アクティブディレクトリ

Active DirectoryAD)は、MicrosoftWindowsドメインネットワーク向けに開発したディレクトリサービスです。Windows Serverオペレーティングシステムには、プロセスサービスの集合としてADが含まれています。[ 1 ] [ 2 ]当初、Active Directoryは集中型ドメイン管理にのみ使用されていました。しかし、最終的には、様々なディレクトリベースのアイデンティティ関連サービスの総称となりました。[ 3 ]

ドメインコントローラは、Active DirectoryドメインサービスAD DS )の役割を実行するサーバーです。Windowsドメイン型ネットワーク内のすべてのユーザーとコンピュータを認証および承認し、すべてのコンピュータにセキュリティポリシーを割り当てて適用し、ソフトウェアをインストールまたは更新します。たとえば、ユーザーがWindowsドメインの一部であるコンピュータにログインすると、Active Directoryは送信されたユーザー名とパスワードを確認し、ユーザーがシステム管理者か非管理者ユーザーかを判別します。[ 4 ]さらに、情報の管理と保管を可能にし、認証と承認のメカニズムを提供し、証明書サービス、Active Directoryフェデレーションサービス、ライトウェイトディレクトリサービス、および権限管理サービスなどの関連サービスを展開するためのフレームワークを確立します。[ 5 ]

Active Directoryは、LDAP ( Lightweight Directory Access Protocol)バージョン2および3、Microsoft版Kerberos [ 6 ]DNS [ 7 ]を使用します。

ロバート・R・キングはそれを次のように定義した。[ 8 ]

ドメインはデータベースを表します。このデータベースには、ネットワークサービス(コンピュータ、ユーザー、グループなど、ネットワーク上で使用、サポート、または存在するもの)に関する記録が保持されます。ドメインデータベースは、実質的には Active Directory です。

歴史

多くの情報技術の取り組みと同様に、Active DirectoryはRFC(Requests for Comments )を用いた設計の民主化から生まれました。インターネット技術タスクフォース(IETF)はRFCプロセスを監督し、幅広い参加者によって開始された多数のRFCを承認してきました。例えば、LDAPはActive Directoryの基盤となっています。また、X.500ディレクトリと組織単位は、これらの方法を使用するActive Directoryの概念に先行していました。LDAPの概念は、1975年4月のMicrosoft設立以前から存在し、RFCは1971年には既に存在していました。LDAPに貢献したRFCには、RFC 1823(LDAP APIに関するもの、1995年8月)、[ 9 ] RFC 2307、RFC 3062、RFC 4533などがあります。 [ 10 ] [ 11 ] [ 12 ]

マイクロソフトは1999年にActive Directoryのプレビュー版を公開し、 Windows 2000 Serverエディションで初めてリリースしました。その後、 Windows Server 2003で機能拡張と管理性の向上を図るため改訂を行いました。Active Directoryのサポートは、Windows 95、Windows 98、Windows NT 4.0にもパッチによって追加されましたが、一部機能はサポートされていませんでした。[ 13 ] [ 14 ]その後のWindows Serverのバージョンでもさらなる改良が行われました。Windows Server 2008では、 Active DirectoryフェデレーションサービスなどのサービスがActive Directoryに追加されました。[ 15 ] オペレーティングシステムの中核部分であったドメイン管理を担当するディレクトリ部分は、[ 15 ] Active Directoryドメインサービス(ADDS)に改名され、他のサーバーの役割と同様に機能しました。[ 3 ]「Active Directory」は、より広範なディレクトリベースのサービスの総称となりました。[ 16 ] Byron Hynesによると、アイデンティティに関連するすべてのものがActive Directoryの傘下に収められました。[ 3 ]

アクティブディレクトリサービス

Active Directory サービスは複数のディレクトリサービスで構成されています。最もよく知られているのは Active Directory ドメインサービス(AD DS または AD と 略されることが多い)です。

