Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

Active Directoryとは?

ADとは何か、またその仕組みを説明します

Dive into Active Directory 02:25

Active Directory(AD)は、業務完遂に必要なネットワークリソースにユーザを接続するデータベースと一連のサービスです。

データベース(またはディレクトリ)には、どんなユーザやコンピューターが存在するか、誰がどんな操作を許可されているかなど、環境に関する非常に重要な情報が含まれています。 たとえば、データベースには、各ユーザの役職、電話番号、およびパスワードなどの詳細を含む100件のユーザアカウントが一覧表示される場合があります。 また、各ユーザの権限も記録されています。

サービスは、IT環境内で行われる多くのアクティビティを制御します。 特に、通常は入力されたユーザIDとパスワードにより、各ユーザが申告通りの人物か確認(認証)し、ユーザが使用を認められたデータのみにアクセスを許可(承認)します。

Active Directoryのメリット、その仕組み、Active Directoryデータベースの内容の詳細をご覧ください。

Active Directoryのメリット

Active Directoryは、管理者とエンドユーザの活動をシンプル化しつつ、組織のセキュリティを強化します。 管理者は、ADグループポリシー機能により、ユーザと権限の一元管理や、コンピューターおよびユーザ設定の集中制御を活用できます。 ユーザは一度認証されると、承認を受けたドメイン内のすべてのリソースにシームレスにアクセスできます(シングルサインオン)。 さらに、ファイルは中央リポジトリに保存されるため、他のユーザと共有でき、コラボレーションも容易になります。また、ITチームが適切にバックアップを行うことで、ビジネスの継続性を確保できます。

Active Directoryの仕組み

Active Directoryの仕組み

Active Directoryの中心となるサービスは、Active Directory Domain Services(AD DS)です。これはWindows Serverオペレーティングシステムの一部となっています。 AD DSを実行するサーバは、ドメインコントローラー(DC)と呼ばれます。 一般的に、組織には複数のDCがあり、それぞれにドメイン全体のディレクトリのコピーが存在します。 1つのドメインコントローラーで、パスワード更新やユーザアカウントの削除など、ディレクトリに変更が加えられると、変更内容がその他のDCに複製され、最新の状態が維持されます。 グローバル・カタログ・サーバは、ドメインのディレクトリ内にある全オブジェクトの完全なコピーと、フォレスト内のその他すべてのドメインにある全オブジェクトの部分的なコピーを保存するDCです。これを使用することで、ユーザやアプリケーションは、フォレスト内のあらゆるドメインのオブジェクトを見つけることができます。 Windows(Windows Server以外)を実行中のデスクトップ、ノートパソコン、およびその他のデバイスは、Active Directory環境の一部に入ることができますが、AD DSは実行しません。 AD DSは、LDAP(Lightweight Directory Access Protocol)、KerberosおよびDNS(Domain Name System)など、確立されたプロトコルと標準に依拠しています。

Active Directoryは、オンプレミスのMicrosoft環境専用であることにご注意ください。 クラウドのMicrosoft環境では、Azure Active Directoryを使用します。これはオンプレミス版と同じ目的で動作します。 ADおよびAzure ADは別個のものですが、組織にオンプレミスとクラウド両方のIT環境(ハイブリッド展開)が存在する場合、ある程度は連携して動作することができます。

Active Directoryの構造について

Active Directoryの構造について

ADには、ドメイン、ツリー、およびフォレストという3つのメイン階層があります。 ドメインとは、関係するユーザ、コンピューター、およびその他のADオブジェクト(企業の本社の全ADオブジェクトなど)のグループです。 複数のドメインをまとめたものがツリー、複数のツリーをグループにしたものがフォレストです。

ドメインは、管理境界であることにご注意ください。 あるドメインのオブジェクトは、単一のデータベースに保存され、まとめて管理することができます。 フォレストはセキュリティ境界です。 異なるフォレストのオブジェクトは、各フォレストの管理者がそれらの間に信頼を構築しない限り、相互にやり取りすることができません。 たとえば、連携していないビジネスユニットが複数ある場合、複数のフォレストを作成するとよいでしょう。

