ICDロゴ

Active Directory

【アクティブ・ディレクトリ】

別名
アクティブディレクトリ (Active Directory)
Activeディレクトリ (Active Directory) 【アクティブ・ディレクトリ】

最終更新日: 2006/04/13

 Windows 2000 Serverで導入されたディレクトリサービスの名称。このActive Directoryの機能により、複数のWindows NTサーバで構成されるWindowsドメインが、ディレクトリの1階層となり、複数のドメインネットワークを階層的に管理できるようになる。Active Directoryは、2000年2月に出荷されたWindows 2000 Serverに組み込まれた。

 ディレクトリサービスとは、組織の内外に散在する各種の物理的/論理的リソースの名前やそれに関連付けられた属性を、組織的構造や地理的な区分などに従って系統的に(ツリー状に)まとめて管理し、それを更新・参照するためのサービスのこと。もともとはOSIのX.500シリーズ勧告としてまとめられた仕様であるが、それをWindowsベースのネットワーク環境で利用可能にしたのがActive Directoryサービスである。従来からのNTドメインシステムを、ダイナミックDNSを使ったTCP/IPベースのディレクトリサービス・システムと融合させ、大規模なWindowsネットワークシステムにおける管理の手間を軽減させ、ユーザーにとって直感的で使いやすいディレクトリサービス環境を提供するために開発された。

 Windows 2000以前のWindowsネットワーク環境では、「ドメイン」という概念を使ってネットワーク環境を管理していた。これは、ドメインコントローラと呼ばれる中央集権的な役目のサーバにユーザーアカウントなどの情報を格納し、それをクライアント・コンピュータからのユーザー認証などに使うという方式である。しかし複数のドメインを相互に組み合わせて運用する能力に欠けていたため、たとえば人事異動などでユーザーアカウント情報を他のドメインへ移動させたくとも、簡単には行えなかった(現実的には、新たに異動先ドメインでアカウントを作り直すか、アカウントを集中管理する特別なドメインを別途構築して対処する必要がある)。また、Windows NTのユーザーアカウント以外の情報は管理されていないので、たとえばExchange Serverなどでは独自に電子メールなどのアカウント情報を管理しており、これらの統合も長らく望まれていた。 そこでWindows 2000で新たに導入されたのがActive Directoryである。Active Directoryを利用すれば、ユーザーごとのユーザー名やWindowsの実行環境プロファイル、電子メールアドレス、住所などのアカウント情報のほか、グループ名、プリンタ/共有リソース名、コンピュータ名、セキュリティポリシーなどのリソースを、ツリー状にして統一的に管理することができる。

 Active Directoryでは、ドメインとOU(Organizational Unit:組織単位)という2つの単位を使って各種のアカウントやリソースを管理する。アカウントやリソースは必ずいずれかのOUに属している必要がある。OUを最小単位として管理やセキュリティポリシーが適用される。ドメインは、セキュリティやドメイン情報の複製などの単位であり、一般的には、組織内の(課やグループの上位組織としての)部や事業部門などに相当する。DNSにおけるドメインとほぼ相当すると考えることもできる(この場合は、コンピュータシステムやネットワークシステムを管理するための単位などで分割されていることが多い)。ドメインの中には階層的に構築された複数の「OU(Organizational Unit)」を置くことができる。OUは、ドメインの中における、セキュリティや管理ポリシーのための最小の境界として機能する。

Active DirectoryにおけるドメインとOU(組織単位)の関係
Active DirectoryにおけるドメインとOU(組織単位)の関係
Active Directoryでは、ドメインとOUという2つの単位を使って各種のアカウントやリソースを管理する。アカウントやリソースは必ずいずれかのOUに属している必要がある。OUを最小単位として管理やセキュリティポリシーが適用される。

 ドメインの上位概念としては、「ツリー」や「フォレスト」、「サイト」がある。ツリーは、ドメインを階層的に並べたもので、1つのルートドメインから順次下位へと派生している。2つ以上のツリーをKerberos信頼関係で結んだものが「フォレスト」である。フォレストでは、ディレクトリ構造を共有したりすることはできるが、フォレストを超えてセキュリティポリシーを適用したり、管理権限を委譲したりすることはできないので、セキュリティを保持したまま2つのツリーを(限定的ながらも)相互に利用することができる。ツリーやフォレストは、ディレクトリ階層の論理的な構造に基づくものであるが、「サイト」は各ドメインコントローラ間や、ドメインコントローラとクライアントの間の通信環境を定義するための「ネットワーク的に近い」ノードの集まりのことである。 ドメインコントローラやグローバルカタログサーバがお互いの持つディレクトリ情報を複製する場合、同一サイト内の場合は圧縮なしで随時行うが、異なるサイトの場合は、あらかじめ決められたスケジュールに従って、データを圧縮して通信を行う(CPUに対する負荷は高くなるが通信時間は短縮される)。

サイトとツリー、フォレストの関係
サイトとツリー、フォレストの関係
ツリーは、ドメインを階層的に並べてKerberos信頼関係で結合したもの、フォレストは2つ以上のツリーをKerberos信頼関係で結合したものである。ツリーやフォレストは、ディレクトリ階層の論理的な構造に基づくものであるが、「サイト」は各ドメインコントローラ間や、ドメインコントローラとクライアントの間の通信環境を定義するための「ネットワーク的に近い」ノードの集まりのことである。

Copyright (C) 2000-2007 Digital Advantage Corp.

アイティメディアの提供サービス

キャリアアップ