ドメインサービス

Active Directory ドメイン サービス (AD DS) は、あらゆるWindows ドメインネットワークの基盤です。デバイスやユーザーを含むドメイン メンバーに関する情報を保存し、資格情報を検証しアクセス権を定義します。このサービスを実行するサーバーはドメイン コントローラーと呼ばれます。ユーザーがデバイスにログインしたり、ネットワーク経由で別のデバイスにアクセスしたり、マシンにサイドロードされた基幹業務のMetro スタイル アプリ を実行したりすると、ドメイン コントローラーに接続されます。

その他の Active Directory サービス (以下に説明するLDSを除く) およびほとんどの Microsoft サーバー テクノロジは、ドメイン サービスに依存しているか、ドメイン サービスを使用しています。例としては、グループ ポリシー暗号化ファイル システムBitLockerドメイン ネーム サービスリモート デスクトップ サービスExchange ServerSharePoint Serverなどがあります。

自己管理型Active Directory DSは、クラウド製品である管理型Azure AD DSとは区別する必要があります。 [ 17 ]

軽量ディレクトリサービス

Active Directory ライトウェイト ディレクトリ サービス (AD LDS) は、以前はActive Directory アプリケーション モード(ADAM)と呼ばれていました[ 18 ]が、AD DS にLDAPプロトコルを実装しています[ 19 ]。これはWindows Server上のサービスとして実行され、同等のAPIを含む AD DS と同じ機能を提供します。ただし、AD LDS ではドメインやドメイン コントローラーの作成は必要ありません。ディレクトリ データを格納するためのデータ ストアと、 LDAP ディレクトリ サービス インターフェイスを備えたディレクトリ サービスを提供します。AD DS とは異なり、複数の AD LDS インスタンスを同じサーバー上で実行できます。

証明書サービス

Active Directory 証明書サービス(AD CS)は、オンプレミスの公開鍵基盤(PKI)を構築します。組織内部で使用するための公開鍵証明書の作成、検証、失効、その他の類似のアクションを実行できます。これらの証明書は、ファイル(暗号化ファイル システムを使用する場合)、メール(S/MIME標準に準拠)、ネットワーク トラフィック(仮想プライベート ネットワークトランスポート層セキュリティプロトコル、またはIPSecプロトコルを使用する場合)の暗号化に使用できます。

AD CSはWindows Server 2008より古いものですが、その名前は単に証明書サービスでした。[ 20 ]

AD CSにはAD DSインフラストラクチャが必要です。[ 21 ]

フェデレーションサービス

Active Directory フェデレーション サービス (AD FS) は、シングル サインオンサービスです。AD FS インフラストラクチャを導入すると、ユーザーは、各サービス専用の資格情報を付与されるのではなく、中央の場所に保存された 1 セットの資格情報のみを使用して、いくつかの Web ベース サービス (インターネット フォーラムブログオンライン ショッピングウェブメール) やネットワーク リソースを使用できます。AD FS は、トークン資格情報を渡すために、 SAMLOAuthOpenID Connectなどの多くの一般的なオープン スタンダードを使用します。[ 22 ] AD FS は、 SAMLアサーションの暗号化と署名をサポートしています。[ 23 ] AD FS の目的は、AD DS の目的を拡張したものです。後者は、ユーザーが 1 セットの資格情報を使用して、同じネットワークの一部であるデバイスで認証して使用できるようにします。前者は、ユーザーが別のネットワークで同じセットの資格情報を使用できるようにします。

名前が示すように、 AD FS はフェデレーション IDの概念に基づいて動作します。

AD FSはAD DSインフラストラクチャを必要とするが、フェデレーションパートナーはそうでない場合がある。[ 24 ]

権利管理サービス

Active Directory Rights Management ServicesAD RMS )は、 Windows Server 2008より前はRights Management ServicesまたはRMSと呼ばれていましたが、 Windows Serverに付属する情報権限管理を可能にするサーバーソフトウェアです。暗号化と選択的な拒否機能を使用して、企業の電子メールMicrosoft Word文書、Webページなどのさまざまなドキュメントへのアクセスを制限します。また、承認されたユーザーが実行できる操作(表示、編集、コピー、保存、印刷など)も制限します。IT管理者はエンドユーザーの利便性のために事前設定されたテンプレートを作成できますが、エンドユーザーは引き続き、コンテンツにアクセスできるユーザーと実行できる操作を定義できます。[ 25 ]

