Active Directory ドメイン サービスとは、組織でシステム管理者が、組織内のユーザーやリソースを管理するためのサービスです。
Active Directory は Windows 2000 Server から標準で導入されており、追加のライセンス購入などは必要なく導入することができます。多数の社員がおり、複数のリソース(パソコンやプリンタなど)を管理している会社や組織では、数が多くなる程、システムのリソース管理は煩雑になってしまいます。Active Directory では、組織内のユーザーやリソースを管理するために便利な機能が用意されており、多くの企業・組織で導入されております。
“Active Directory” について名前は聞いたことはあるけど、どのような仕組みなのかわからない…という人向けに、Active Direcotry とは何なのか概要について紹介していきます。
Active Directory ドメイン サービスとは?
Active Directory ドメイン サービスとは、一言でいうと、システム管理者が「いろいろなものを一元的に管理する」ためのサービスです。「いろいろなもの」と言われるとイメージがつきにくいですが、ユーザーやコンピューター端末などのリソース、コンピューターやユーザーに割り当てられる設定、各リソースのスペック、アクセス権限など、システムを一元管理するために必要なもの全てです。
社員が少なく、パソコンも数台程度であれば、Active Directory ドメイン サービスを導入しなくても十分に運用できますが、会社や組織の規模が大きく、管理するユーザーやパソコンが数百、数千台あるような組織であれば、効率よく運用していくためには欠かせない仕組みとなります。
そもそも「ドメイン」という IT 用語は、Active Directory 以外の技術領域でも使われています。
「ドメイン(Domain)」を英和辞書で意味を調べると「領域、領土」という日本語に訳されます。
IT 用語としての「ドメイン」は、日本語訳の通り「領域、領土」というイメージで問題ありませんが、技術領域で「ドメイン」という用語が指す意味が異なります。
ネットワークの領域においては、「ドメイン」は IP アドレスと紐づけて割り当てた識別名という意味になります。IP アドレスでコンピューターのネットワーク上の住所を表現するのはユーザー向けではないため、IP アドレスに「文字列」を割り当てた識別子を「ドメイン」読んでいます。
“Active Directory” での「ドメイン」という用語も「領域、領土」という意味となりますが、より詳細に説明すると「システム管理者が管理する領域」となります。例えば、グローバル企業のような大企業の場合、日本やマレーシア、アメリカなど、他の国にも支店がありますが、同じシステム管理者が全ての国の組織を管理すると大変です。
そのため、国ごとにドメインを作成して、各支店のシステム管理者がそれぞれのリソースを管理するという運用を行います。
ワークグループとドメイン
ワークグループとは?
Windows OS 端末は初期状態ではドメインには参加しておらず、「ワークグループ(WORKGROUP)」の状態となります。ドメインについてもシステム管理者の管理の領域を意味しているものですが、ワークグループも管理の領域を示しています。
ドメインは複数のコンピューターを一元的に管理するものですが、ワークグループは個々のコンピューター端末をそれぞれ管理することを意味しています。
ワークグループ環境においても、複数のユーザーやグループを作成することができます。
ワークグループ環境で作成したユーザー、グループは、そのコンピューター端末上で管理されています。
PC01 と PC02 というワークグループ環境のコンピューター端末を管理していたとします。
新しくねこまる株式会社に入社した「ねこねこ」さん向けに、PC01 に「ねこねこ」のローカル ユーザーを作成した場合、「ねこねこ」さんは PC01 にはログオンできますが、PC02 にはログオンできません。
ワークグループ環境では、ユーザーやグループの情報は SAM(Security Account Manager) データベースというレジストリに保存されています。
レジストリの実体はファイルとなりますので、個々のコンピューター端末ごとに設定が異なります。
レジストリ:HKEY_LOCAL_MACHINE\SAM
ファイル:C:\Windows\system32\config\SAM
※ 既定の状態では、SAM データベースのレジストリのデータの詳細を確認することはできません。
また、会社のシステム運用の方針として、5 分以上、ユーザーがコンピューターの操作を実施しない場合、自動的にスリープ状態になるように変更したいとします。
システム管理者は、PC01 にログオンして「電源とスリープ」の設定を変更したとします。
ただし、PC02 では既定の状態となっており、PC01 の設定を変更したとしても、PC02 には設定は反映されません。
そのため、管理者は管理する全ての Windows のコンピューター端末で設定変更を行う必要あります。
上記の図の場合、管理者は PC01 と PC02 にて、それぞれ「電源とスリープ」の設定の作業を行う必要があります。管理するコンピューター端末の台数が多かったり、設定変更箇所が多い場合は管理が大変です。
ドメインとは?
Active Directory のドメインは、システム管理者が管理する領域を決めて、複数のコンピューターを一元的に管理することができます。Active Directory を利用するには、「ドメイン コントローラー」と呼ばれるドメインを管理するサーバーが必要となります。Windows Server OS で標準で利用可能であるため、「役割と機能の追加」から “Active Directory ドメイン サービス” をインストールして構築することができます。
また、Active Directory の利用には、ドメイン コントローラーの機能とともに、DNS サーバーの機能も必要となります。これはドメイン内で管理するコンピューター端末の名前と IP アドレスを結び付けて、ネットワーク上で管理・運用できるようにするためです。
ドメイン コントローラーと DNS サーバーは別端末上で構成することはできますが、”Active Directory ドメイン サービス” のインストール時に “DNS サーバー” もインストールして同居して運用することが一般的です。
ドメイン コントローラーにて、システム管理者はユーザーや PC 設定の情報を一元的に管理して、ドメインで管理しているコンピューター端末へ反映させることができます。
Active Directory って何ができるの?
