いまさら聞けない【情シス基礎知識】Active Directoryで楽して管理

2000年にリリースされたWindows 2000 Server で初めて登場したActive Directory(AD)は、今や企業の認証管理のデファクトスタンダートとなると言っても過言ではありません。企業で長い期間使用されているADについて基本的な仕組みについてご紹介します。

 

Active Directory(AD)は、マイクロソフトが開発したユーザーとコンピューターを管理するディレクトリ・サービス・システムです。2000年に発売されたWindows 2000 Serverから標準搭載されるようになりました。
マイクロソフトは、もともとクライアントOSを開発していました。1985年にはWindows1.0、1995年にはWindows95が発売されました。
Windows95 のGUIによる視覚的・直感的な操作性やマルチタスクといった使い勝手が評価され、発売当日は深夜販売を始める店舗も多く、マスコミが多く取り上げて社会現象にもなりました。Windows95はその練られたマーケティングによって、クライアントOSのデファクトスタンダートとなりました。
マイクロソフトはサーバーOSの開発にも着手し、1993年にはWindow NTを開発し、1996年にはWindows NT 4.0が発売されました。
それまで、「サーバーにはグラフィカルな画面表示が必要ない」とされてきましたが、Windows NT4.0はWindows95のGUIを継承。クライアントOSを操作するのと同じ感覚でサーバー操作できるようになり、企業担当者からは高い評価を受けました。
2000年に発売されたWindows 2000 ServerはWindows NT4.0の後継となり、ADは目玉機能として注目されました。Windows NT4.0の最大ユーザー登録数は4万人で、これでは大規模環境の運用に耐えられないということで、ディレクトリサービスとしてADが開発されました。

 

【復習】ADの基本的な仕組み

ADは入力したアカウントとパスワードをもとにユーザーを認証し、管理するコンピューターリソースへのアクセスを許可する機能を提供します。

認証したユーザーがサーバー群に対して、どこまで利用できるのかを定義したものが「ドメイン」と呼ばれます。核となるドメイン機能には以下の3つがあります。

・ディレクトリデータベース

ユーザーに紐づく情報を格納するツリー状のデータベースシステムです。アカウント、パスワードだけでなく、所属やメールアドレス、携帯番号などの属性を格納することができます。ADではこのデータベースにLDAPの形式を採用しています。

・認証/承認

ユーザーがアクセスする際に、権利があるのかを判定しなくてはなりません。ADでは、この認証/承認の役割を「Kerberos」(ケルベロス)の機能が担っています。この機能によりユーザーが入力したアカウント名とパスワードが正しいかどうか(認証)、そしてサーバーへのアクセスが認められるかどうか「承認」を行います。それと同時にコンピューターとパスワードを送信してコンピューターの認証も行っています。
認証では、ユーザーがアカウントとパスワードを入力します。認証に成功した場合、ドメインコントローラーからチケットが発行されます。
承認では、ユーザーがサーバーにアクセスする際に、ドメインコントローラーにチケットを送信します。ドメインコントローラーはユーザーがアクセスしたいサーバー用のチケットを発行し、ユーザーはそのチケットをアクセスしたいサーバーに送信します。

・グループポリシーによる制御

クライアントコンピューターにそれぞれ設定する代わりに、グループポリシーによって一括で設定できます。たとえば総務部から営業部へ異動した場合、営業部のポリシーでアクセス制御をしなければいけませんが、対象の社員の部署を変更するだけで、アクセス制御が適用されることになり、運用負荷が軽減します。

ADはもともとドメイン機能として開発されましたが、今では拡張してドメイン機能を中心にさまざまな機能を提供するブランドになっています。

 

【大も小も兼ねる】ADのメリットとは

ではADは、どのようなメリットがあるのでしょうか。

・シングルサインオンできる

複数のサーバーにアクセスする場合でも、最初のアクセスで認証できれば、アクセス権のある他のサーバーに認証なしでアクセスできます。ユーザーは異なるサーバーにアクセスするたびにアカウントとパスワードを入力する必要がなく、ユーザビリティが向上します。また、運用部門側もサーバー単位でユーザーアカウントとパスワードを管理しなくても済みます。
また、最近の企業のシステムでは、オンプレミスとクラウドサービスで構成されることも多くなっています。その場合は、ADに付属している「Active Directoryフェデレーションサービス」(ADFS)を連携させると、オンプレミスで行った認証で、クラウドの認証も行うことができます。

