Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

Active Directoryとは?

ADとは何か、またその仕組みを説明します

Dive into Active Directory 02:25

Active Directory(AD)は、業務完遂に必要なネットワークリソースにユーザを接続するデータベースと一連のサービスです。

データベース(またはディレクトリ)には、どんなユーザやコンピューターが存在するか、誰がどんな操作を許可されているかなど、環境に関する非常に重要な情報が含まれています。 たとえば、データベースには、各ユーザの役職、電話番号、およびパスワードなどの詳細を含む100件のユーザアカウントが一覧表示される場合があります。 また、各ユーザの権限も記録されています。

サービスは、IT環境内で行われる多くのアクティビティを制御します。 特に、通常は入力されたユーザIDとパスワードにより、各ユーザが申告通りの人物か確認(認証)し、ユーザが使用を認められたデータのみにアクセスを許可(承認)します。

Active Directoryのメリット、その仕組み、Active Directoryデータベースの内容の詳細をご覧ください。

Active Directoryのメリット

Active Directoryは、管理者とエンドユーザの活動をシンプル化しつつ、組織のセキュリティを強化します。 管理者は、ADグループポリシー機能により、ユーザと権限の一元管理や、コンピューターおよびユーザ設定の集中制御を活用できます。 ユーザは一度認証されると、承認を受けたドメイン内のすべてのリソースにシームレスにアクセスできます(シングルサインオン)。 さらに、ファイルは中央リポジトリに保存されるため、他のユーザと共有でき、コラボレーションも容易になります。また、ITチームが適切にバックアップを行うことで、ビジネスの継続性を確保できます。

Active Directoryの仕組み

Active Directoryの仕組み

Active Directoryの中心となるサービスは、Active Directory Domain Services(AD DS)です。これはWindows Serverオペレーティングシステムの一部となっています。 AD DSを実行するサーバは、ドメインコントローラー(DC)と呼ばれます。 一般的に、組織には複数のDCがあり、それぞれにドメイン全体のディレクトリのコピーが存在します。 1つのドメインコントローラーで、パスワード更新やユーザアカウントの削除など、ディレクトリに変更が加えられると、変更内容がその他のDCに複製され、最新の状態が維持されます。 グローバル・カタログ・サーバは、ドメインのディレクトリ内にある全オブジェクトの完全なコピーと、フォレスト内のその他すべてのドメインにある全オブジェクトの部分的なコピーを保存するDCです。これを使用することで、ユーザやアプリケーションは、フォレスト内のあらゆるドメインのオブジェクトを見つけることができます。 Windows(Windows Server以外)を実行中のデスクトップ、ノートパソコン、およびその他のデバイスは、Active Directory環境の一部に入ることができますが、AD DSは実行しません。 AD DSは、LDAP(Lightweight Directory Access Protocol)、KerberosおよびDNS(Domain Name System)など、確立されたプロトコルと標準に依拠しています。

Active Directoryは、オンプレミスのMicrosoft環境専用であることにご注意ください。 クラウドのMicrosoft環境では、Azure Active Directoryを使用します。これはオンプレミス版と同じ目的で動作します。 ADおよびAzure ADは別個のものですが、組織にオンプレミスとクラウド両方のIT環境(ハイブリッド展開)が存在する場合、ある程度は連携して動作することができます。

Active Directoryの構造について

Active Directoryの構造について

ADには、ドメイン、ツリー、およびフォレストという3つのメイン階層があります。 ドメインとは、関係するユーザ、コンピューター、およびその他のADオブジェクト(企業の本社の全ADオブジェクトなど)のグループです。 複数のドメインをまとめたものがツリー、複数のツリーをグループにしたものがフォレストです。

ドメインは、管理境界であることにご注意ください。 あるドメインのオブジェクトは、単一のデータベースに保存され、まとめて管理することができます。 フォレストはセキュリティ境界です。 異なるフォレストのオブジェクトは、各フォレストの管理者がそれらの間に信頼を構築しない限り、相互にやり取りすることができません。 たとえば、連携していないビジネスユニットが複数ある場合、複数のフォレストを作成するとよいでしょう。

