はじめに
こんにちは!
運動しないと本当にやばいなと思ってきたBFT名古屋支店 池上(いけちゃんまん)です。
前回Active Directoryの超基本を書きました。今回は少しレベルを上げてActive Directiry重要語句説明編です。重要語句説明編のゴールは ドメイン、ドメインコントローラー の理解に設定します。今回も前回と同じAD初心者が対象です。
ゴールの2つを説明する前に
まずADでよく出てきた用語をまとめます。
用語 | 機能概要 |
---|---|
ドメイン | Active Directoryの論理的な範囲の1つであり、フォレスト内に存在する。ドメイン単体で、様々なITリソースや情報を共有するため、Active Directoryの理解に欠かせない最も基本的な概念。 |
ドメインコントローラー(DC) | Active Directoryのディレクトリ・データベースを管理するサーバで、Active Directoryドメインサービスをインストールする場合、1台以上のドメインコントローラが必要となる。 |
フォレスト | Active Directoryの管理に利用する論理的な範囲の中で最大のもの。複数のドメインが所属できる。 |
サイト | Active Directoryの論理的な範囲の1つであり、ドメインコントローラーの同期が即時に実行される範囲。フォレスト内に存在する。 |
信頼関係 | ドメインまたはフォレストを超えてアクセスするための「道」となるもの、ドメイン間またはフォレスト間で双方向の信頼関係があると、お互いにアクセスが可能 |
OU | コンピュータアカウントやユーザアカウント、グループアカウントを格納して分類できる「箱」のような概念。OUにOUを所属させて階層構造にすることも可能。 |
GPO | ユーザーやコンピューターに対する設定を一元的に管理するためのActive Directoryの機能である。セキュリティを強化したり、Windowsの機能を有効/無効にしたりするといった目的で、企業内で扱うコンピューター/ユーザーを同じ設定にしたい場合に活用する。 |
この中から今回はゴールの2点について深堀していきます。
ドメイン
ドメインとはActive Directoryのオブジェクトを管理する単位のことで、最も重要で基本的なものです。
ドメインは1つのフォレスト内に複数作成できますが、複数のドメインがあると管理が難しくなります。ドメインには機能レベルがあり、Windows Server 2016、Windows Server 2012 R2などがあります。私が携わったシステムではドメインが2つで、ドメインの機能レベルが Windows Server 2016でした。※今回はドメインの機能レベルでの違いの話は省略します。
ドメインはオブジェクトを管理する単位であるため、1つのドメイン内ではドメインコントローラー(DC)が複製の仕組みを使用して同じオブジェクト情報を共有します。※オブジェクト情報とはユーザ、コンピュータ、アカウントなどです。
ドメインには共通のセキュリティポリシーが設定される。これはドメイン単位でしか設定できないため、ドメインの範囲でセキュリティ設定の範囲が決まります。
簡単にセキュリティポリシーの説明をします。パスワードのルールなどで、例えばパスワードの文字数、有効期限、変更禁止期間などです。
ドメインコントローラー(DC)
Active Directoryのディレクトリ、データベースを管理するサーバを「ドメインコントローラ(Domain Controller)」と呼びます。ドメインコントローラーはDC(ディーシー)と略されるので注意です。
ドメインコントローラーの主な役割は3つあります。
1. 認可と認証の役割
2. ディレクトリサーバとしての役割
3. グループポリシーによるユーザとコンピュータを制御
認可と認証の役割
ユーザがアクセスできる共有フォルダの範囲を確認することを認可、ユーザ名に対するパスワードが正しいことを確認することを認証といいます。
ディレクトリサーバとしての役割
ディレクトリデータベースは、ドメインで利用するデータを格納するデータベースです。簡単に言えばユーザ名やパスワードの保存場所がディレクトリデータベースなります。
Active Directoryのディレクトリデータベースは、「LDAP」(Lightweight Directory Access Protocol)と呼ばれるデータベース構造です。 ※LDAPについての説明は省略します。
グループポリシーによるユーザとコンピュータを制御する役割
ドメインコントローラーで保存される情報で、もう1つ重要なものにグループポリシーがあります。 グループポリシーによってセキュリティが強化されます。
グループポリシーは、ユーザやコンピュータに対する設定を一元管理するための機能です。
まとめ
今回のゴールについてまとめていきます。
ドメインとはドメインコントローラーで設定したルールが反映される範囲のこと、
ドメインコントローラの主な役割とは以下の3つです。
1.認可と認証の役割
2.ディレクトリサーバとしての役割
3.グループポリシーによるユーザとコンピュータを制御する役割
これが理解できたらActive Directory重要語句説明編は完了です。
今回の重要語句説明編によって自分の知識をまとめることはとても難しいと再確認できました。
やはりアウトプットすることで知識も蓄積すると確信しました。
ADについてもう少し書きたいと思ったので次回もよろしくお願いいたします。