Insider's Eye

コラム:Active Directory入門

Peter Pawlak
2002/08/28
Copyright(C) 2002, Redmond Communications Inc. and Mediaselect Inc.


 Active Directory(AD)では独特な用語体系が使用されている。用語の中には、ADに取り入れられている国際標準化機構(ISO)のX.500ディレクトリ標準に由来するものと、Microsoft独自のものがある(X.500標準は、NovellのeDirectoryやSun MicrosystemsのSun ONE Directory Serverなどのディレクトリでも採用されている)。以下の用語への深い理解は、ADに関する論述の内容をつかむのに欠かせない(一部の用語は別掲の「Active Directoryにおけるフォレスト間の信頼関係」で図解されている)。

Active Directoryのデータ・モデル

■オブジェクト、クラス、属性
 ADはオブジェクトのデータベースであり、個々のオブジェクトはADの特定のクラス(ユーザー、グループ、コンピュータ、プリンタ、連絡先など)の特定のインスタンスである。各オブジェクトは名前やセキュリティ許可などを始め、自身を定義する多数の属性を持つ。

■スキーマ
 スキーマは、ADデータベース内にあるすべてのオブジェクトのクラスと、さまざまなクラス間の関係を定義する。Windows NT 4.0のディレクトリではスキーマが固定されており、ユーザー、グループ、コンピュータという3つのクラスしか利用できないが、ADのスキーマは、新しいクラスを追加したり、デフォルトのクラスに新しい属性を追加したりすることで拡張できる。例えば、Exchange 2000はADのユーザー・クラスに変更を加え、ユーザーの電子メール・アドレスやメールボックス・サーバなどの情報を保存している。

■コンテナ
 コンテナは特殊なタイプのオブジェクトであり、属性に加えてほかのオブジェクトやコンテナを持つことができる。コンテナはファイル/フォルダと似た役割を果たし、管理のためにオブジェクトを整理したりグループ化したりすることを可能にする。例えば、管理者はユーザーに、特定のコンテナ内にあるすべてのオブジェクトに対する限定的な管理権限を委任できる。委任を受けたユーザーは、この所定のオブジェクトを対象に管理タスクを実行できるが、ほかのオブジェクトを変更することはできない。

■組織単位(OU)
 スキーマによってデフォルトのADコンテナがあらかじめ規定されるが、管理者はOUという特殊なコンテナを臨機応変に作成し、OUを用いてオブジェクトを任意にグループ化して管理できる。企業は必要な数だけOUを作成し、部門や業務機能などの組織区分を反映させることができる。ただし、OUをほかのOU内にネストすることはできない。つまり、OUは階層構造を表現することはできない。

ドメイン構造

■ドメイン
 ドメインはオブジェクトとコンテナを含む単一のデータベースであり、ドメイン・コントローラ(DC)と呼ばれる特殊なWindowsサーバで運用される。このデータベースは、パフォーマンスやスケーラビリティ、可用性の向上のために、複数のドメイン・コントローラ間で複製できる。NT 4.0のドメインとは異なり、ADはシングル・マスタの複製には依存しておらず、ディレクトリ・サイズの上限は40Mbytesよりはるかに大きい。一方、NT 4.0ドメインと同様に、各ADドメインには管理者グループと、より制限された「オペレーター」権限を持つアカウント(アカウントオペレーター)のグループが含まれる(例えば、アカウントオペレーターは新しいアカウントを作成できる)。

■信頼
 あるドメイン内のユーザーやコンピュータは別のドメイン内のリソース(ファイルやプリンタなど)にアクセスできるが、その前提条件は、リソースを含むドメインが、アクセスを要求するユーザーやコンピュータを認証するドメインを「信頼」していることだ。ADではドメイン間の信頼関係を利用して、「信頼する側の」ドメイン・コントローラ(ユーザーがアクセスしようとしているリソースと同じドメインに属す)から「信頼される側の」ドメイン・コントローラ(ユーザーのアカウントを含むドメイン内にある)に認証資格情報が安全に渡される。

 信頼は一方向の信頼(ドメインAがドメインBを信頼するが、ドメインBはドメインAを信頼しない)と、双方向の信頼(ドメインAとドメインBが相互に信頼する)に分類される。また、信頼には「推移的な」信頼――ドメインAがドメインBを信頼し、ドメインBがドメインCを信頼すると、ドメインAはドメインCも信頼する――と、「非推移的な」信頼がある。非推移的な信頼は2つのドメイン間に範囲が限定され、ドメインを経由して信頼関係が拡張されることはない。NT 4.0は推移的な信頼をサポートしていなかった。