・大規模環境に適用できる

Windows 2000 Server 開発のきっかけとなりましたが、大規模環境でもユーザー管理に耐えられるように設計されています。他の企業と合併する場合でも、異なるADドメイン間で信頼関係を設定することができます。
一方、十数人ユーザーで運用している企業も多く、大規模環境でも小規模環境でも使い勝手のよい仕組みといえるでしょう。

・人事情報との紐づけができる

従来のWindows NT4.0のドメインコントローラーは、アカウントに人事情報などを紐づけたい場合に、独自のアプリケーションやサードパーティのディレクトリーサーバーを併用する必要がありました。ADではアカウントをOU(組織単位)でグルーピングできるため、大量のユーザーをツリー形式でシンプルに管理できます。

【活用術】Windows10への移行でADを活用

Windows7の延長サポートが2020年1月14日に迫っており、多くの企業ではクライアントOSをWindows10へ移行し始めています。Windows10は「最後のWindows」と呼ばれるように、以降のOSのバージョンアップは、すべて更新プログラムで提供されます。
とても便利で機能的なサービスなのですが、社内で使用するシステムやアプリケーションが更新プログラムに対応しているとは限らず、Windowsを更新したために、社内のシステムを起動させることができなくなることもあります。
ADではグループポリシーで一定期間プログラム更新を延期するよう設定することで、システムが急に動かなくなるリスクを回避することができます。
また、ADのバージョンがWindows Server 2008 以降のドメインコントローラーであれば、Windows10のコンピューターをドメインに参加させることができます。
ただし、ADのバージョンがWindows Server 2012 R2 以前のドメインコントローラーであれば、Windows10で追加されたグループポリシーをデフォルトで設定することができません。その場合はMicrosoft のダウンロードセンターからWindows10のグループポリシーをダウンロードし、設定しておく必要があります。

 

【まとめ】塩漬けにされているAD設定、見直してみませんか?

ADの提供開始は2000年と歴史も古く、前の担当者が設定してそのままになっている企業も多いのではないでしょうか。
もしかしたら現在のポリシーと合わなくなっているかもしれません。
この機会にADの仕組みを把握し、御社の設定を見直してみてはいかがでしょうか。

 

【執筆:編集Gp 山際 貴子】

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  3. 不朽の名作と名高いRPGの開発をはじめ、数々の有名IPのソーシャルゲーム開発を手がけてきたオルトプラ…
  4. PCNW(PC・ネットワークの管理・活用を考える会)が、東京会場における今期最初の勉強会「第一回クラ…
  5. 政府は11月をテレワーク月間と定め、時間と場所を選ばない働き方を推進しています。中には完全リモートワ…
  1. 国内LPWAの普及を阻む3つの要因

  2. Backlog World 2019開催(2019年1月26日)~プロジェクトマネジメント×働き方改革~

  3. 2019年 中堅・中小企業におけるIT活用の注目ポイント(業務システム編)-ノークリサーチ調査

  4. 使える! 情シス三段用語辞典75「インターネットブレイクアウト(ローカルブレイクアウト)」

  5. 法人組織におけるセキュリティ実態調査【2018年版】

  6. 生産性向上の切り札なのか!? RPA導入のポイント

  7. 【セキュリティ基礎知識】気をつけよう!企業向けフィッシング詐欺

  8. 迫るアップデート終了、備えは大丈夫か!? Java有償化問題

  9. 【セキュリティ基礎知識】気をつけよう!ビジネスメール詐欺

  10. 【情シスの赤本】メール誤送信と取るべき対策

関連サイト

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  2. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  3. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
  4. 業務にもようやく慣れてきた。そうなると気になるのが業務の効率化。作業をもっと素早く、ラクにできないも…
  5. 「IOT(コネクテッド・インダストリーズ)税制」の受付が今年6月よりスタートしました。コネクテッド・…
  6. だいぶ普及した感のある公衆無線LAN。外国人観光者はもとより、パケット代に敏感な中高生だけでなく、ビ…
ページ上部へ戻る