Active Directory ドメイン サービス (AD DS) は、Microsoft の Active Directory の中核機能に他ならず、これを通じて、ユーザーは集中的で、よく統合され、拡張可能な Windows ネットワークを構築することが可能です。 この論理構造は、AD フォレスト、そのドメイン、およびそれぞれの組織単位 (OU) で構成されます。

管理者は、ネットワークのユーザーとコンピューターを効率的に処理し、それらを分散データベースに整理することができます。 さらに、AD DSは、ディレクトリ リソースへのアクセスの制限、SSO、LDAP、ログインの承認、セキュリティ証明書、権限管理などのセキュリティ統合も備えています。

AD DSをより理解するために、まずIAM(アイデンティティとアクセスの管理)を徹底的に調べましょう。

IAM とは?

LDAP プロトコルの登場により、IAM 業界は一転して、OpenLDAP と Microsoft Active Directory ソリューションという 2 大企業とその他の中小企業のために使われるようになりました。

アイデンティティ・プロバイダーは何をするのか

アイデンティティ・プロバイダーは、組織のユーザーとデータのための十分に統合された中央ストアを作成するという仕事をします。 リソースは、それらを使用するユーザー ID と相互に関連しています。

それだけでなく、ネットワーク、アプリケーション、システムなどのリソースも、その役割に基づいて特定のユーザーに対して制限されます。

Active Directoryとは

Active Directoryは、Windows Server空間で使用されるMicrosoftの技術です。 データベース情報を共有して、デバイスやネットワークリソースを保護、管理し、簡単に場所を特定できる論理的な階層構造です。

本格的な認可と認証のコア機能を提供するだけでなく、その他の多数のサービスのフレームワークも提供します。 ADはWindows Server OSを利用し、それ自体がネットワーク化された要素を含むLDAPデータベースです。

大規模で複雑な環境にディレクトリサービスを提供するために、Active DirectoryはWindows 2000で容易に導入されました。

ADの最初で最大の役割はドメインネットワークでユーザーの認証にあります。 AD は、コンピュータ、グループ、ファイル共有、ファイル権限、プリンタ、およびグループ ポリシーなどのオブジェクトを保存します。

さらに、すべてのユーザーのアカウントとそれぞれのパスワードが 1 つの場所に保存されるので、セキュリティ要素も一元化されます。 これらの機能はすべて、ユーザーがドメイン環境でどのように相互作用するかを決定します。

要するに、AD DS はドメイン管理のための十分に統合された集中型フレームワークです。 各ドメインは Active Directory フォレストの要素になりますが、論理単位に体系化された複数のドメインを持つこともできます。

AD なしでは、管理者はすべてのコンピュータでローカル ユーザーを作成し、PC で各自のパスワードをリセットしなければならないでしょう。

Active Directory オブジェクトの種類:

Active Directory オブジェクトは 2 つのタイプに区別されます:

  • Container Objects
    これらは、ドメイン、森林、木、組織単位などの他のオブジェクトで構成されている主要なオブジェクトです。
  • リーフオブジェクト
    これらのオブジェクトは、例えば、コンピュータ、プリンタ、周辺機器、ユーザーなど、その内部に他のオブジェクトを構成していません。 これにより、システム管理者とユーザーは、ディレクトリ情報がどのドメインに含まれているかに関係なく、簡単に見つけることができます。 たとえば、ユーザー名、連絡先などです。
  • スキーマ
    名前の形式やオブジェクトのインスタンスの制限とともに、ディレクトリに格納されるオブジェクトのクラスとそのプロパティを定義する一連のルールです。
  • クエリとインデックスメカニズムにより、ネットワークユーザーはAD内のオブジェクトとその属性を容易に公開または検索できます。 このレプリケーションはドメイン内のドメインコントローラーによって実行され、それぞれが自分のドメインのディレクトリデータのコピーを持っている。 ディレクトリ情報に加えられたすべての変更は、ドメイン内のドメインコントローラーに自動的に複製されるため、それらは同じカタログとスキーマを持つことになる。 ADは、フォールトトレランス、負荷分散、その他の重要な理由から、複数のドメインコントローラーを使用する。 このため、ドメイン内のすべてのドメインコントローラーは、そのADデータベースのコピーを持っている必要がある。 ここでレプリケーションサービスが登場する。 異なるドメインからのドメインコントローラーは、互いにレプリケートしてはならないことを知っておいてほしい。 これは、Windowsのネットワークトポロジーの表現です。
  • Lightweight Directory Access Protocol (LDAP)。 LDAP は、AD がネットワーク内の他の LDAP ベースのディレクトリ サービスと通信するためのプロトコルです。