Active Directory ドメイン サービスを導入して、システムを一元的に管理する仕組みを導入することで、どのような機能が利用できるのか具体的に例を紹介していきます。
① ID の管理
Active Directory では、ユーザー情報をドメイン コントローラー内で集約して管理することができます。
ワークグループの Windows 端末の場合、ユーザーのログオン情報(ユーザーの ID、パスワード)といった情報は端末ごとに保存されています。
端末ごとにしか管理されていないため、新しいユーザーの作成が必要となった場合は、使用する端末それぞれでローカル ユーザーをそれぞれ新規作成する必要があります。また、ユーザーのパスワードを変更する場合でも、利用している全ての Windows 端末でパスワードを変更しなければなりません。
Active Directory ドメイン サービスを導入している環境においては、ユーザーの情報は全てドメイン コントローラー上で管理しています。
ドメインで管理している Windows 端末にログオンする時は、ドメイン コントローラーに問い合わせして、入力されたユーザー名とパスワードが正しいかを確認して、間違っていなければログオンできます。また、ユーザーがパスワードを変更すると、ドメイン コントローラーが管理するユーザー情報も新たに更新されます。
そのため、端末ごとにユーザー アカウントを新規作成したり、パスワードを変更する作業は必要ありません。
② 設定の管理・配布
Active Directory では、システム設定をドメイン コントローラー内で集約して管理することができます。
ワークグループの Windows 端末の場合、ユーザーやコンピューターのシステム設定の情報は端末ごとに保存されています。会社のポリシーとして「5 分以上、ユーザーがコンピューターの操作を実施しない場合、自動的にスリープ状態」となるシステム設定を、全ての端末に設定する必要がでてきたケースを考えます。
その場合、全ての Windows 端末にログオンして、設定変更の作業をする必要が出てきます。仮に設定変更の作業時間が 1 台あたり 5 分程かかる場合、管理する端末が 100 台あれば 500 分(=8 時間 20 分)かかってしまいます。
Active Directory ドメイン サービスを導入している環境においては、システム設定もドメイン コントローラー上で管理しています。ドメイン コントローラーで「システム設定」の情報を一元的に管理し、ドメインで管理している Windows 端末へ配布することができます。
Active Directory で、システム設定を配布する仕組みを「グループ ポリシー」と呼びます。
ログオンするユーザーや、クライアント端末の OS のバージョン、OU と呼ばれる管理単位などに分けて、適用するグループ ポリシーを変えることができます。
このグループ ポリシーにより、Windows 端末ごとにシステム設定を作業を実施する必要はなくなりました。
③ リソースの管理
Active Directory では、プリンターなどのリソースを管理することができます。
ワークグループの Windows 端末の場合、会社内に導入されている複数のプリンターの中から機種により要件を確認して、利用するプリンターを選定する必要があります。
Active Directory ドメイン サービスを導入している環境においては、プリンターなどのリソースに関する情報も保持しております。
ドメイン コントローラーで会社内で導入している全てのプリンターの情報を管理しているため、名前や機種の種類、要件などに合致するプリンターを探すことができます。例えば、A3 に対応しているプリンターを探すとき、管理している全てのプリンターの中から該当するプリンターをすぐにみつけて利用することができます。
④ SSO(シングルサインオン)の実現
SSO(シングル サインオン)とは、一度認証を行うと、複数のシステムを利用する際において再度認証をする必要なく利用できる仕組みのことです。
Active Directory では、ドメイン コントローラーにてユーザー情報を保持しており、ユーザー認証を行うことが可能です。ユーザー認証においては、Kerberos 認証や NTLM 認証とよばれる認証の仕組みを利用しております。
これらの認証の仕組みを利用して、ユーザーがログオン時に認証を行うのみで、社内のファイル サーバーや Web サービスにアクセスした時に再び認証情報(ユーザー名とパスワード)の入力を求められることはなく利用できます。
社内システムを利用する度にユーザーの認証情報を求められることはありませんので、ユーザーはストレスなく利用することができます。
ドメイン環境の構築の概要
Active Directory ドメイン サービスを導入するためには、まずドメインを管理するためのドメイン コントローラーを構築します。Windows Server OS の端末があれば、[機能と役割の追加] より “Active Directory ドメイン サービス”、”DNS サーバー” をインストールして、ドメイン環境を新規に構成します。
ドメイン環境の新規作成の手順については、以下の記事で紹介しております。
Active Directory ドメイン サービスとは、組織でシステム管理者が、組織内のユーザーやリソースを管理するためのサービスです。 Active Directory は Windows 2000 Server から標準で導入されてお[…]
また、ドメイン環境を作成したら、ドメインで管理する端末をドメインに参加させる必要があります。
管理するシステム端末のシステムのプロパティ(sysdm.cpl)から、ドメイン参加することができます。
Windows OS 端末をドメイン参加させるためには、Pro Edition もしくは Enterprise Edition のライセンスを購入して、以下の手順でエディションを変更してください。
Windows 10 の場合
1) [スタート] > [設定] > [更新とセキュリティ] > [ライセンス認証] の順に選択します。
2) [Windows のエディションをアップグレード] の [プロダクト キーを変更する] を選択します。
Windows 11 の場合
1) [スタート] > [設定] > [システム] > [ライセンス認証] の順に選択します。
2) [プロダクト キーを変更する] を選択し、Windows 11 Pro のプロダクト キーを入力します。
3) [次へ] を選んで、Windows 11 Pro へのアップグレードを開始します。
ポチップ
ポチップ