いまさら聞けない【情シス基礎知識】Active Directoryで楽して管理

2000年にリリースされたWindows 2000 Server で初めて登場したActive Directory(AD)は、今や企業の認証管理のデファクトスタンダートとなると言っても過言ではありません。企業で長い期間使用されているADについて基本的な仕組みについてご紹介します。

 

Active Directory(AD)は、マイクロソフトが開発したユーザーとコンピューターを管理するディレクトリ・サービス・システムです。2000年に発売されたWindows 2000 Serverから標準搭載されるようになりました。
マイクロソフトは、もともとクライアントOSを開発していました。1985年にはWindows1.0、1995年にはWindows95が発売されました。
Windows95 のGUIによる視覚的・直感的な操作性やマルチタスクといった使い勝手が評価され、発売当日は深夜販売を始める店舗も多く、マスコミが多く取り上げて社会現象にもなりました。Windows95はその練られたマーケティングによって、クライアントOSのデファクトスタンダートとなりました。
マイクロソフトはサーバーOSの開発にも着手し、1993年にはWindow NTを開発し、1996年にはWindows NT 4.0が発売されました。
それまで、「サーバーにはグラフィカルな画面表示が必要ない」とされてきましたが、Windows NT4.0はWindows95のGUIを継承。クライアントOSを操作するのと同じ感覚でサーバー操作できるようになり、企業担当者からは高い評価を受けました。
2000年に発売されたWindows 2000 ServerはWindows NT4.0の後継となり、ADは目玉機能として注目されました。Windows NT4.0の最大ユーザー登録数は4万人で、これでは大規模環境の運用に耐えられないということで、ディレクトリサービスとしてADが開発されました。

 

【復習】ADの基本的な仕組み

ADは入力したアカウントとパスワードをもとにユーザーを認証し、管理するコンピューターリソースへのアクセスを許可する機能を提供します。

認証したユーザーがサーバー群に対して、どこまで利用できるのかを定義したものが「ドメイン」と呼ばれます。核となるドメイン機能には以下の3つがあります。

・ディレクトリデータベース

ユーザーに紐づく情報を格納するツリー状のデータベースシステムです。アカウント、パスワードだけでなく、所属やメールアドレス、携帯番号などの属性を格納することができます。ADではこのデータベースにLDAPの形式を採用しています。

・認証/承認

ユーザーがアクセスする際に、権利があるのかを判定しなくてはなりません。ADでは、この認証/承認の役割を「Kerberos」(ケルベロス)の機能が担っています。この機能によりユーザーが入力したアカウント名とパスワードが正しいかどうか(認証)、そしてサーバーへのアクセスが認められるかどうか「承認」を行います。それと同時にコンピューターとパスワードを送信してコンピューターの認証も行っています。
認証では、ユーザーがアカウントとパスワードを入力します。認証に成功した場合、ドメインコントローラーからチケットが発行されます。
承認では、ユーザーがサーバーにアクセスする際に、ドメインコントローラーにチケットを送信します。ドメインコントローラーはユーザーがアクセスしたいサーバー用のチケットを発行し、ユーザーはそのチケットをアクセスしたいサーバーに送信します。

・グループポリシーによる制御

クライアントコンピューターにそれぞれ設定する代わりに、グループポリシーによって一括で設定できます。たとえば総務部から営業部へ異動した場合、営業部のポリシーでアクセス制御をしなければいけませんが、対象の社員の部署を変更するだけで、アクセス制御が適用されることになり、運用負荷が軽減します。

ADはもともとドメイン機能として開発されましたが、今では拡張してドメイン機能を中心にさまざまな機能を提供するブランドになっています。

 

【大も小も兼ねる】ADのメリットとは

ではADは、どのようなメリットがあるのでしょうか。

・シングルサインオンできる

複数のサーバーにアクセスする場合でも、最初のアクセスで認証できれば、アクセス権のある他のサーバーに認証なしでアクセスできます。ユーザーは異なるサーバーにアクセスするたびにアカウントとパスワードを入力する必要がなく、ユーザビリティが向上します。また、運用部門側もサーバー単位でユーザーアカウントとパスワードを管理しなくても済みます。
また、最近の企業のシステムでは、オンプレミスとクラウドサービスで構成されることも多くなっています。その場合は、ADに付属している「Active Directoryフェデレーションサービス」(ADFS)を連携させると、オンプレミスで行った認証で、クラウドの認証も行うことができます。