論理構造

Active Directoryは、データベースと実行可能コードで構成されるサービスです。リクエストの管理とデータベースの保守を担います。ディレクトリシステムエージェントは実行可能部分であり、Windows 2000以降で実行されるWindowsサービスプロセスのセットです。 [ 1 ] Active Directoryデータベース内のオブジェクトへのアクセスは、LDAP、ADSI、メッセージングAPIセキュリティアカウントマネージャーサービスなどのさまざまなインターフェースを介して可能です。[ 2 ]

使用されるオブジェクト

出版社の社内ネットワークの簡略化された例。この会社には、ネットワーク上の3つの共有フォルダに対してそれぞれ異なる権限を持つ4つのグループがあります。

Active Directoryの構造は、リソース(プリンタなど)とセキュリティプリンシパル(ユーザーまたはコンピュータのアカウントとグループを含む)の2つのカテゴリに分類されるオブジェクトに関する情報で構成されています。各セキュリティプリンシパルには、一意のセキュリティ識別子(SID)が割り当てられています。オブジェクトは、ユーザー、コンピュータ、プリンタ、グループなどの単一のエンティティとその属性を表します。オブジェクトの中には、他のオブジェクトを内部に含むものもあります。各オブジェクトには一意の名前があり、その定義はスキーマによる一連の特性と情報で構成され、スキーマによってActive Directory内のストレージが決定されます。

管理者は必要に応じてスキーマオブジェクトを使用してスキーマを拡張または変更できます。ただし、各スキーマオブジェクトはActive Directoryオブジェクトの定義に不可欠なため、それらを無効化または変更すると、展開が根本的に変更されたり、混乱したりする可能性があります。スキーマの変更はシステム全体に自動的に影響し、新しいオブジェクトは削除できず、無効化のみ可能です。スキーマの変更には通常、計画が必要です。[ 26 ]

森林、樹木、そして領域

Active Directoryネットワークでは、オブジェクトを保持するフレームワークは、フォレスト、ツリー、ドメインという異なるレベルで構成されています。展開内のドメインには、単一の複製可能なデータベースに格納されたオブジェクトが含まれており、DNS名構造によってドメイン(名前空間)が識別されます。ドメインとは、同じActive Directoryデータベースを共有するコンピューター、ユーザー、デバイスなどのネットワークオブジェクトの論理グループです。

一方、ツリーとは、連続した名前空間内のドメインとドメインツリーの集合であり、推移的な信頼階層でリンクされています。フォレストは構造の最上位に位置し、標準的なグローバルカタログ、ディレクトリスキーマ、論理構造、およびディレクトリ構成を持つツリーの集合です。フォレストは、ユーザー、コンピューター、グループ、その他のオブジェクトへのアクセスを制限する安全な境界です。

  ドメイン-ボストン
  ドメイン-ニューヨーク
  ドメイン・フィリー
 ツリーサザン
  ドメイン-アトランタ
  ドメイン・ダラス
ドメイン・ダラス
 OU-マーケティング
  ヒューイット
  エーオン
  スティーブ
 OU-セールス
  請求書
  ラルフ
ツリーとドメイン内の関心ゾーンの地理的編成の例

組織単位

ドメイン内に保持されるオブジェクトは、組織単位(OU) にグループ化できます。[ 27 ] OU はドメインに階層構造を提供して管理を容易にし、経営上または地理的な観点から組織の構造に似せることができます。OU は他の OU を含むことができ、ドメインはこの意味でコンテナーです。Microsoft は、構造化とポリシーおよび管理の実装の簡素化のためにドメインではなく OU を使用することを推奨しています。グループ ポリシー(正式にはグループ ポリシー オブジェクト (GPO) と呼ばれる Active Directory オブジェクト) を適用する場合は、OU レベルが推奨されますが、ポリシーはドメインやサイトにも適用できます (下記参照)。OU は管理権限が一般的に委任されるレベルですが、委任は個々のオブジェクトまたは属性に対しても実行できます。

