楽しいActive Directory理論編その①
ADに何ができるのかを知る旅、今回は用語の理解。間違ってる箇所があればコメントで優しく指摘してください。
前回の記事
■目次
Active Directoryの主な目的
ユーザーやネットワークリソースを集中管理すること。
クライアントPCからADに接続することで、利用者個人用のローカルユーザーを作らずともADユーザーでログオン可能になる。どのPCからでも同じユーザーにログオンできるため、PCが変わっても同じような環境の元で仕事や作業ができる。
ADユーザーはローカルユーザーの対のような存在。
AD DCの設定からユーザーに対するセキュリティポリシー(パスワード文字数のルールとか)を一括で敷設することもできる。便利。
Active Directoryの”広さ”
Active Directoryの広さは階層構造と階層構造同士の連携によって作られる。それを支える主要な仕組みは3つ。
- ドメイン
- フォレスト
- OU
1.ドメイン
同じ名前空間を持つ親ドメインと子ドメインによって構成される空間で、親子関係はサブドメインで定義。
タテの関係であることを明確に表現する用語がドメインツリー。
用語の混同を回避するため、インターネット空間で使われる”ドメイン”に対して”ADドメイン”と呼ぶこともあるらしい。
ドメイン名の命名規則はイントラ利用に限定していれば特になく自由、インターネット公開する際はDNSサーバー構築の規則に則る必要がある。
ドメインツリーの頂点に位置する親ドメインのことをルートドメインと呼ぶ。
2.フォレスト
単一または複数のドメインツリーにより形成される管理対象範囲のこと。単一ドメインの場合はフォレストの広さとドメインツリーの広さはニアリーイコールだが、複数のドメインツリー同士で連携する場合は広さの捉え方としてフォレストという考え方の出番となる。
ルートドメイン同士で信頼関係を結ぶとフォレストになり、信頼関係を結んだ2つのルートドメインのどちらかを親玉に指定すると、その親玉ルートドメインはフォレストルートドメインに昇格する。フォレストには名前の指定等は行わない。
3.OU
ドメイン内を論理的に分割するための仕組み。OUはADに登録されているユーザーやグループを格納するためのコンテナーで、1つのドメインの中にいくつかOUを作り分けてユーザー・グループを管理する。(例:総務部OU、経理部OU、等)
OU単位でグループポリシーの設定も可能らしい。
ドメインコントローラー(DC)
ADユーザーとグループ、またそれに対する認証とセキュリティポリシーを管理するためのサーバー。
1フォレストには最低1台以上のDCが必要だが、2台以上存在する分には問題なし。複数台存在する場合はDC同士でデータのレプリケーションが行われ、冗長性が強化される。つまりどれか1台のDCが故障してもADは維持される。
DCにはルートのような概念がないらしく、複数のDCが分散型データベースのような方式で全て稼働してクライアントからの要求に回答を行う。
読み取り専用のDC(RODC)なるものも存在する。
AD DSのDNS
AD DSにクライアントコンピューターを参加させた後、ドメインコントローラーなどの名前解決を可能にする役割をもっている。ドメインコントローラーを含め、ADに参加するクライアントは同一AD所属クライアントで、AD所属クライアント同士が互いをホスト名で名前解決できるようになる。
AD所属前にホスト名を一意の値にしておかないと事故る。
AD DSのグループポリシー
ADのオブジェクト(ユーザー含む)に対してセキュリティを一括で設定するための仕組み。パスワードを厳しく〜とか、何日で変更させる〜とか、何回か間違えたらロックさせるとか、そういうの。ITコンサル系の企業がガチガチに固めてる印象。
コンテナー
ADではユーザーやグループなどを「オブジェクト」として扱う。コンテナーはそれらのオブジェクトを格納するためのオブジェクト。OUはコンテナーの1種。
誤解を招きがちだが、Docker等の「コンテナ」技術とは全くの別体系のもので、あくまでAD用語。伸ばし棒をつけることが大事。