■フォレスト
 ADの「フォレスト」は単一のドメインであることもあるが、一般的には、推移的な信頼関係で階層的に結合された複数のドメインである。フォレスト内のすべてのドメインは1つの一貫したスキーマを持つ。最初に作成されたドメインがフォレストの「ルート」ドメインと呼ばれる。フォレストは最大の管理単位であり、Enterprise Administratorと呼ばれる管理者のグループを含む。Enterprise Administratorはフォレスト内のすべてのドメインを管理する。フォレスト内の任意のドメインに属し、適切な許可を与えられたユーザーやコンピュータ・アカウントは、同じフォレスト内の任意のリソースにアクセスできる。NT 4.0では、2階層のドメイン構造や、手作業で作成される非推移的な信頼関係がサポートされているにとどまるが、ADフォレストは必要なだけ深いレベルの階層構造を取ることができ、フォレスト内のすべての親ドメインと子ドメインの間の推移的な信頼関係を自動的に作成し、維持管理する。

名前空間
 ドメインは階層構造を取るため、ドメイン名は「名前空間」と呼ばれる階層的な命名規則に従う。名前空間ではDNSのようにドットで区切られた名前が使用され、階層内の下位ドメインの名前は、親ドメインの名前を末尾に付加したものになる。例えば、架空のABC Limited社のルート・ドメインがabc.comの場合、ABCの子会社のドメイン名はsub1.abc.comといったものになる。

■ツリー
 「ツリー」は、フォレスト内で信頼関係の階層をなすように接続された1つ以上のドメインであり、これらのドメインはルート名前空間(上記の例のabc.comのような)を共有する。フォレストは複数のツリーを持つことができ、各ツリーは最上位ドメインを持つ。上記の例でいえば、異なる名前空間(abcus.comのような)を持つ新しいツリーは、双方向の推移的な信頼関係によってabc.comツリーと結合できる。だが、フォレスト内で最初に作られるルート・ドメインは常に特別な重要性を持ち、すべてのツリーをフォレストに結合する(名前空間、ツリー、フォレストの関係については、別掲の図「Active Directoryにおけるフォレスト間の信頼関係」参照)。

管理モデル

■ユニバーサル・グループ
 Windows 2000で初めて導入されたユニバーサル・グループは、フォレスト内のあらゆるドメインのメンバー(コンピュータ、ユーザー、ほかのグループ)を含むことができる。NTで使われていたローカル・グループやグローバル・グループとは異なり、ユニバーサル・グループは、考え得る限りのグループのネストをサポートする。これにより、論理的で柔軟なグループ構造の作成を妨げる、複雑な要素や障害の多くが解消される。

■グループ・ポリシー
 グループ・ポリシーはNT 4.0のシステムポリシーと概念的には似ているが、はるかに強力な機能を持っている。グループ・ポリシーで提供される一連の設定は、フォレストに属すWindows 2000以降を搭載したコンピュータのコンピュータ/ユーザー設定に中央から一括して適用できる。また、グループ・ポリシーはソフトウェアの配布にも利用できる。ポリシーを受け取るユーザーやコンピュータは、ポリシーが割り当てられるOU、ドメイン、サイトに存在しなければならないほか、ポリシーが適用されるユーザーまたはグループのリストに含まれていなければならない。

複製

■サイト
 ADは、ネットワークに基づく区分であるサイトもサポートする。サイトは、高速通信回線(LANなど)で接続された1つまたは複数のサブネットから構成される。サイトの境界は、ログオン要求を(可能なときは常に)同じサイト内のDCに転送するための区分基準として主に使われる。また、サイトの境界に基づいてDC間の複製方法が管理される。NT 4.0のドメイン・ディレクトリにはサイトの概念がなかったため、使用可能なネットワークトポロジや帯域をログオン・トラフィックや複製トラフィックがどのように使用するかを管理するのは、困難または不可能だった。

■グローバルカタログ(GC)
 DCは通常、自身のドメインに含まれるユーザー、グループ、コンピュータに関する情報しか格納しない。だがDCは、フォレスト内にあるほかのドメインのエンティティを含むようなユニバーサル・グループからのログオンを認証できなければならない。このため、各ドメインは、フォレスト内のすべてのユーザー、グループ、コンピュータの属性のサブセットを格納する読み取り専用データベース――グローバルカタログ――を保持する特殊なDCを1つまたは複数必要とする。各GCサーバは、フォレスト内の各ドメインのDCからの複製を行い、自身が保持する情報を最新の状態に保つ。

 

 INDEX
  Insider's Eye
    Active Directoryが次期Windowsで飛躍的進化(1)
    Active Directoryが次期Windowsで飛躍的進化(2)
    Active Directoryが次期Windowsで飛躍的進化(3)
  コラム:Active Directory入門
 
「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間