第3回 Active Directory関連用語集(前編)管理者のためのActive Directory入門(2/2 ページ)

» 2002年11月13日 00時00分 公開
[伊藤将人(株)コメット]
前のページへ 1|2       

信頼関係

 ドメインで管理している資源に対して、アクセス権を割り当てられる対象は、ドメインのユーザーやグループである。通常、ドメイン以外のユーザーやグループ、別ドメインのユーザーやグループに対しては、アクセス権の割り当てなどはできない。しかし、同じ組織の中に複数のドメインが存在する場合、異なるドメインのユーザーやグループにもアクセスの許可や拒否などを設定したい場合がある。その場合には、ドメイン間で「信頼関係」という関係を結ぶ必要がある。Windows NTでもドメイン間の信頼関係という機能が用意されていた。NTドメインでは、信頼関係を管理者が手動で設定しなければならなかったが、Active Directoryドメインでは同じフォレストに参加するドメインであれば自動で信頼関係が結ばれる。

 信頼関係を手動で構成する場合には、資源を保持するドメイン(リソース・ドメイン)が、ユーザーやグループを保持するドメイン(アカウント・ドメイン)を信頼する必要がある。またアカウント・ドメイン側では、信頼されるドメインを指定する必要もある。

 だがActive Directoryでは同一フォレストに参加するようにインストールすれば、それだけで双方向の推移する信頼関係が自動的に結ばれるため、管理作業が軽減される。

Active Directoryオブジェクト

 「Active Directory オブジェクト」とは、Active Directoryで管理される情報の最小単位のことである。ユーザーやグループ、コンピュータなどがオブジェクトとして管理される。

 オブジェクトには、いくつかの属性(プロパティ)が定義されており、関連付けられた情報をまとめて扱うことができる。例えば、ユーザー・オブジェクトではユーザー名のほかに、ログオン名やパスワード、住所、電話番号といった値を保持することができ、簡単に検索できる。

オブジェクトの作成
新規にユーザーやグループなどの一般的なオブジェクトを作成する場合、「Active Directoryユーザーとコンピュータ」ツールを利用する。

 オブジェクトの中には、ユーザーやコンピュータとは異なり、オブジェクトの内部に、さらに別のオブジェクトを含むことができるものがある。これを「コンテナ・オブジェクト」と呼ぶ。「コンテナ・オブジェクト」には2種類あり、非コンテナ・オブジェクトのみを含むことができる「コンテナ・オブジェクト」と、別の「コンテナ・オブジェクト」も含むことができる「コンテナ・オブジェクト」がある(つまり、階層を構成できるものとできないものがある)。管理者がActive Directory導入後に作成できるコンテナ・オブジェクトは、コンテナ・オブジェクトを含むことができる「組織単位(OU)」だけである。コンテナ・オブジェクトを含むことができないコンテナ・オブジェクトには、デフォルトで作成される「Computers」や「Users」といったコンテナがあるが、管理者がこれらを作成することはできない(デフォルトで作成されるコンテナ内にオブジェクトを追加することはできる)。

2種類のコンテナ・オブジェクト
オブジェクトには、その中にさらにオブジェクトを含むことができる「コンテナ・オブジェクト」というものがある。「コンテナ・オブジェクト」には、非コンテナ・オブジェクトのみを含むことができるものと、別の「コンテナ・オブジェクト」も含むことができるものがある。
 (1)コンテナ・オブジェクト――中にOUを含むことができず、インストール時にデフォルトで作成される。管理者が新たに作成することはできない。
 (2)組織単位(OU)――中にOUを含み、階層的に作ることができる。アイコンのフォルダの中にノートの絵が描かれていることから区別できる。

Active Directoryスキーマ

 「Active Directoryスキーマ(Active Directory schema。schemaとは、図式とか概要という意味)」はActive Directoryのデータベース構造を定義したものである。スキーマには、コンピュータ、ユーザー、グループ、プリンタなどActive Directoryに格納されているオブジェクトすべての定義(テンプレート)が含まれる。Active Directoryでは、同一フォレストに1つのスキーマ・セットしか維持できない。

 スキーマでは「クラス」と「属性」が定義されている。「クラス」は「属性」の集合体となる。例えば、「氏名」「ユーザー名」は属性の例であり、「ユーザー」はクラスの例である。

 Active Directoryのオブジェクトは、スキーマで定義される「クラス」をもとに生成される。

Active Directoryスキーマ「クラス」と「属性」
スキーマには、Active Directoryに格納されるオブジェクトのすべての定義が含まれる。Active Directoryでは、同一フォレストに1つのスキーマ・セットしか維持できない。

 スキーマの変更はフォレスト内の1台のドメイン・コントローラで行われる。一般に、Active Directoryでは、すべてのドメイン・コントローラが対等の役割を持つが、スキーマ変更は数少ない例外処理である。そして、スキーマ変更の役割を担うドメイン・コントローラを「スキーマ・マスタ」と呼ぶ。スキーマ・マスタは後述する操作マスタの一種である。

組織単位(OU)

 「組織単位(OU: Organizational Unit)」はコンテナ・オブジェクトであり、管理者が容易にドメインを管理できるようにすることを目的としたオブジェクトである。

 OUは、内部にさらに別のOUを含むことができるため、1つのActive Directoryドメイン内に複数の階層を定義することができる。

 OUは、Active Directory内のオブジェクトを組織化するために利用される(オブジェクトを含まないOUは意味がない)。組織化する主な目的は以下の3つである。

  1. OU単位で管理者を割り当てるために管理範囲をまとめる。
  2. グループ・ポリシーを使い、OUの単位でコンピュータの利用環境の原則を定める。
  3. 管理者が分かりやすいようにオブジェクトを分類する。

 ドメインに作成されたOUの階層はドメイン内でのみ利用されるため、ほかのドメインに依存しない独自の階層を実装できる。

OU(組織単位)の構造
ドメイン内のオブジェクトをOU(組織単位)に格納し、管理者が管理しやすいように構成する。東京に勤務するユーザーを格納するための「Tokyo OU」と、大阪に勤務するユーザーを格納するための「Osaka OU」を作成し、それぞれのOUにユーザーを格納すれば管理しやすくなる。また、OU単位で管理者を割り当てることもできる。


「運用」のインデックス

運用

前のページへ 1|2       

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。