Active Directoryデータベースの内容

Active Directoryデータベースの内容

Active Directoryデータベース(ディレクトリ)には、ドメイン内のADオブジェクトに関する情報が含まれています。 一般的なタイプのADオブジェクトには、ユーザ、コンピューター、アプリケーション、プリンター、および共有フォルダが含まれます。 その他のオブジェクトを含むオブジェクトもあります(そのため、ADは「階層的」と表現されることがあります)。 特に組織では、ADオブジェクトを組織ユニット(OU)に編成して管理をシンプル化し、ユーザをグループにしてセキュリティを効率化することがよくあります。 このようなOUやグループは、それ自体がディレクトリに保存されたオブジェクトです。

オブジェクトは属性を持ちます。 一部の属性は明示されていますが、明確にはわからない属性もあります。 たとえばユーザオブジェクトは、一般的にユーザの氏名、パスワード、部署、およびEメールアドレスなどの属性を持ちますが、固有のGlobally Unique Identifier(GUID)、セキュリティ識別子(SID)、最終ログオン時刻、およびグループメンバーシップなど、ほとんど目にすることのない属性も存在します。

データベースは構造化されています。つまり、保存するデータのタイプや、そのデータを整理する方法を決める設計があります。 この設計はスキーマと呼ばれます。 Active Directoryも例外ではありません。そのスキーマには、Active Directoryフォレスト内に作成できるすべてのオブジェクトクラスと、Active Directoryオブジェクト内に存在できるすべての属性の公的な定義が含まれています。 ADにはデフォルトのスキーマが設定されていますが、管理者はビジネスの必要に応じて変更することができます。 重要なのは、スキーマは事前に慎重に計画するのが最善だということです。認証および承認においてADが中心的な役割を果たすため、後からADデータベースのスキーマを変更すると、業務に大きな混乱を招く可能性があります。

AD環境のサポートを受けるには

AD環境のサポートを受けるには

Questは、Active Directoryソリューションの熟練のベンダーです。 AD環境における管理、セキュリティ保護、移行、およびレポート作成により、ビジネスを推進するお手伝いをします。 詳細はこちらをご覧ください。

リソース

On-Demand Webcast: This is no April Fools' joke: What if your AD is wiped out completely?
ウェブキャストオンデマンド
On-Demand Webcast: This is no April Fools' joke: What if your AD is wiped out completely?
On-Demand Webcast: This is no April Fools' joke: What if your AD is wiped out completely?
Active Directory turns 20 this year. It started as a tool for centralized domain management but has become so much more. Today, many tools and applications use AD for authentication. Add Active Directory Federation Services (ADFS) to the mix and AD is now an essential part of your network. For this
ウェブキャストを見る
M&A IT Integration Checklist: Active Directory
テクニカル・ブリーフ
M&A IT Integration Checklist: Active Directory
M&A IT Integration Checklist: Active Directory
If your organization is involved in a merger and acquisition, the impending IT integration project might seem overwhelming. But it needn’t be. In fact, the project can be the perfect opportunity to clean up, consolidate and modernize your Microsoft IT infrastructure to meet the business requir
テクニカル・ブリーフを読む
ハイブリッドACTIVE DIRECTORYグループ管理のための4つのベストプラクティス
電子書籍
ハイブリッドACTIVE DIRECTORYグループ管理のための4つのベストプラクティス
ハイブリッドACTIVE DIRECTORYグループ管理のための4つのベストプラクティス
何をするのか、なぜするのかは説明しても、実際の作業方法については教えてくれないベストプラクティスガイドにうんざりしてしまいましたか? このe-bookは違います。ここでは、あらゆるオンプレミスまたはハイブリッドのMicrosoftショップに向けた、最も基本的なセキュリティのベストプラクティス4つを紹介し、お客様がお使いのような、現代の複雑なITエコシステムに実装するために最適なツールとテクニックをそれぞれ説明しています。 今すぐダウンロードして、以下の方法を確認しましょう。情報セキュリティポリシーに最小権限の原則を組み込む。 Active Directoryグループメンバーシップを通じて権
電子書籍を読む
TEC TALK - Office 365 & Azure Active Directory Security | Quest
TEC TALK - Office 365 & Azure Active Directory Security | Quest

01:03:26

ビデオ
TEC TALK - Office 365 & Azure Active Directory Security | Quest

Learn how to prioritize Office 365 & Azure AD security for your remote workforce in this TEC Talk presented by Microsoft Certified Master, Sean Metcalf.