組織単位(OU)はそれぞれ独立した名前空間を持ちません。そのため、レガシーNetBIOS実装との互換性を保つため、アカウントオブジェクトが別々のOUにある場合でも、同じドメイン内で同一のSamAccountNameを持つユーザーアカウントは許可されません。これは、ユーザーオブジェクト属性であるSamAccountNameがドメイン内で一意でなければならないためです。[ 28 ]ただし、異なるOUに属する2人のユーザーは、ディレクトリ自体に保存される名前である共通名(CN)を同じにすることができます。例えば、「fred.staff-ou.domain」と「fred.student-ou.domain」のように、ここで「staff-ou」と「student-ou」はOUです。

一般的に、階層的なディレクトリ配置による重複名が許容されない理由は、Microsoftが主にNetBIOSの原理に依存しているためです。NetBIOSは、MicrosoftソフトウェアにおいてWindows NT 3.1MS-DOS LAN Managerにまで遡る、ネットワークオブジェクト管理のフラットな名前空間方式です。ディレクトリ内のオブジェクト名の重複を許容したり、NetBIOS名の使用を完全に排除したりすると、従来のソフトウェアや機器との下位互換性が損なわれます。しかし、このように重複オブジェクト名を禁止することは、Active Directoryの基盤とされるLDAP RFCに違反することになります。

ドメイン内のユーザー数が増加すると、「名の頭文字、ミドルネームの頭文字、姓」(西洋式)やその逆(東洋式)といった慣習は、 Li(李)、SmithGarciaといった一般的な姓には適用できなくなります。回避策としては、ユーザー名の末尾に数字を追加することが挙げられます。代替案としては、実際のユーザー名の代わりに、固有の従業員/学生ID番号からなる別のIDシステムを作成し、アカウント名として使用したり、ユーザーが利用規約の範囲内で好みの語順を指定できるようにしたりすることが挙げられます。

ドメイン内に重複するユーザー名は存在できないため、ネットワーク上の任意のコンピューターを使用しなければならない公立学校システムや大学の学生など、簡単に別々のドメインに分割できない大規模な組織では、アカウント名の生成が大きな課題となります。

影のグループ
Active Directoryでは、組織単位(OU)を所有者または受託者として割り当てることはできません。選択できるのはグループのみであり、OUのメンバーにディレクトリオブジェクトに対する権限を一括して割り当てることはできません。

MicrosoftのActive Directoryでは、OUはアクセス権限を付与せず、OU内に配置されたオブジェクトには、所属するOUに基づいてアクセス権限が自動的に割り当てられることはありません。これはActive Directory固有の設計上の制約であり、Novell NDSなどの競合ディレクトリでは、OU内のオブジェクトの配置を通じてアクセス権限を設定できます。

Active Directoryでは、管理者がOU内のオブジェクトをそのOU内のグループメンバーとして割り当てるには、別途手順が必要です。OUの場所のみを使用してアクセス権限を決定するのは信頼性に欠けます。なぜなら、そのエンティティがまだそのOUのグループオブジェクトに割り当てられていない可能性があるからです。

Active Directory管理者の一般的な回避策は、ディレクトリ内の各OUのユーザーグループを自動的に作成・管理するカスタムPowerShellまたはVisual Basicスクリプトを作成することです。これらのスクリプトは定期的に実行され、OUのアカウントメンバーシップと一致するようにグループを更新します。ただし、セキュリティがディレクトリに直接実装されているため、競合ディレクトリのようにディレクトリが変更されるたびにセキュリティグループを即座に更新することはできません。このようなグループはシャドウグループと呼ばれます。作成されたシャドウグループは、管理ツールでOUの代わりに選択できます。MicrosoftのServer 2008リファレンスドキュメントにはシャドウグループについて記載されていますが、作成手順は記載されていません。また、これらのグループを管理するためのサーバーメソッドやコンソールスナップインも用意されていません。[ 29 ]