Active Directoryデータベースの内容

Active Directoryデータベースの内容

Active Directoryデータベース(ディレクトリ)には、ドメイン内のADオブジェクトに関する情報が含まれています。 一般的なタイプのADオブジェクトには、ユーザ、コンピューター、アプリケーション、プリンター、および共有フォルダが含まれます。 その他のオブジェクトを含むオブジェクトもあります(そのため、ADは「階層的」と表現されることがあります)。 特に組織では、ADオブジェクトを組織ユニット(OU)に編成して管理をシンプル化し、ユーザをグループにしてセキュリティを効率化することがよくあります。 このようなOUやグループは、それ自体がディレクトリに保存されたオブジェクトです。

オブジェクトは属性を持ちます。 一部の属性は明示されていますが、明確にはわからない属性もあります。 たとえばユーザオブジェクトは、一般的にユーザの氏名、パスワード、部署、およびEメールアドレスなどの属性を持ちますが、固有のGlobally Unique Identifier(GUID)、セキュリティ識別子(SID)、最終ログオン時刻、およびグループメンバーシップなど、ほとんど目にすることのない属性も存在します。

データベースは構造化されています。つまり、保存するデータのタイプや、そのデータを整理する方法を決める設計があります。 この設計はスキーマと呼ばれます。 Active Directoryも例外ではありません。そのスキーマには、Active Directoryフォレスト内に作成できるすべてのオブジェクトクラスと、Active Directoryオブジェクト内に存在できるすべての属性の公的な定義が含まれています。 ADにはデフォルトのスキーマが設定されていますが、管理者はビジネスの必要に応じて変更することができます。 重要なのは、スキーマは事前に慎重に計画するのが最善だということです。認証および承認においてADが中心的な役割を果たすため、後からADデータベースのスキーマを変更すると、業務に大きな混乱を招く可能性があります。

AD環境のサポートを受けるには

AD環境のサポートを受けるには

Questは、Active Directoryソリューションの熟練のベンダーです。 AD環境における管理、セキュリティ保護、移行、およびレポート作成により、ビジネスを推進するお手伝いをします。 詳細はこちらをご覧ください。

リソース

Colonial Pipeline Ransomware and MITRE ATT&CK Tactic TA0040
ウェブキャストオンデマンド
Colonial Pipeline Ransomware and MITRE ATT&CK Tactic TA0040
Colonial Pipeline Ransomware and MITRE ATT&CK Tactic TA0040
Ransomware attacks are exploiting Active Directory. This security-expert-led webcast explores a 3-prong defense against them.
ウェブキャストを見る
M&A IT Integration Checklist: Active Directory
テクニカル・ブリーフ
M&A IT Integration Checklist: Active Directory
M&A IT Integration Checklist: Active Directory
If your organization is involved in a merger and acquisition, the impending IT integration project might seem overwhelming. But it needn’t be. In fact, the project can be the perfect opportunity to clean up, consolidate and modernize your Microsoft IT infrastructure to meet the business requir
テクニカル・ブリーフを読む
ACTIVE DIRECTORY セキュリティの 9つの ベストプラクティス
電子書籍
ACTIVE DIRECTORY セキュリティの 9つの ベストプラクティス
ACTIVE DIRECTORY セキュリティの 9つの ベストプラクティス
最近の多くの大規模なデータ漏洩事件を少し掘り下げてみると、1つの共通する脅威が明らかになります。堅牢な外部セキュリティにもかかわらず、攻撃が成功したのは、多くの場合、内部セキュリティの不備が原因なのです。従業員が自身のアクセス許可を使用して意図的にデータを盗んだり、誤って危険にさらしたりする場合があります。また、外部攻撃者は盗んだ資格情報や脆弱なパスワードを利用して、一瞬にして内部攻撃者に変わります。Microsoft Active Directory(AD)はこのような攻撃者の一番の標的です。すべてのユーザの認証と承認において重要だからです。増大する実在の内部関係者による脅威から組織を守るた
電子書籍を読む
Five Ways to Secure Your Group Policy
電子書籍
Five Ways to Secure Your Group Policy
Five Ways to Secure Your Group Policy
Discover how to dramatically improve security by ensuring proper GPO governance.
電子書籍を読む
ハイブリッドACTIVE DIRECTORYグループ管理のための4つのベストプラクティス
電子書籍
ハイブリッドACTIVE DIRECTORYグループ管理のための4つのベストプラクティス
ハイブリッドACTIVE DIRECTORYグループ管理のための4つのベストプラクティス
何をするのか、なぜするのかは説明しても、実際の作業方法については教えてくれないベストプラクティスガイドにうんざりしてしまいましたか? このe-bookは違います。ここでは、あらゆるオンプレミスまたはハイブリッドのMicrosoftショップに向けた、最も基本的なセキュリティのベストプラクティス4つを紹介し、お客様がお使いのような、現代の複雑なITエコシステムに実装するために最適なツールとテクニックをそれぞれ説明しています。 今すぐダウンロードして、以下の方法を確認しましょう。情報セキュリティポリシーに最小権限の原則を組み込む。 Active Directoryグループメンバーシップを通じて権
電子書籍を読む
TEC TALK - Office 365 & Azure Active Directory Security | Quest
TEC TALK - Office 365 & Azure Active Directory Security | Quest