Active Directory Domain Services にはどのようなサービスが含まれていますか。

  • ドメイン サービス:
    これらは、データの集中管理を行い、ログイン認証、検索機能、ドメイン内のユーザー間でシームレスに通信するためのコア サービスです。
  • Lightweight Directory Services:
    これらのサービスは、LDAP プロトコルの助けを借りて、ディレクトリ対応のアプリケーションをサポートします。
  • Rights Management:
    この機能は、ユーザーの個人情報へのアクセスの制限や機密データの暗号化などの情報権限に関するものです。
  • Directory Federation Services:
    DFS では、ユーザーに SSO (Single-Sign-On) 機能を提供して、安全に認証できるようにします。 この機能は、1つのセッションで複数のWebアプリケーションと通信する場合に最も役立ちます。
  • 証明書サービス:
    この機能により、セキュリティ証明書を作成、共有、管理することができます。 これらの証明書は、ネットワーク上で送信されるデータを暗号化することにより、セキュリティとプライバシーを保証します。

Active Directory ドメインサービスにおけるドメインコントローラーの役割:

基本的に、ドメインコントローラー (DC) は、Windows ネットワーク内のサーバーであり、ドメインリソースへのユーザーアクセスを提供するものにほかなりません。

  • NetLogon:
    その目的は、ドメインネットワーク内のユーザーのログイン資格を認証することです。
  • KDS:
    Kerberos Key Distribution Center は、発行、認証、および Kerberos チケットの暗号化を実行するためのサービスです。 Kerberosプロトコルを使用する際に、ユーザーを認証します。 このサービスは、TCS (Ticket Granting Server) と Authenticating Server を備えています。
  • IsmServ (Intersite Messaging):
    このサービスは、Windows ネットワーク環境における PC 間のデータ交換を支援します。
  • W32time service:
    Windows time または W32time サービスはネットワークドメイン内のすべての PC の日付および時刻を同期するために NTP (Network Time Protocol) を利用します。

Active Directory ドメインサービスのインストール

Windows Server に Active Directory ドメインサービスをインストールする方法について簡単に説明します:

  • Server Manager を開く。 キーボードの「Windows」アイコンを押し、検索ボックスに「Server Manager」と入力します。 アプリケーションが起動します。
  • 役割と機能を追加する。 サーバーマネージャのウィンドウで、「管理」を右クリックし、「役割と機能の追加」オプションを選択します。 ウィザードが開いたら、「次へ」をクリックします。
  • インストールの種類を選択します。 Next」をクリックすると、「Installation Type」ウィンドウが表示されますので、「Role-based or feature-based installation」オプションを選択します。
  • サーバーの選択: ここでは、AD DSをインストールするサーバーをクリックし、”Next “をクリックします。 このウィンドウには、多くの “役割 “オプションが表示されます。 Active Directory Domain Services “にチェックを入れ、”Add Features “をクリックします。 直後に、「役割と機能の追加」ウィザードが表示されます。 機能の追加」ボタンをクリックし、「次へ」ボタンをクリックします。 すぐに「機能の選択」セクションが表示されます。 Next」をクリックします。
  • AD DSのインストール:AD DSのインストールのメインウィンドウが開きますので、「Next」をクリックします。
  • 確認ウィンドウが表示されます。 確認ウィンドウには、サーバーにインストールされるすべての内容が表示されます。
  • ドメインコントローラーにプロモートします。 インストール後、「サーバーマネージャー」を開くと、「管理」タブの右側に黄色い三角形の通知アイコンが表示されます。 それをクリックし、「このサーバーをドメインコントローラーに昇格する」を選択します。
  • 新しいフォレストを追加します。 AD DS設定ウィザードが表示されます。 新しいフォレストの追加」をクリックし、企業のルートドメイン名を入力し、「次へ」をクリックします。 次のページで、すべてのデフォルトボックスをチェックしたまま、DSRMパスワードを入力します。 Next」をクリックします。
  • DNS Options: DNSオプション]ページで、上部にエラーメッセージが表示される場合があります。 それを無視して「Next」をクリックします。
  • NetBIOSドメイン名:ここでドメイン名を変更するか、デフォルトの名前のままにしておきます。 Next」をクリックします。
  • Paths:
  • Review Selections:パスをデフォルトのままにして、”Next “ボタンをクリックします。 このページでは、これまでに選択したすべてのオプションを確認し、「Next」をクリックします。
  • Prerequisites Check: このウィンドウでは、AD DSをインストールする前にすべての前提条件が検証されます。 エラーが表示された場合は、前の手順を見て修正します。 インストール」をクリックします。
    完了すると、サーバーが再起動し、手順 12 で設定した DSRM パスワード入力でドメインにログインできるようになります。

Wrap Up:

Active Directory Domain Services は、Windows サーバーを強化して企業で目立たせるために使用する最高の用語の一つです。

Microsoft ソリューションの大部分にスムーズに適応して、ユーザーが簡単に作業できるようにします。 AD DSをインストールすると、Active Directory Administrative Centerを通じて簡単に管理できるようになります。 このガイドがあなたにとって洞察に満ちたものであることを願っています!