第1回 Active Directoryとは何か？：管理者のためのActive Directory入門（3/4 ページ）

[伊藤将人，（株）コメット]

　Active Directoryとは、Windows 2000 Serverファミリで提供されるディレクトリ・サービスのことである。Active Directoryはネットワーク上のユーザー情報やコンピュータ情報など、さまざまな資源をまとめて管理するために開発された。

　Active Directoryでは、あらゆる面でインターネットの標準技術を採用しており、インターネットとの相互運用性を強化している。具体的には、名前解決サービスとしてDNS（Domain Name System）、情報検索用プロトコルとしてLDAP、認証プロトコルとしてKerberos技術を採用している。

　Active Directoryは「ドメイン」という単位で管理する範囲を定義している。組織で1つのドメインを作成すれば、組織内のユーザー、コンピュータ、グループ、サービスなどを集中して管理することができるようになる。

ユーザー、コンピュータ、グループの管理
管理者は社員や社内で使用しているコンピュータなどに関するする情報をActive Directoryデータベースに登録しておく。登録された情報は、Active Directoryで管理されるようになる。

　ドメイン内にユーザーやグループ、コンピュータなどの管理する情報が増えてくると、管理にかかる負担が大きくなる。そこでActive Directoryでは「OU（Organizational Unit、組織単位）」という入れものの役割を果たすオブジェクトを作成して、管理しやすい単位でユーザーやグループ、コンピュータなどをまとめることができる。

OU（組織単位）の構造
ドメイン内のオブジェクトをOU（組織単位）に格納し、管理者が管理しやすいように構成することができる。例えば東京に勤務するユーザーを格納するためのTokyo OUと大阪に勤務するユーザーを格納するためのOsaka OUを作成し、それぞれのOUごとに分けて格納すれば管理しやすくなるだろう。また、OU単位で別の管理者を割り当て、管理を委任することもできる。

　また、ユーザーやコンピュータの数が多い場合や、拠点が複数ある場合などは、1つの組織でドメインを複数に分けたいというケースもでてくるだろう。Active Directoryでは組織内で複数のドメインを作り、階層構造を構築することも可能である。階層構造のことを「ドメイン・ツリー（または単にツリー）」と呼ぶ。ドメイン・ツリーを構築した場合、ユーザーやコンピュータは別々のドメインで管理されることになるが、同じドメイン・ツリーに属するドメインであれば、別のドメインの資源でもユーザーは利用できる。ドメインの階層構造はDNSの階層と合わせて、連続した名前空間として構成する。同じドメイン・ツリーに存在するドメインは必ず親のドメイン名を継承しドメイン名を定義する。また同じ組織でも、名前の階層を分けたい場合は、別のドメイン・ツリーを構成することもできる。ドメイン・ツリーを分けた場合でも同じ組織に所属している構成にするには、ドメイン・ツリー同士で信頼関係を結ぶこともできる。このような状態を「フォレスト（forest、森）」と呼ぶ。

Active Directoryの論理構造
Active Directoryでは、ドメインごとにユーザーやコンピュータを管理している。そして、同じドメイン・ツリーに属しているドメインは親のドメイン名を継承し、フォレストに参加するドメインは「推移する」信頼関係が結ばれる。「推移する」とは、ドメインAとドメインBが信頼関係を結び、ドメインBとドメインCが信頼関係を結んでいると、自動的にAとCも信頼関係が結ばれる、ということを意味している。

　Active Directory構造におけるグループ化の最大の単位は、フォレストになる。同じフォレストに参加しているドメインのユーザーは、異なるドメインで資源が管理されていても、それら資源へのアクセスが可能になる。これを、「ドメイン間に双方向の推移する信頼関係が結ばれる」という。「推移する」とは、ドメインAとドメインBが信頼関係を結び、ドメインBとドメインCが信頼関係を結んでいると、自動的にAとCも信頼関係が結ばれる、ということを意味している。上の図でいえば、domain.localドメインとcmt.co.jpドメインが信頼関係を結んでいるため、それらの下にあるjp.domain.localドメインとtokyo.cmt.co.jpドメインの間でも、自動的にjp.domain.localとtokyo.cmt.co.jpの信頼関係が結ばれることになる。この結果、例えばjp.domain.localドメインのユーザーはtokyo.cmt.co.jpドメインの資源を利用することができる（資源とはコンピュータが共有にしている共有フォルダやコンピュータそのものを指す）。このように、Active Directoryは大規模な組織にも対応できるよう、拡張性に優れている。