第3回 Active Directory関連用語集(前編):改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版)(2/2 ページ)
信頼関係
ドメインで管理している資源に対して、アクセス権を割り当てられる対象は、ドメインのユーザーやグループである。通常、ドメイン以外のユーザーやグループ、別ドメインのユーザーやグループに対しては、アクセス権の割り当てなどはできない。しかし、同じ組織の中に複数のドメインが存在する場合、異なるドメインのユーザーやグループにもアクセスの許可や拒否などを設定したい場合がある。その場合には、ドメイン間で「信頼関係」を結ぶ必要がある。
Windows NTでもドメイン間の信頼関係という機能が用意されていた。NTドメインでは、信頼関係を管理者が手動で設定しなければならなかったが、Active Directoryドメインでは同じフォレストに参加するドメインであれば自動で信頼関係が結ばれる。
信頼関係を手動で構成する場合には、資源を保持するドメイン(リソース・ドメイン)が、ユーザーやグループを保持するドメイン(アカウント・ドメイン)を信頼する必要がある。またアカウント・ドメイン側では、信頼されるドメインを指定する必要もある。
だがActive Directoryでは同一フォレストに参加するようにインストールすれば、それだけで双方向の推移する信頼関係が自動的に結ばれるため、管理作業が軽減される。またデフォルトでは、各ツリーのルート・ドメイン間と同一ツリーの親子間に双方向の信頼関係が結ばれるが、既定の信頼関係は推移性があるため、信頼しているドメインAが別のドメインBを信頼していた場合には、ドメインAの子ドメインもドメインBを信頼しているものとして扱われる。
既定の信頼関係とは別に、別ツリーの子ドメイン間でショートカット信頼を結んだり、NTドメインと信頼関係を結んだりすることも可能である。Windows 2000までの信頼関係は別フォレストとの信頼関係は推移しない信頼関係であったが、Windows Server 2003では新たに別フォレストと推移する信頼関係であるフォレスト間信頼を結ぶ機能が追加され、より信頼関係の管理が容易になり、拡張性が強化されている。
Active Directoryオブジェクト
「Active Directory オブジェクト」とは、Active Directoryで管理される情報の最小単位のことである。ユーザーやグループ、コンピュータなどがオブジェクトとして管理される。
オブジェクトには、いくつかの属性(プロパティ)が定義されており、関連付けられた情報をまとめて扱うことができる。例えば、ユーザー・オブジェクトではユーザー名のほかに、ログオン名やパスワード、住所、電話番号といった値を保持することができ、簡単に検索できる。
オブジェクトの作成[Active Directoryユーザーとコンピュータ]ツールを使用して作成できる標準的なオブジェクトとして、ユーザー、グループ、組織単位(OU)、プリンタ、共有フォルダ、連絡先などがある。Windows Server 2003では新たに「InetOrgPerson」オブジェクトが追加され、Active Directory以外のディレクトリ・サービス用に設計されたアプリケーションとの互換性が保持できるように改良された。
オブジェクトの中には、オブジェクトの内部に、さらに別のオブジェクトを含むことができるものがある。これを「コンテナ・オブジェクト」と呼ぶ。「コンテナ・オブジェクト」には2種類あり、非コンテナ・オブジェクトのみを含むことができるものと、別の「コンテナ・オブジェクト」も含むことができるものがある(つまり、階層を構成できるものとできないものがある)。管理者がActive Directory導入後に作成できるコンテナ・オブジェクトは、コンテナ・オブジェクトを含むことができる「組織単位(OU)」だけである。コンテナ・オブジェクトを含むことができないコンテナ・オブジェクトには、デフォルトで作成される「Computers」や「Users」といったコンテナがあるが、管理者がこれらを作成することはできない(デフォルトで作成されるコンテナ内にオブジェクトを追加することはできる)。
2種類のコンテナ・オブジェクトオブジェクトには、その中にさらにオブジェクトを含むことができる「コンテナ・オブジェクト」というものがある。「コンテナ・オブジェクト」には、非コンテナ・オブジェクトのみを含むことができるものと、別の「コンテナ・オブジェクト」も含むことができるものがある。
(1)コンテナ・オブジェクト― 中にOUを含むことができず、Active Directory導入時にデフォルトで作成される。管理者が新たに作成することはできない。
