いまさら聞けない【情シス基礎知識】Active Directoryで楽して管理

2000年にリリースされたWindows 2000 Server で初めて登場したActive Directory(AD)は、今や企業の認証管理のデファクトスタンダートとなると言っても過言ではありません。企業で長い期間使用されているADについて基本的な仕組みについてご紹介します。

 

Active Directory(AD)は、マイクロソフトが開発したユーザーとコンピューターを管理するディレクトリ・サービス・システムです。2000年に発売されたWindows 2000 Serverから標準搭載されるようになりました。
マイクロソフトは、もともとクライアントOSを開発していました。1985年にはWindows1.0、1995年にはWindows95が発売されました。
Windows95 のGUIによる視覚的・直感的な操作性やマルチタスクといった使い勝手が評価され、発売当日は深夜販売を始める店舗も多く、マスコミが多く取り上げて社会現象にもなりました。Windows95はその練られたマーケティングによって、クライアントOSのデファクトスタンダートとなりました。
マイクロソフトはサーバーOSの開発にも着手し、1993年にはWindow NTを開発し、1996年にはWindows NT 4.0が発売されました。
それまで、「サーバーにはグラフィカルな画面表示が必要ない」とされてきましたが、Windows NT4.0はWindows95のGUIを継承。クライアントOSを操作するのと同じ感覚でサーバー操作できるようになり、企業担当者からは高い評価を受けました。
2000年に発売されたWindows 2000 ServerはWindows NT4.0の後継となり、ADは目玉機能として注目されました。Windows NT4.0の最大ユーザー登録数は4万人で、これでは大規模環境の運用に耐えられないということで、ディレクトリサービスとしてADが開発されました。

 

【復習】ADの基本的な仕組み

ADは入力したアカウントとパスワードをもとにユーザーを認証し、管理するコンピューターリソースへのアクセスを許可する機能を提供します。

認証したユーザーがサーバー群に対して、どこまで利用できるのかを定義したものが「ドメイン」と呼ばれます。核となるドメイン機能には以下の3つがあります。

・ディレクトリデータベース

ユーザーに紐づく情報を格納するツリー状のデータベースシステムです。アカウント、パスワードだけでなく、所属やメールアドレス、携帯番号などの属性を格納することができます。ADではこのデータベースにLDAPの形式を採用しています。

・認証/承認

ユーザーがアクセスする際に、権利があるのかを判定しなくてはなりません。ADでは、この認証/承認の役割を「Kerberos」(ケルベロス)の機能が担っています。この機能によりユーザーが入力したアカウント名とパスワードが正しいかどうか(認証)、そしてサーバーへのアクセスが認められるかどうか「承認」を行います。それと同時にコンピューターとパスワードを送信してコンピューターの認証も行っています。
認証では、ユーザーがアカウントとパスワードを入力します。認証に成功した場合、ドメインコントローラーからチケットが発行されます。
承認では、ユーザーがサーバーにアクセスする際に、ドメインコントローラーにチケットを送信します。ドメインコントローラーはユーザーがアクセスしたいサーバー用のチケットを発行し、ユーザーはそのチケットをアクセスしたいサーバーに送信します。

・グループポリシーによる制御

クライアントコンピューターにそれぞれ設定する代わりに、グループポリシーによって一括で設定できます。たとえば総務部から営業部へ異動した場合、営業部のポリシーでアクセス制御をしなければいけませんが、対象の社員の部署を変更するだけで、アクセス制御が適用されることになり、運用負荷が軽減します。

ADはもともとドメイン機能として開発されましたが、今では拡張してドメイン機能を中心にさまざまな機能を提供するブランドになっています。

 

【大も小も兼ねる】ADのメリットとは

ではADは、どのようなメリットがあるのでしょうか。

・シングルサインオンできる

複数のサーバーにアクセスする場合でも、最初のアクセスで認証できれば、アクセス権のある他のサーバーに認証なしでアクセスできます。ユーザーは異なるサーバーにアクセスするたびにアカウントとパスワードを入力する必要がなく、ユーザビリティが向上します。また、運用部門側もサーバー単位でユーザーアカウントとパスワードを管理しなくても済みます。
また、最近の企業のシステムでは、オンプレミスとクラウドサービスで構成されることも多くなっています。その場合は、ADに付属している「Active Directoryフェデレーションサービス」(ADFS)を連携させると、オンプレミスで行った認証で、クラウドの認証も行うことができます。

