検索
連載

Active DirectoryWindows Q&A(1/3 ページ)

Windows標準のディレクトリサービス「Active Directory」。でも、そもそも「ディレクトリサービス」って何? メリット/デメリットは? NTドメインとの関係は? 基礎から注意点までQ&A形式で整理して解説する。

[横山哲也,グローバルナレッジネットワーク] PC用表示 関連情報
Share
Tweet
LINE
Hatena
「Windows Q&A」のインデックス

連載目次

■記事内目次


Q:どうしてディレクトリサービスが必要なのか?

A:ディレクトリサービスは情報データベースである。従来、大抵のアプリケーションは個別のデータベースを使っている。例えば、ログオンするときはユーザー登録データベースを使うし、電子メールシステムは全社的な共有アドレス帳を持つ。社内業務システムで使っているデータベースには、専用のユーザー登録が必要かもしれない。しかし、アプリケーションごとに個別のデータベースを維持するのは管理コストがかさむ。

 そこで汎用的はディレクトリサービスが登場した。汎用的なディレクトリデービスは以下の3者に対してメリットがある。

ディレクトリサービスのメリット
ディレクトリサービスのメリット
ディレクトリサービスは、管理者、開発者、ユーザーのそれぞれにメリットをもたらす。

■管理者
 管理者は、ユーザー登録のたびに複数のデータベースを操作する必要がなくなる。あらゆるアプリケーションがディレクトリサービスの情報を参照するようになれば、管理すべき情報はディレクトリサービスに一元化される。

■開発者
 業務アプリケーションの開発者は、ユーザー認証部分のプログラムを開発する必要がなくなる。ディレクトリサービスを使えば、ログオンしたユーザーの情報を簡単に入手できるからだ。しかも、Active Directoryの情報は拡張可能なので、アプリケーションに必要な登録情報を追加することも可能だ。

■利用者
 利用者は、アプリケーションごとに異なるユーザー登録をする必要がなくなるため、使い勝手が向上する。例えば、Active Directoryでは、ログオン時のユーザー名を電子メールのアドレスと共通化できる。ドメインにログオンするときのユーザー名も、電子メールの宛先も同じものに統一できるし、いったんログオンしたら、ログオフするまで、ユーザー名やパスワードをいちいち指定することなしに適切な認証を行い、各種の共有資源を使うことができる(シングルサインオン)。

Q:Active Directoryとは何か?

A:Active Directoryは、Windows 2000から新たに追加されたディレクトリサービスである。Active Directoryには3つの側面がある。第1が「Windows NTドメイン互換ドメイン」、第2が「便利で高機能なWindows NTドメイン」、そして第3が「汎用ディレクトリサービス」である。第2の側面と第3の側面は重複する部分もあるが、ここでは3つの機能に整理してまとめてみよう。それぞれの機能は、Active Directoryの活用レベルと考えてもよい。

■レベル1:Windows NT互換ドメイン
 最も基本的な利用形態である。このレベルで満足するのであれば、管理コストは従来(Windows NTドメインの管理)と同じか、若干の削減にとどまる。ただし、Windows NTと比較すると、Windows 2000ではOSとしての安定性が向上するため、全体の管理コストはかなり削減できるだろう。

 Windows NTドメインでは、ユーザーとグループ管理を一元化し、それらの情報にアクセスできるコンピュータを「ドメインメンバー」として限定する機能を持つ。Active Directoryでも同じ機能を持つので、Windows NTで満足している場合は、単にWindows NTからWindows 2000へアップグレードすればよい。ログオンスクリプト(ユーザーのログオン時に実行されるスクリプト)などの複製メカニズムには違いがあるので、Windows NTのドメインコントローラー(Domain Controller:DC)とActive Directoryのドメインコントローラーを混在させる場合は工夫が必要だが、全てのドメインコントローラーをWindows 2000にしてしまえば問題は解決する。

 Windows NTやWindows 9xは、Active Directoryドメインのドメインコントローラーを「Windows NT 5.0」のドメインコントローラーとして認識し、認証プロトコルなどもWindows NTのものがそのまま使われる。

 ただし、Windows NT互換機能だけを使う場合でも、DNSの設定は必須である。Windows NT互換機能はActive Directoryの付加機能であり、単独で利用することはできない。DNSの設定はActive Directoryの最大の関門なので、ここだけは十分に検討を重ねてから実装してほしい。逆に、DNSの設定さえできれば、Active Directoryに難しいところはない。

 前述した通り、Windows 2000は、Windows NTよりもOSとしての安定性が大幅に向上している。アプリケーションとデバイスドライバの互換性問題さえ解決すれば、Windows 2000にするだけで管理コストを下げることができる。

■レベル2:便利で高機能なWindows NTドメイン
 Windows NTドメインの管理者の多くが期待している利用形態である。このレベルまで活用できれば、本格的な管理コストの低減が期待できる。

 特に有益なのは「ドメイン間の階層構造」と「ドメイン内の階層構造」だ。ドメイン間の階層構造は、DNSに基づくもので、異なるセキュリティポリシー(パスワードの利用制限など)を実装できる。しかも、必要なら特定の管理者が複数のドメインを管理するように設定することもできる。ただし、ドメイン構造の変更は極めて困難なので、なるべくなら単一ドメインで使いたい。ドメイン内の階層構造は「組織単位(OU:Organizational Unit)」と呼ばれる。ユーザーなど、Active Directoryに登録された情報は、同一ドメイン内であれば簡単に移動できる。従って部門ごとに管理権限を委任したい場合などは、ドメインとして分割するのではなく、可能な限り単一ドメイン内のOUとして構成するべきだ。

Active Directoryの階層構造
Active Directoryの階層構造
Active Directoryによって、ドメイン間を階層的に管理できるようになるとともに、OUという単位を利用することで、ドメイン内でも階層構造を持たせ管理できるようになる。

 例えば、ヘルプデスク担当者への問い合わせで最も多いのは「パスワードを忘れた」というものだそうだ。Active Directoryでは、部門ごとにOUを作成し、ユーザーのパスワードリセット権限をOU単位で任意のユーザーやグループに委任できる。この場合でもユーザー登録の権限は与える必要はないので、安全に必要な作業を委任できる。

 また、Windows 2000/XPクライアントに対しては、強力な検索機能が提供される。一般ユーザーであっても、Active Directoryに登録された多くの項目を柔軟に検索できる。例えば、ユーザーの氏名や電子メールからの検索を行い、電話番号を表示するといった作業ができる。また、共有プリンタの検索をする場合、場所や機能を指定できる。これにより「最寄りのプリンタで、カラー印刷できるプリンタ」という指定が簡単にできる。

■レベル3:汎用ディレクトリサービス
 最終的なレベルは、Active Directoryを汎用のディレクトリサービスとして利用する形態である。ディレクトリサービスは、要するにアプリケーションが使う分散型データベースと考えればよい。現在ではそれほど重要ではないが、今後マイクロソフトのサーバ製品のほとんどはActive Directoryが前提となるため、マイクロソフト製品を多用している場合は早めに移行したい。例えば、既にExchange 2000 Server(以下Exchange 2000)は、従来独自に管理していたユーザー情報をActive Directoryに移行した(これにより、Exchange 2000でのメールアカウント管理もActive Directoryで共通化できるようになった)。また、UNIXとの相互運用を行うための製品「Services for UNIX」は、UNIX固有のユーザー登録情報をActive Directoryに格納し、UNIXとActive Directoryのユーザーアカウントを統合できるようにしている。

Copyright© Digital Advantage Corp. All Rights Reserved.

       | 次のページへ
ページトップに戻る