第1回 Active Directoryとは何か?:改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版)(3/3 ページ)
好評のActive Directory基礎連載を、Windows Server 2003対応に改訂。今回は、ディレクトリ・サービスの基礎を概説。
Windows 2000 ServerやWindows Server 2003では、Active Directoryを使って論理的なネットワークの範囲を定義することができる。
この基本単位を「ドメイン」と呼び、ドメインを管理するコンピュータを「ドメイン・コントローラ(Domain Controller、以下DC)」という。DCはドメインを制御するための中心的なシステムであり、非常に重要な役割を持っている。主な役割としては、情報が登録されたデータベースの保持とユーザー認証がある。ユーザー認証とは、ユーザーがコンピュータを使い始めるときにそのユーザーが本物(登録された本人)であることを証明する処理である。
ドメイン・コントローラの役割
ドメイン・コントローラ(DC)は、ユーザー情報をActive Directoryデータベースに格納し、ログオン認証要求があれば、ユーザー名やパスワードなどの情報がデータベース内の情報と一致しているかどうかを調べ(認証し)、一致していればドメインへの参加を許可する。
Active Directoryでは1台のDCが停止している状態でもディレクトリ・サービスを利用できるようにするために、1つのドメイン内に複数のDCを配置できる。
ユーザーはドメイン内の任意のDCでユーザー認証処理(ログオン処理)を完了させることでドメインの資源を利用できるようになる。
組織におけるユーザー管理の目的
Active Directoryを使うと組織のユーザーを集中して管理できる。では、なぜユーザー管理が必要なのか考えてみよう。
第1の目的は、セキュリティ実装のためである。
組織ではビジネスを行うためにさまざまな情報や資源を取り扱っている。このような環境においては、ユーザーの管理を行うことで、それらの資源をいつ、誰が、どのように、何をしたのかという情報を記録することができる。また、どのユーザーに対して、どの資源を、どういう種類のアクセス権をもってアクセスを許可するのかといった、細かいセキュリティを設定するためにも、ユーザーの集中管理は必要である。
ユーザーは資源を利用する際、ログオン認証を受けなければ資源にアクセスできない仕組みになっている。そのため管理者は、誰がいつからドメインに参加しているのかを監視することなどもできる。
ユーザー管理の第2の目的としては、ユーザーごとの個々の使用環境を保存しておく機能を提供するということが挙げられる。ユーザーを管理することにより、ユーザー自身が自分の使いやすい利用環境(壁紙や[スタート]ボタンのメニュー構成など)をユーザー・プロファイルとして残しておくことが可能になり、ユーザーの作業効率が向上する。ユーザーを個別に管理していないと、ユーザーは自分と他人の区別ができず、自分だけの環境を保存することはできない。
Active Directoryの“領域”
Active Directoryドメインの範囲は、物理的なネットワーク構造に依存しない、論理的な「領域」である(図示する場合は三角形で描く習慣がある)。論理的な領域とは、登録されたものだけがその領域の範囲に含まれるということだ。管理したいものだけを登録してあげればそれは領域内ということになる。あらかじめ登録されていないものは、仮に同じネットワーク・セグメントに接続されていたとしても範囲外という扱いになる。
ネットワーク・システムを構成する場合、通信を行いたいコンピュータ同士をLANケーブルやハブなどを使って、物理的に接続する。その上で必要な通信プロトコルの構成を行う。
ネットワークの範囲を定義する場合、TCP/IPで利用するサブネットで分けることもできる。同じネットワーク・セグメントに参加するコンピュータには同じサブネットを割り当てないと通信ができない。
しかし、サブネットはルータで区切られている物理的な接続に依存するため、自由度が低い。サブネットが違っていても、ローカル・ルータで極めて高速に通信できることもあれば、比較的低速なWAN回線を経由する場合もあるだろう。これらを画一的に扱うのは不自然である。
IPサブネット
TCP/IPのサブネットはネットワーク・セグメントに対して論理的にサブネットIDを割り当てる。この例では3つのサブネットが存在しており、サブネット間はルータによって接続されている。各サブネットに接続されるコンピュータやネットワーク機器は、論理的に割り当てられたサブネットIDを各コンピュータのIPアドレス(の一部)に含める必要がある。ネットワークに対して割り当てるサブネットIDは論理的な値になるが、自由度は低い。
これに対してActive Directoryを使ったネットワークでは、TCP/IPのサブネットによる論理構造よりも自由度が高くなっている。Active Directoryには管理したいものだけを登録すればよいし、その場合にも物理的な接続の範囲を無視して定義することができる。管理者はあらかじめActive Directoryで何をどのように管理するかを決め、管理するもの(オブジェクト)を登録しておく。
Active Directoryの論理範囲
Active Directoryは論理的な領域の定義となるため、物理的なネットワークの接続形態や、TCP/IPのサブネットなどを意識せずに管理する範囲を決めることができる。管理したいオブジェクトをActive Directoryデータベースに登録すればよい。
社内ネットワークにActive Directoryを導入すれば、ユーザー管理やコンピュータ管理、セキュリティ管理などを中央で集中制御できるようになる。これにより、管理者の負担を軽減させることができる。管理者はユーザー登録作業をドメインに対してのみ行えばよいため、個々のコンピュータ上にユーザー登録をする必要がなくなるからだ。またセキュリティ管理でも、ドメイン全体のセキュリティ・ログが確認できたり、暗号化通信を行う範囲を定義したりできる。
Copyright© Digital Advantage Corp. All Rights Reserved.