(2)組織単位(OU)― 中にOUを含み、階層的に作ることができる。アイコンのフォルダの中にノートの絵が描かれていることから区別できる。
Active Directoryスキーマ
「Active Directoryスキーマ(Active Directory Schema。schemaとは、図式とか概要という意味)」はActive Directoryのデータベース構造を定義したものである。スキーマには、コンピュータ、ユーザー、グループ、プリンタなどActive Directoryに格納されているオブジェクトすべての定義(テンプレート)が含まれる。Active Directoryでは、同一フォレストに1つのスキーマ・セットしか維持できない。
スキーマでは「クラス」と「属性」が定義されている。「クラス」は「属性」の集合体となる。例えば、「氏名」「ユーザー名」は属性の例であり、「ユーザー」はクラスの例である。
Active Directoryのオブジェクトは、スキーマで定義される「クラス」をもとに生成される。
Active Directoryスキーマ「クラス」と「属性」スキーマには、Active Directoryに格納されるオブジェクトのすべての定義が含まれる。Active Directoryでは、同一フォレストに1つのスキーマ・セットしか維持できない。
スキーマの変更はフォレスト内の1台のドメイン・コントローラで行われる。一般に、Active Directoryでは、すべてのドメイン・コントローラが対等の役割を持つが、スキーマ変更は数少ない例外処理である。そして、スキーマ変更の役割を担うドメイン・コントローラを「スキーマ・マスタ」と呼ぶ。スキーマ・マスタは操作マスタの一種である。
Active Directoryスキーマは拡張可能である。MMC(Microsoft Management Console)のスナップインとしてActive Directoryスキーマを使用して新たに属性を追加したり、クラスを定義することも可能である。ただし、追加された属性やクラスは削除することはできないため、本当に必要なときにのみ構成するべきである。スキーマの拡張は管理者が行わなくてもActive Directoryと連携して稼働するアプリケーションをインストールするときに自動で行われる場合がある。代表的なアプリケーションとしてはExchange ServerやISA Server、Live Communication Serverなどがある。これらのアプリケーションをインストールするときには、スキーマ拡張の権限を持ったユーザー・アカウントで実行する必要がある。
拡張されたスキーマの構造はフォレストに参加しているすべてのドメイン・コントローラに複製される。複製の範囲が広い場合には、ネットワーク・トラフィックを考慮して拡張作業を実施するべきだ。
Windows 2000のActive Directoryでは、スキーマが拡張されるとグローバル・カタログは再作成されていたが、Windows Server 2003のActive Directoryでは拡張された属性のみを複製するように改善された。
組織単位(OU)
「組織単位(OU:Organizational Unit)」はコンテナ・オブジェクトであり、管理者が容易にドメインを管理できるようにすることを目的としたオブジェクトである。
OUは、内部にさらに別のOUを含むことができるため、1つのActive Directoryドメイン内に複数の階層を定義することができる。
OUは、Active Directory内のオブジェクトを組織化するために利用される(オブジェクトを含まないOUは意味がない)。組織化する主な目的は以下の3つである。
- OU単位で管理者を割り当てるために管理範囲をまとめる
- グループ・ポリシーを使い、OUの単位でコンピュータの利用環境の原則(ポリシー)を定める
- 管理者が分かりやすいようにオブジェクトを分類する
ドメインに作成されたOUの階層はドメイン内でのみ利用されるため、ほかのドメインに依存しない独自の階層を実装できる。
OUの構造ドメイン内のオブジェクトをOU(組織単位)に格納し、管理者が扱いやすいように構成する。東京に勤務するユーザーを格納するための「Tokyo OU」と、大阪に勤務するユーザーを格納するための「Osaka OU」を作成し、それぞれのOUにユーザーを格納すれば管理しやすくなる。また、OU単位で管理者を割り当てることができる。
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。