・大規模環境に適用できる

Windows 2000 Server 開発のきっかけとなりましたが、大規模環境でもユーザー管理に耐えられるように設計されています。他の企業と合併する場合でも、異なるADドメイン間で信頼関係を設定することができます。
一方、十数人ユーザーで運用している企業も多く、大規模環境でも小規模環境でも使い勝手のよい仕組みといえるでしょう。

・人事情報との紐づけができる

従来のWindows NT4.0のドメインコントローラーは、アカウントに人事情報などを紐づけたい場合に、独自のアプリケーションやサードパーティのディレクトリーサーバーを併用する必要がありました。ADではアカウントをOU(組織単位)でグルーピングできるため、大量のユーザーをツリー形式でシンプルに管理できます。

【活用術】Windows10への移行でADを活用

Windows7の延長サポートが2020年1月14日に迫っており、多くの企業ではクライアントOSをWindows10へ移行し始めています。Windows10は「最後のWindows」と呼ばれるように、以降のOSのバージョンアップは、すべて更新プログラムで提供されます。
とても便利で機能的なサービスなのですが、社内で使用するシステムやアプリケーションが更新プログラムに対応しているとは限らず、Windowsを更新したために、社内のシステムを起動させることができなくなることもあります。
ADではグループポリシーで一定期間プログラム更新を延期するよう設定することで、システムが急に動かなくなるリスクを回避することができます。
また、ADのバージョンがWindows Server 2008 以降のドメインコントローラーであれば、Windows10のコンピューターをドメインに参加させることができます。
ただし、ADのバージョンがWindows Server 2012 R2 以前のドメインコントローラーであれば、Windows10で追加されたグループポリシーをデフォルトで設定することができません。その場合はMicrosoft のダウンロードセンターからWindows10のグループポリシーをダウンロードし、設定しておく必要があります。

 

【まとめ】塩漬けにされているAD設定、見直してみませんか?

ADの提供開始は2000年と歴史も古く、前の担当者が設定してそのままになっている企業も多いのではないでしょうか。
もしかしたら現在のポリシーと合わなくなっているかもしれません。
この機会にADの仕組みを把握し、御社の設定を見直してみてはいかがでしょうか。

 

【執筆:編集Gp 山際 貴子】

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 平成31年、とうとう平成最後の年が幕を開けた。先日、安倍首相は三重県伊勢市での年頭記者会見で、「5月…
  3. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  4. 不朽の名作と名高いRPGの開発をはじめ、数々の有名IPのソーシャルゲーム開発を手がけてきたオルトプラ…
  5. PCNW(PC・ネットワークの管理・活用を考える会)が、東京会場における今期最初の勉強会「第一回クラ…
  1. 【情シス女子】第45回「苦手だからこそ”乗り越える楽しさ”がある」齊藤桃子さん

  2. 情シス in 新潟#2 @Prototype Cafe

  3. いまさら聞けない【情シス基礎知識】Microsoft365とは?

  4. 【情シスTips】もう怖くない!サービスとして活用するWindows10(第3回)

  5. くらめその情シス“技”:メールへのファイル添付について考える from Developers.IO

  6. 楽してセットアップ「Windows10時代のキッティングTIPS」

  7. PCNW「他社に学ぶ!オフィス環境の改善とその効果」第三回ITトレンド勉強会@東京

  8. 【必見】情シスに必要なサイバーセキュリティスキル2019

  9. 使える! 情シス三段用語辞典85「Windows AutoPilot」

  10. 【情シスTips】もう怖くない!サービスとして活用するWindows10(第2回)

プレスリリース

登録されているプレスリリースはございません。

関連サービス

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. オラクル(Oracle)による無償サポート終了で今やホットなキーワードである「Java」。自分のPC…
  2. Windowsに無料でついてくるセキュリティソフト「Windows Defender」。わざわざセキ…
  3. 欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪の流行の中、情シスは顧客情…
  4. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  5. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  6. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
ページ上部へ戻る