01:03:26

ビデオ
TEC TALK - Office 365 & Azure Active Directory Security | Quest

Learn how to prioritize Office 365 & Azure AD security for your remote workforce in this TEC Talk presented by Microsoft Certified Master, Sean Metcalf.

ビデオを観る
5 Quick Tips for an Efficient Active Directory Administration
ウェブキャストオンデマンド
5 Quick Tips for an Efficient Active Directory Administration
5 Quick Tips for an Efficient Active Directory Administration
Microsoft’s Active Directory is critically important to the health of your network and must be properly maintained. Without the proper tools, however, maintaining your Active Directory efficiently will be overwhelming and difficult.Luckily, Active Administrator from Quest can help make you fas
ウェブキャストを見る
On-Demand Webcast: Best Practices to Avoid Common Active Directory Migration Mistakes
ウェブキャストオンデマンド
On-Demand Webcast: Best Practices to Avoid Common Active Directory Migration Mistakes
On-Demand Webcast: Best Practices to Avoid Common Active Directory Migration Mistakes
Mergers, acquisitions, and divestitures are common business activities that can have a huge impact on your Microsoft 365 tenant. These events come with complicated legal maneuvers and rigid timelines.
ウェブキャストを見る

ブログ

Azure AD Conditional Access: What is it? Do We Need it?

Azure AD Conditional Access: What is it? Do We Need it?

Learn what Azure AD Conditional Access is, who needs to use it and how to set it up.

Zero Trust: What It Is, Why You Need It, and How to Get Started

Zero Trust: What It Is, Why You Need It, and How to Get Started

Everyone’s talking about Zero Trust security. Learn what it is, the benefits and downsides, and steps your organization can take to get started.

10 Microsoft Service Account Best Practices

10 Microsoft Service Account Best Practices

Microsoft service accounts are a critical part of your Windows ecosystem. Learn what they are and 10 best practices for managing them efficiently.

How Hackers Exploit Group Policy Objects (GPOs) to Attack Your Active Directory

How Hackers Exploit Group Policy Objects (GPOs) to Attack Your Active Directory

Group Policy objects (GPOs) are prime targets for hackers. Learn how and why they target this critical feature of your Active Directory environment.

Azure AD Connect: How it Works and Best Practices for Synchronizing Your Data

Azure AD Connect: How it Works and Best Practices for Synchronizing Your Data

Learn how Azure AD Connect works, what data it syncs and best practices to apply when using it in your Active Directory environments.

What is KRBTGT and Why Should You Change the Password?

What is KRBTGT and Why Should You Change the Password?

Learn what KRBTGT is, when to update it and get answers to the toughest questions about how to minimize your organization’s authentication vulnerabilities.

今すぐ開始する

IT環境の中核となるADを確実に管理しましょう。