第1回 Active Directoryとは何か？：改訂 管理者のためのActive Directory入門 （Windows Server 2003対応改訂版）（2/3 ページ）

[伊藤将人，著]

Active Directoryとは？

　Active Directoryとは、Windows 2000 ServerおよびWindows Server 2003ファミリのWindows OSで提供されるディレクトリ・サービスのことである（Windows Server 2003, Web Editionはドメイン・コントローラにできない）。Active Directoryはネットワーク上のユーザー情報やコンピュータ情報など、さまざまな資源をまとめて管理するために開発された。

　Active Directoryでは、あらゆる面でインターネットの標準技術を採用しており、インターネットとの相互運用性を強化している。具体的には、名前解決サービスとしてDNS（Domain Name System）、情報検索用プロトコルとしてLDAP、認証プロトコルとしてKerberosを採用している。

　Active Directoryは、「ドメイン」という単位で管理する範囲を定義している。組織で1つのドメインを作成すれば、組織内のユーザー、コンピュータ、グループ、サービスなどを集中して管理することができるようになる。

ユーザー、コンピュータ、グループの管理
管理者は社員や社内で使用しているコンピュータなどに関する情報をActive Directoryデータベースに登録しておく。登録された情報は、Active Directoryで管理されるようになる。

　ドメイン内にユーザーやグループ、コンピュータなどの管理する情報が増えてくると、管理にかかる負担が大きくなる。そこでActive Directoryでは「OU（Organizational Unit、組織単位）」という入れものの役割を果たすオブジェクトを作成して、管理しやすい単位でユーザーやグループ、コンピュータなどをまとめることができる。

OU（組織単位）の構造
ドメイン内のオブジェクトを「OU（組織単位）」に格納し、管理者が管理しやすいように構成することができる。例えば東京に勤務するユーザーを格納するための「Tokyo OU」と大阪に勤務するユーザーを格納するための「Osaka OU」を作成し、それぞれのOUごとに分けて格納すれば管理しやすくなるだろう。また、OU単位で別の管理者を割り当て、管理を委任する（管理作業を任せるために管理権限を与える）こともできる。

　また、ユーザーやコンピュータの数が多い場合や、拠点が複数ある場合などは、1つの組織でもドメインを複数に分けたいというケースもでてくるだろう。Active Directoryでは組織内で複数のドメインを作り、階層構造を構築することも可能である。階層構造のことを「ドメイン・ツリー（または単にツリー）」と呼ぶ。ドメイン・ツリーを構築した場合、ユーザーやコンピュータは別々のドメインで管理されることになるが、同じドメイン・ツリーに属するドメインであれば、別のドメインの資源でもユーザーは利用できる。ドメインの階層構造はDNSの階層に合わせ、連続した名前空間として構成する。同じドメイン・ツリーに属するドメインは必ず親のドメイン名を継承してドメイン名を定義する。また同じ組織でも、名前の階層を分けたい場合は、別のドメイン・ツリーを構成することもできる。ドメイン・ツリーを分けた場合でも同じ組織に所属している構成にするには、ドメイン・ツリー同士で信頼関係を結ぶこともできる。このような状態を「フォレスト（forest、森）」と呼ぶ。

Active Directoryの論理構造
Active Directoryでは、ドメインごとにユーザーやコンピュータを管理している。そして、同じドメイン・ツリーに属しているドメインは親のドメイン名を継承し、フォレストに参加するドメイン間には「推移する」信頼関係が結ばれる。「推移する」とは、ドメインAとドメインBが信頼関係を結び、ドメインBとドメインCが信頼関係を結んでいると、自動的にAとCも信頼関係が結ばれる、ということを意味している。

　Active Directory構造におけるグループ化の最大の単位は、フォレストである。同じフォレストに参加しているドメインのユーザーは、異なるドメインで資源が管理されていても、それらの資源へのアクセスが可能になる。これを「ドメイン間に双方向の推移する信頼関係が結ばれる」という。「推移する」とは、ドメインAとドメインBが信頼関係を結び、ドメインBとドメインCが信頼関係を結んでいると、自動的にAとCも信頼関係が結ばれる、ということを意味している。上の図でいえば、domain.localドメインとexample.localドメインが信頼関係を結んでいるため、それらの下にあるjp.domain.localドメインとtokyo.example.localドメインの間でも、自動的に信頼関係が結ばれることになる。この結果、例えばjp.domain.localドメインのユーザーはtokyo.example.localドメインの資源を利用することができる（資源とはコンピュータが共有にしている共有フォルダやコンピュータそのものを指す）。このように、Active Directoryは大規模な組織にも対応できるよう、拡張性に優れている。

　Windows Server 2003ではさらに、別フォレストとして構成されたActive Directoryとフォレスト間信頼を設定できるようになった。別々にインストールされたフォレストを後からフォレスト間信頼を結び、双方向の推移する信頼関係を利用することができる。ただし、この機能はWindows Server 2003で追加された機能のため、フォレストに参加するすべてのドメイン・コントローラがWindows Server 2003であり、フォレストの機能レベルが「Windows Server 2003」に構成されている必要がある。機能レベルはドメイン・コントローラのOSバージョン下位互換性を保持するための設定として利用される。低い機能レベルの場合にはWindows Server 2003のActive Directoryで追加された新しい機能に一部制限がかかる。機能レベルには、「Windows 2000混在」、「Windows 2000ネイティブ」、「Windows Server 2003中間」、「Windows Server 2003」がある。