第1回 Active Directoryとは何か?:管理者のためのActive Directory入門(4/4 ページ)
本連載では、初心者管理者を対象に、Active Directoryの基礎から、導入法、管理法までを解説していく。
Active Directoryドメインにおけるドメイン・コントローラの役割
Windows 2000 Serverでは、Active Directoryを使って論理的なネットワークの範囲を定義することができる。
この基本単位を「ドメイン」と呼び、ドメインを管理するコンピュータを「ドメイン・コントローラ(Domain Controller、以下DCと呼ぶ)」という。DCはドメインを制御するための中心的なシステムであり、非常に重要な役割を持っている。主な役割としては、情報が登録されたデータベースの保持とユーザー認証がある。ユーザー認証とは、ユーザーがコンピュータを使い始めるときにそのユーザーが本物(登録された本人)であることを証明する処理である。
ドメイン・コントローラの役割
ドメイン・コントローラ(DC)は、ユーザー情報をActive Directoryデータベースに格納し、ログオン認証要求があれば、ユーザー名やパスワードなどの情報がデータベース内の情報と一致しているかどうかを調べ(認証し)、一致していればドメインへの参加を許可する。
Active Directoryでは、1台のDCが停止している状態でもディレクトリ・サービスを利用できるようにするために、1つのドメイン内に複数のDCを配置することができる。ユーザー認証処理(ログオン処理)はドメイン内の任意のDCで行われるため、どのDCで認証されてもドメインの資源を利用できる。
組織におけるユーザー管理の目的
Active Directoryを使うと組織のユーザーを集中して管理できる。では、なぜユーザー管理が必要なのか考えてみよう。
第1の目的は、セキュリティ実装のためである。
組織ではビジネスを行うためにさまざまな情報や資源を取り扱っている。このような環境においては、ユーザーの管理を行うことで、それらの資源をいつ、だれが、どのように、何をしたのかという情報を記録することができる。また、どのユーザーに対して、どの資源を、どういう種類のアクセス権をもって許可するのかといった、細かいセキュリティを設定するためにも、ユーザーの集中管理は必要である。
ユーザーは資源を利用する際、ログオン認証を受けなければ資源にアクセスできない仕組みになっている。そのため、管理者はだれがいつからドメインに参加しているのかを監視することもできる。
ユーザー管理の第2の目的としては、ユーザーごとの個々の使用環境を保存しておく機能を提供するということが挙げられる。ユーザー管理をすることにより、ユーザー自身が自分の使いやすい利用環境(壁紙や[スタート]ボタンのメニュー構成など)を残しておくことが可能になる。そのため作業効率が向上する。ユーザーを個別に管理していないと、自分と他人の区別ができず、自分だけの環境を保存することはできない。
Active Directoryの“領域”
Active Directoryドメインの範囲は、物理的なネットワーク構造に依存しない、論理的な“領域”である(図示する場合は三角形で描く習慣がある)。論理的な領域とは、登録されたものだけがその領域の範囲に含まれるということだ。管理したいものだけを登録してあげればそれは領域内ということになる。あらかじめ登録されていないものは、仮に同じネットワーク・セグメントに接続されていたとしても範囲外という扱いになる。
ネットワーク・システムを構成する場合、通信を行いたいコンピュータ同士をLANケーブルやハブなどを使って、物理的に接続する。その上で必要な通信プロトコルの構成を行う。
ネットワークの範囲を定義する場合、TCP/IPで利用するサブネットで分けることもできる。同じネットワーク・セグメントに参加するコンピュータには同じサブネットを割り当てないと通信ができない。
しかし、サブネットはルータで区切られている物理的な接続に依存するため、自由度が低い。サブネットが違っていても、ローカル・ルータで極めて高速に通信できることもあれば、低速なWAN回線を経由する場合もあるだろう。両者を同じように区別するのは不自然である。
IPサブネット
TCP/IPのサブネットはネットワーク・セグメントに対して論理的にサブネットIDを割り当てる。この例では3つのサブネットが存在しており、サブネット間はルータによって接続されている。各サブネットに接続されるコンピュータやネットワーク機器は、論理的に割り当てられたサブネットIDを各コンピュータのIPアドレス(の一部)に含める必要がある。ネットワークに対して割り当てるサブネットIDは論理的な値になるが、自由度は低い。
これに対してActive Directoryを使ったネットワークでは、TCP/IPのサブネットによる論理構造よりも自由度が高くなっている。Active Directoryには管理したいものだけを登録すればよいし、その場合にも物理的な接続の範囲を無視して定義することができる。管理者はあらかじめActive Directoryで何をどのように管理するかを決め、管理するもの(オブジェクト)を登録し、管理していくことになる。
Active Directoryの論理範囲
Active Directoryは論理的な領域の定義となるため、物理的なネットワークの接続形態や、TCP/IPのサブネットなどを意識せずに管理する範囲を決めることができる。管理したいオブジェクトをActive Directoryデータベースに登録すればよい。
社内ネットワークにActive Directoryを導入すれば、ユーザー管理やコンピュータ管理、セキュリティ管理などを中央で集中制御できるようになる。これにより、管理者の負担が軽減させることができる。管理者はユーザー登録作業をドメインに対してのみ行えば良いため、個々のコンピュータ上にユーザー登録をする必要がなくなるからだ。またセキュリティ管理でもドメイン全体のセキュリティ・ログが確認できたり、暗号化通信を行う範囲を定義したりできる。
「運用」
Copyright© Digital Advantage Corp. All Rights Reserved.