Active Directoryとは、Windows 2000 Serverファミリで提供されるディレクトリ・サービスのことである。Active Directoryはネットワーク上のユーザー情報やコンピュータ情報など、さまざまな資源をまとめて管理するために開発された。
Active Directoryでは、あらゆる面でインターネットの標準技術を採用しており、インターネットとの相互運用性を強化している。具体的には、名前解決サービスとしてDNS(Domain Name System)、情報検索用プロトコルとしてLDAP、認証プロトコルとしてKerberos技術を採用している。
Active Directoryは「ドメイン」という単位で管理する範囲を定義している。組織で1つのドメインを作成すれば、組織内のユーザー、コンピュータ、グループ、サービスなどを集中して管理することができるようになる。
ドメイン内にユーザーやグループ、コンピュータなどの管理する情報が増えてくると、管理にかかる負担が大きくなる。そこでActive Directoryでは「OU(Organizational Unit、組織単位)」という入れものの役割を果たすオブジェクトを作成して、管理しやすい単位でユーザーやグループ、コンピュータなどをまとめることができる。
また、ユーザーやコンピュータの数が多い場合や、拠点が複数ある場合などは、1つの組織でドメインを複数に分けたいというケースもでてくるだろう。Active Directoryでは組織内で複数のドメインを作り、階層構造を構築することも可能である。階層構造のことを「ドメイン・ツリー(または単にツリー)」と呼ぶ。ドメイン・ツリーを構築した場合、ユーザーやコンピュータは別々のドメインで管理されることになるが、同じドメイン・ツリーに属するドメインであれば、別のドメインの資源でもユーザーは利用できる。ドメインの階層構造はDNSの階層と合わせて、連続した名前空間として構成する。同じドメイン・ツリーに存在するドメインは必ず親のドメイン名を継承しドメイン名を定義する。また同じ組織でも、名前の階層を分けたい場合は、別のドメイン・ツリーを構成することもできる。ドメイン・ツリーを分けた場合でも同じ組織に所属している構成にするには、ドメイン・ツリー同士で信頼関係を結ぶこともできる。このような状態を「フォレスト(forest、森)」と呼ぶ。
Active Directory構造におけるグループ化の最大の単位は、フォレストになる。同じフォレストに参加しているドメインのユーザーは、異なるドメインで資源が管理されていても、それら資源へのアクセスが可能になる。これを、「ドメイン間に双方向の推移する信頼関係が結ばれる」という。「推移する」とは、ドメインAとドメインBが信頼関係を結び、ドメインBとドメインCが信頼関係を結んでいると、自動的にAとCも信頼関係が結ばれる、ということを意味している。上の図でいえば、domain.localドメインとcmt.co.jpドメインが信頼関係を結んでいるため、それらの下にあるjp.domain.localドメインとtokyo.cmt.co.jpドメインの間でも、自動的にjp.domain.localとtokyo.cmt.co.jpの信頼関係が結ばれることになる。この結果、例えばjp.domain.localドメインのユーザーはtokyo.cmt.co.jpドメインの資源を利用することができる(資源とはコンピュータが共有にしている共有フォルダやコンピュータそのものを指す)。このように、Active Directoryは大規模な組織にも対応できるよう、拡張性に優れている。
Copyright© Digital Advantage Corp. All Rights Reserved.