組織は、情報インフラストラクチャの構造を1つ以上のドメインと最上位のOUに分割することで決定する必要があります。この決定は非常に重要であり、事業単位、地理的な場所、ITサービス、オブジェクトの種類、あるいはこれらのモデルの組み合わせなど、様々なモデルに基づいて決定できます。OUを編成する直接的な目的は、管理権限の委任を簡素化することであり、次にグループポリシーを適用することです。OUは管理境界として機能しますが、フォレスト自体が唯一のセキュリティ境界です。他のすべてのドメインは、セキュリティを維持するためにフォレスト内の管理者を信頼する必要があります。[ 30 ]

パーティション

Active Directoryデータベースはパーティションに編成されており、各パーティションは特定のオブジェクトタイプを保持し、特定のレプリケーションパターンに従います。Microsoftはこれらのパーティションをしばしば「命名コンテキスト」と呼びます。[ 31 ]「スキーマ」パーティションは、フォレスト内のオブジェクトクラスと属性を定義します。「構成」パーティションには、フォレストの物理構造と構成(サイトトポロジなど)に関する情報が含まれます。どちらもフォレスト内のすべてのドメインをレプリケートします。「ドメイン」パーティションは、そのドメイン内で作成されたすべてのオブジェクトを保持し、そのドメイン内でのみレプリケートします。

物理的構造

サイトは、1つ以上のIPサブネットによって定義される物理的な(論理的ではない)グループです。[ 32 ] ADは接続も定義し、低速リンク(WANVPNなど)と高速リンク(LANなど)を区別します。サイト定義はドメインおよびOU構造とは独立しており、フォレスト全体で共有されます。サイトは、レプリケーションによって作成されたネットワークトラフィックを管理し、クライアントを最寄りのドメインコントローラ(DC)に誘導する上で重要な役割を果たします。Microsoft Exchange Server 2007は、メールルーティングにサイトトポロジを使用します。管理者はサイトレベルでポリシーを定義することもできます。

Active Directoryの情報は、NTのPDC / BDCモデルに代わる、 1つ以上のピアドメインコントローラに物理的に保持されます。各DCはActive Directoryのコピーを保持します。Active Directoryに参加しているドメインコントローラ以外のメンバーサーバーは、メンバーサーバーと呼ばれます。[ 33 ]ドメインパーティションでは、オブジェクトのグループがグローバルカタログとして設定されたドメインコントローラのコピーとして機能します。これらのグローバルカタログサーバーは、フォレスト内のすべてのオブジェクトの包括的なリストを提供します。[ 34 ] [ 35 ]

グローバルカタログサーバーは、すべてのドメインのすべてのオブジェクトを自身に複製し、フォレスト内のエンティティの国際的なリストを提供します。ただし、複製トラフィックを最小限に抑え、GCのデータベースを小さく保つために、各オブジェクトの選択された属性(部分属性セット(PAS)と呼ばれる)のみが複製されます。PASは、スキーマを変更し、GCへの複製の機能をマークすることで変更できます。[ 36 ]以前のバージョンのWindowsでは、通信にNetBIOSを使用していました。Active DirectoryはDNSと完全に統合されており、TCP/IP(DNS)が必要です。DNSサーバーが完全に機能するには、SRVリソースレコード(サービスレコードとも呼ばれます)をサポートしている必要があります。

レプリケーション

Active Directoryは変更を同期するためにマルチマスターレプリケーションを使用します。 [ 37 ]つまり、レプリカは変更が発生したサーバーから変更をプルします。レプリカにプッシュされるのではなく、プルします。 [ 38 ]知識整合性チェッカー(KCC)は、定義されたサイトを使用してトラフィックを管理し、サイトリンクのレプリケーショントポロジを作成します。サイト内レプリケーションは、変更通知によって頻繁に自動的に行われ、ピアにプルレプリケーションサイクルの開始を促します。異なるサイト間のレプリケーション間隔は通常、一貫性が低く、変更通知は使用されません。ただし、必要に応じて、同一ネットワーク上の拠点間のレプリケーションと同じ間隔に設定することも可能です。