・大規模環境に適用できる

Windows 2000 Server 開発のきっかけとなりましたが、大規模環境でもユーザー管理に耐えられるように設計されています。他の企業と合併する場合でも、異なるADドメイン間で信頼関係を設定することができます。
一方、十数人ユーザーで運用している企業も多く、大規模環境でも小規模環境でも使い勝手のよい仕組みといえるでしょう。

・人事情報との紐づけができる

従来のWindows NT4.0のドメインコントローラーは、アカウントに人事情報などを紐づけたい場合に、独自のアプリケーションやサードパーティのディレクトリーサーバーを併用する必要がありました。ADではアカウントをOU(組織単位)でグルーピングできるため、大量のユーザーをツリー形式でシンプルに管理できます。

【活用術】Windows10への移行でADを活用

Windows7の延長サポートが2020年1月14日に迫っており、多くの企業ではクライアントOSをWindows10へ移行し始めています。Windows10は「最後のWindows」と呼ばれるように、以降のOSのバージョンアップは、すべて更新プログラムで提供されます。
とても便利で機能的なサービスなのですが、社内で使用するシステムやアプリケーションが更新プログラムに対応しているとは限らず、Windowsを更新したために、社内のシステムを起動させることができなくなることもあります。
ADではグループポリシーで一定期間プログラム更新を延期するよう設定することで、システムが急に動かなくなるリスクを回避することができます。
また、ADのバージョンがWindows Server 2008 以降のドメインコントローラーであれば、Windows10のコンピューターをドメインに参加させることができます。
ただし、ADのバージョンがWindows Server 2012 R2 以前のドメインコントローラーであれば、Windows10で追加されたグループポリシーをデフォルトで設定することができません。その場合はMicrosoft のダウンロードセンターからWindows10のグループポリシーをダウンロードし、設定しておく必要があります。

 

【まとめ】塩漬けにされているAD設定、見直してみませんか?

ADの提供開始は2000年と歴史も古く、前の担当者が設定してそのままになっている企業も多いのではないでしょうか。
もしかしたら現在のポリシーと合わなくなっているかもしれません。
この機会にADの仕組みを把握し、御社の設定を見直してみてはいかがでしょうか。

 

【執筆:編集Gp 山際 貴子】

関連記事

ピックアップ記事

  1. 「重労働」「休みがとれない」などネガティブな印象を与える「ひとり情シス」という言葉ですが、日本の会社…
  2. 「攻めの情シス」が求められるとともに、昨今専任CIOの存在感が高まりを見せています。一方、日本におい…
  3. 『多くの人々の「笑顔」のために「感動」を届ける。』を企業理念に、人材・IT・サービスの3軸で…
  4. 2018/07/09 ITコンサルティング事業を主力とするハイブリィド株式…
  5. 2018/06/20 情シスの現場では「管理会計」というキーワードは、果たしてどのくらい浸透し…
  1. 【日経 XTECH EXPO 2018】~その4~ 働き方改革、ブロックチェーン、IoT、建設テック・・・、あらゆる分野に巻き起こるDXのうねり

  2. いつもの仕事場が “やりがいクエスト”になる!?社内仮想通貨「communitio」

  3. 【日経 XTECH EXPO 2018】~その3~ AI、DaaS…、「ネクストジェネレーション」を支えるソリューションの今!!

  4. 【日経 XTECH EXPO 2018】~その2~ 業務のお悩みが解決するソリューションが大集合!

  5. 【日経 XTECH EXPO 2018】~その1~ 企業のデジタル化を支援するソリューションが大集合!

  6. 【情シス×ストレッチ】~第1回~肩こり対策ストレッチ「肩ラクレッチ1」

  7. 使える! 情シス三段用語辞典71「NIST SP800-171」

  8. ひとり情シスの功罪

  9. いまさら聞けない【情シス基礎知識】VPNってなに?

  10. 【レポート】PCNW『第一回クライアント管理勉強会(東京)』を開催!!

関連サイト

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
  3. 業務にもようやく慣れてきた。そうなると気になるのが業務の効率化。作業をもっと素早く、ラクにできないも…
  4. 「IOT(コネクテッド・インダストリーズ)税制」の受付が今年6月よりスタートしました。コネクテッド・…
  5. だいぶ普及した感のある公衆無線LAN。外国人観光者はもとより、パケット代に敏感な中高生だけでなく、ビ…
  6. 2018/06/27 あと1年半まで迫ったWindows 7のサポート終了。しっかりとしたPC…
ページ上部へ戻る