Active Directory(アクティブディレクトリ)とは、Windows Serverに備わっている機能で、。システム管理者が利用者の情報や権限を一元管理できるシステムのことです。企業の情報資産を正しく管理する上では必須のシステムとなってきています。
この記事では、ADの仕組み、メリットデメリットについて、IT初心者の方にもわかりやすく解説します。
Active Directory(アクティブディレクトリ)とは?
Active Directory(アクティブディレクトリ)とは、直訳すると「アクティブ(なIT資産)の住所録・一覧表」です。マイクロソフト社が提供しているWindows Serverに備わっている機能で、。システム管理者が利用者の情報や権限を一元管理できるシステムのことを指します。よく「AD」と略されますが、ITになじみのない人だと「AD=Active Directory」とはなかなかならないですよね。また、ディレクトリはあくまで一覧表なので、AD自体がIT資産であるわけではありません。
企業や組織にはたくさんの資産(人・モノ)があり、企業やそれらを常に一覧で把握・管理しておく必要があります。大量かつ様々なリソースを階層的に管理するのがADで、企業のIT資産管理に必要不可欠と言えます。
AzureADとの違いは?
Azure ADとはActive Directoryの一種で、Azureのクラウド上に存在するADのことです。
従来のADはオンプレミス型と呼ばれる物理サーバーで、初期コストも管理コストも高額でした。時代のクラウド移行に伴い、ADもクラウド上でサービスとして提供される形態が生まれました。
ADとAzureADの違いは簡単に言うと物理かクラウドかですが、具体的には「接続経路」と「プロトコル」が違います。
まず「接続経路」は、従来のADは社内のデータセンターなどに置くので、経路は基本社内に閉じた閉域接続なのに対して、AzureADはAzure上のクラウドに接続しに行くため、基本インターネット接続になります。
次に「プロトコル」についてですが、従来のADは認証時に「Kerberos認証」を用いるのに対し、AzureADは「SAML認証」というプロトコルを用います。SAML認証はMicrosoft以外にも色々なクラウドサービスの認証にも用いられているので汎用性がありシングルサインオンができるというメリットがあります。
ADの構成要素とは?
では、実際に日々ADはどんな役割を果たしているのでしょうか。情報管理というと管理者にしか関係ないように思えるかもしれませんが、ユーザー側も毎日ログイン時にADに認証しに行っている身近なものです。
①ドメイン
ADでは、「ドメイン」と呼ばれるグループに分けて権限を管理します。ドメイン自体はDNSと同じ仕組みで、「.」(ドット)で区切られた階層構造でグループを分けます。
②ドメインコントローラ
部署やプロジェクトごとにドメインを作ったら、そのドメインを管理する「ドメインコントローラ」が必要です。一つのドメインあたりに一つドメインコントローラが割り当てられ、ドメイン内のアカウント、権限を一元的に管理します。
③ドメインツリー
組織、会社の規模が大きいと、例えば「営業部」という親ドメイン、その中に「金融営業グループ」という子ドメイン、といった風に階層的にドメインを作って管理することが多いです。同一の上位ドメインに属する集合体のことを「ドメインツリー」と言います。先ほどの例で言えば「営業部」という上位ドメイン同士は「ドメインツリー」に属しており、そのドメイン間である程度同一のセキュリティポリシを持つため、新たにアカウントを作ることなく違うドメインにアクセスするといったことが可能です。
そのように複数のドメインツリーで階層的に構成されている連合体を「フォレスト」と呼びます。
ADのメリットとは?
①ユーザーの一元管理
一つ目が、ユーザーの一元管理ができることです。ユーザーがWindowsにログインしに行く際、ADの画面でID・パスワードを入力します。すると、ADサーバーがそのID・パスワードを一覧表と照らし合わせ、ログインさせていいユーザーなのかを判断し、OKであれば接続、NGであれば接続を拒否します。
社内の部署やプロジェクトごとにドメインを分けて管理しているので、認証の際にそのドメイン情報をもとに各サーバー・フォルダへのアクセスを制御することができます。部署異動や退職時もAD上で権限を操作すればすぐに変更できるので、IT管理者の負担をかなり軽減することができます。
②セキュリティレベルの向上
二つ目が、セキュリテイィレベルの向上です。上述の通り、誰がどこの情報にアクセスするかを管理できるので、社内システムへの外部からの侵入を防ぐことができ、セキュリティレベルの向上につながります。仮にベンダーへの業務委託などで外部のPCから接続させる際も、ADを操作することでアクセスしていい情報を細かく権限を制御できるのもメリットです。
ADのデメリットとは?
①ADが落ちると業務が全くできなくなる
一つ目が、ADサーバーが落ちると業務が全くできなくなってしまうことです。ユーザーが業務開始する際まずはADに認証しに行くので、万が一ADが落ちてしまった場合はトップ画面にすら辿り着けなくなってしまい、何も業務ができなくなってしまいます。そのため、ADは基本2台構成に冗長化して片方が落ちてもバックアップに切り替わるような構成にされています。
②初期設定に時間がかかる
二つ目が、初期設定に時間がかかることです。一度設定すればあとは変更点の変更だけなので楽なのですが、最初は各ドメインごとに細かく権限を設定する必要があり、結構な手間が発生します。
③AD運用の知識を持った担当者が必須
三つ目が、AD運用の知識を持った担当者が必須だということです。一元管理できるのはとても便利ですが、逆にその設定を誤れば外部からの侵入を許したり、本来権限を与えられているべきユーザーが接続拒否され、業務ができなくなるといったリスクもあります。そのため、ADを導入するにあたっては、運用知識のある担当者をアサインすることが必須になります。
おわりに
いかがだったでしょうか。ADは社内の情報資産を正しく管理する上でもはや企業に必須のシステムとなっています。何気なく日々ログインしているだけだとADを意識することはあまりありませんが、裏の仕組みをしっかり理解しておきましょう。
コメント