ビデオを観る
Managing the economic and operational costs of Active Directory
電子書籍
Managing the economic and operational costs of Active Directory
Managing the economic and operational costs of Active Directory
Explore what it takes to be both economically and operationally efficient in Active Directory management, plus, learn how to avoid common headaches.
電子書籍を読む
5 Quick Tips for an Efficient Active Directory Administration
ウェブキャストオンデマンド
5 Quick Tips for an Efficient Active Directory Administration
5 Quick Tips for an Efficient Active Directory Administration
Microsoft’s Active Directory is critically important to the health of your network and must be properly maintained. Without the proper tools, however, maintaining your Active Directory efficiently will be overwhelming and difficult.Luckily, Active Administrator from Quest can help make you fas
ウェブキャストを見る
ACTIVE DIRECTORY セキュリティの 9つの ベストプラクティス
電子書籍
ACTIVE DIRECTORY セキュリティの 9つの ベストプラクティス
ACTIVE DIRECTORY セキュリティの 9つの ベストプラクティス
最近の多くの大規模なデータ漏洩事件を少し掘り下げてみると、1つの共通する脅威が明らかになります。堅牢な外部セキュリティにもかかわらず、攻撃が成功したのは、多くの場合、内部セキュリティの不備が原因なのです。従業員が自身のアクセス許可を使用して意図的にデータを盗んだり、誤って危険にさらしたりする場合があります。また、外部攻撃者は盗んだ資格情報や脆弱なパスワードを利用して、一瞬にして内部攻撃者に変わります。Microsoft Active Directory(AD)はこのような攻撃者の一番の標的です。すべてのユーザの認証と承認において重要だからです。増大する実在の内部関係者による脅威から組織を守るた
電子書籍を読む
Four Best Practices for Hybrid Active Directory Group Management
電子書籍
Four Best Practices for Hybrid Active Directory Group Management
Four Best Practices for Hybrid Active Directory Group Management
Tired of best practices guides that explain what to do and why to do it, but not how to actually get it done? This e-book is different. It lays out four of the most fundamental security best practices for any on-prem or hybrid Microsoft shop — and explains the top tools and techniques for impl
電子書籍を読む

ブログ

10 Microsoft Service Account Best Practices

10 Microsoft Service Account Best Practices

Microsoft service accounts are a critical part of your Windows ecosystem. Learn what they are and 10 best practices for managing them efficiently.

How Hackers Exploit Group Policy Objects (GPOs) to Attack Your Active Directory

How Hackers Exploit Group Policy Objects (GPOs) to Attack Your Active Directory

Group Policy objects (GPOs) are prime targets for hackers. Learn how and why they target this critical feature of your Active Directory environment.

Azure AD Connect: How it Works and Best Practices for Synchronizing Your Data

Azure AD Connect: How it Works and Best Practices for Synchronizing Your Data

Learn how Azure AD Connect works, what data it syncs and best practices to apply when using it in your Active Directory environments.

What is KRBTGT and Why Should You Change the Password?

What is KRBTGT and Why Should You Change the Password?

Learn what KRBTGT is, when to update it and get answers to the toughest questions about how to minimize your organization’s authentication vulnerabilities.

Quest Active Directory Security Assessments Reveal Top 4 Issues: #1 Service Accounts (Part 1 of 3)

Quest Active Directory Security Assessments Reveal Top 4 Issues: #1 Service Accounts (Part 1 of 3)

In Part 1 of our Quest Security Assessment series, we focus on the top vulnerabilities we have discovered in Active Directory: Service Accounts.

The Many Colors of AD Security – Microsoft Red Forest, Orange Forest, Greenfield or Blue?

The Many Colors of AD Security – Microsoft Red Forest, Orange Forest, Greenfield or Blue?

Discover the different models of Active Directory (AD) security, including the Red Forest and Orange Forest models, Greenfield migrations and Blue Team.

今すぐ開始する

IT環境の中核となるADを確実に管理しましょう。