000で新たに導入されたのがActive Directoryである。Active Directoryを利用すれば、ユーザーごとのユーザー名やWindowsの実行環境プロファイル、電子メールアドレス、住所などのアカウント情報のほか、グループ名、プリンタ/共有リソース名、コンピュータ名、セキュリティポリシーなどのリソースを、ツリー状にして統一的に管理することができる。

クリックすると図が拡大表示されます

Active Directoryマネージャ

 Active Directoryのドメインやユーザーを管理するための各種ツールが含まれている。

ドメイン

 Active Directoryでは、「ドメイン」と呼ばれる単位を基本として管理が行われる。これは従来のWindows NTにおけるドメインに相当するが、DNSにおけるドメインにも相当する。

ドメインとOU

 Active Directoryでは、ドメインとOUという2つの単位を使って各種のアカウントやリソースを管理する。アカウントやリソースは必ずいずれかのOUに属している必要がある。OUを最小単位として管理やセキュリティポリシーが適用される。

 ドメインは、セキュリティやドメイン情報の複製などの単位であり、一般的には、組織内の(課やグループの上位組織としての)部や事業部門などに相当する。DNSにおけるドメインとほぼ相当すると考えることもできる(この場合は、コンピュータシステムやネットワークシステムを管理するための単位などで分割されていることが多い)。ドメインの中には階層的に構築された複数の「OU(Organizational Unit)」を置くことができる。OUは、ドメインの中における、セキュリティや管理ポリシーのための最小の境界として機能する。一般的には組織的な構造(課やグループなど)に沿ってOUを決めるが、プロジェクトやリソースなどを元に決めることもできる。1つのOUの中には、ユーザーアカウントやプリンタリソース、各種の共有公開されている資源/サービスなどを格納することができる。Active Directoryでは、OU単位で管理権限を委譲することもできるし、ドメイン全体をただ1つの管理/セキュリティポリシーで管理することもできる。これにより、ドメインツリー全体をただ1カ所で管理することもできるし、各ドメインやOU単位ごとに権限を委譲して、管理を分散させることもできる。 ドメイン内のリソースの情報は、ドメインコントローラと呼ばれるサーバマシンにそれぞれ分散して格納されており、ユーザーからの要求(ログオン認証など)に応えるようになっている。ドメインコントローラは、負荷分散や耐障害性の向上などのために、1つのドメイン内に複数台用意することができるが、以前のNTのようにPDCやBDCという区別はなく、すべてが対等で同じ情報を複製して保持するようになっている。このほかにツリー全体のオブジェクトを保持するサーバとして、(複数の)グローバルカタログサーバがあり、ネットワーク全体の可用性(availability)、応答性を向上させるために使われる。

ツリーとフォレスト

 ドメインの上位概念として「ツリー」がある。ツリーは、ドメインを階層的に並べたもので、1つのルートドメインから順次下位へと派生している。ドメインは、地理的要因(地理的に異なる場所)に基づいて決められたり、組織的構造(異なる部門など)に基づいて決められるが、最終的には、それらはあるトップドメインから連なる階層的なツリー構造として扱われる。ドメイン間は、Kerberos信頼関係(Kerberosを使った安全な通信チャネルで結ばれた関係)で結合され、お互いに通信を行っている。ユーザーは、この階層的なツリーをたどって(もしくは検索して)、必要なリソースを見つけたり、利用したりすることができる。

サイトとツリー、フォレストの関係

 ドメインとツリー、フォレスト、サイト ドメインを階層的に接続したものがツリーであり、すべてのドメインはトップレベルドメインから下流へとたどることができる。フォレストは、異なる2つ以上のツリーをKerberos信頼関係で結んだもの。サイトはIPサブネットの集合である。

 2つ以上のツリーをKerberos信頼関係で結んだものとして「フォレスト」がある。フォレストでは、ディレクトリ構造を共有したりすることはできるが、フォレストを超えてセキュリティポリシーを適用したり、管理権限を委譲したりすることはできないので、セキュリティを保持したまま2つのツリーを(限定的ながらも)相互に利用することができる。また、組織の内側と外側向けに2つのツリーを構築したような場合にも利用できる。

サイト

 ツリーやフォレストは、ディレクトリ階層の論理的な構造に基づくものであるが、「サイト」は各ドメインコントローラ間や、ドメインコントローラとクライアントの間の通信環境を定義するための"ネットワーク的に近い"ノードの集まりのことである。 ドメインコントローラやグローバルカタログサーバがお互いの持つディレクトリ情報を複製する場合、同一サイト内の場合は圧縮なしで随時行うが、異なるサイトの場合は、あらかじめ決められたスケジュールに従って、データを圧縮して通信を行う(CPUに対する負荷は高くなるが通信時間は短縮される)。また、クライアントがログオンする場合にはドメインコントローラで認証を受ける必要があるが、このとき、なるべく同一サイト内のドメインコントローラを優先するようにしている。このように、サイトとは通信環境を定義するために使われるものであり、ツリーの構造とは関係がない。

Active Directoryへのアクセス

 Active Directoryでは、ディレクトリアクセスのためのプロトコルとして、業界標準のLDAP(Lightweight Directory Access Protocol)を採用しているので、標準的なディレクトリアクセスのためのプログラムが利用できる。たとえば、[スタート]メニューの[検索]−[人]は、LDAPプロトコルを使ってユーザーを検索するためのプログラムである。また、DNSシステムをベースにしているので、DNSでの検索も可能となっている。

クリックすると図が拡大表示されます

人の検索

 このツールでは、Bigfootなどのインターネット上のディレクトリサービスのほか、Active Directory上のユーザーを検索することもできる。



Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間