DS3T1、およびISDNの各リンクにはコストがかかる場合があり、KCCはそれに応じてサイトリンクトポロジを変更します。コストが低い場合、同一プロトコルのサイトリンクブリッジ上の複数のサイトリンクを介して、レプリケーションが推移的に発生することがあります。ただし、KCCは、サイト間直接リンクのコストを推移的接続よりも自動的に低く設定します。各ゾーンのブリッジヘッドサーバーは、同じ場所にある他のDCに更新を送信し、サイト間の変更をレプリケートできます。Active Directoryゾーンのレプリケーションを構成するには、サイトに基づいてドメイン内のDNSをアクティブ化します。

Active Directoryのレプリケーションには、 IP経由のリモートプロシージャコール(RPC/IP)が使用されます。SMTPサイト間のレプリケーションに使用されますが、スキーマ、構成、または部分属性セット(グローバルカタログ)GCの変更にのみ使用されます。デフォルトのドメインパーティションの再現には適していません。[ 39 ]

実装

一般的に、Active Directoryを利用するネットワークには、ライセンスを取得した複数のWindowsサーバーコンピュータが含まれます。Active Directoryのバックアップと復元は、単一のドメインコントローラを持つネットワークでも可能です。[ 40 ]ただし、Microsoftは、ディレクトリの自動フェイルオーバー保護を提供するために、複数のドメインコントローラを使用することを推奨しています。 [ 41 ]ドメインコントローラは、理想的にはディレクトリ操作のみに使用され、他のソフトウェアや役割は実行されません。[ 42 ]

SQL Server [ 43 ] [ 44 ]や Exchange [ 45 ]などの特定の Microsoft 製品はドメイン コントローラの動作を妨げる可能性があるため、追加の Windows サーバーでこれらの製品を分離することをお勧めします。これらを組み合わせると、ドメイン コントローラやその他のインストールされているソフトウェアの構成とトラブルシューティングが複雑になる可能性があります。[ 46 ] Active Directory の実装を計画している場合、企業は複数の Windows Server ライセンスを購入して、少なくとも 2 つの独立したドメイン コントローラを用意する必要があります。管理者は、パフォーマンスや冗長性のために追加のドメイン コントローラを検討し、ファイル ストレージ、Exchange、SQL Server [ 47 ]などのタスク用に個別のサーバーを検討する必要があります。これにより、すべてのサーバーの役割が適切にサポートされることが保証されます。

物理ハードウェアのコストを削減する方法の一つは仮想化です。しかし、適切なフェイルオーバー保護を実現するために、Microsoftは同一の物理ハードウェア上で複数の仮想化ドメインコントローラーを稼働させないことを推奨しています。[ 48 ]

データベース

Windows 2000 ServerのActive Directoryデータベースディレクトリストア)は、 JET Blueベースの拡張ストレージエンジン(ESE98)を使用しています。各ドメインコントローラのデータベースは、16テラバイト、20億オブジェクト(ただし、セキュリティプリンシパルは10億)に制限されています。Microsoftは、20億を超えるオブジェクトを持つNTDSデータベースを開発しました。[ 49 ] NT4のセキュリティアカウントマネージャは、最大40,000個のオブジェクトをサポートできました。セキュリティアカウントマネージャには、データテーブルリンクテーブルという2つのメインテーブルがあります。Windows Server 2003では、セキュリティ記述子の単一インスタンス化のために3つ目のメインテーブルが追加されました。[ 49 ]

プログラムは、Active Directoryサービスインターフェイスによって提供されるCOMインターフェイスを介してActive Directoryの機能にアクセスすることができます。[ 50 ] [ 51 ]

信頼する

あるドメインのユーザーが別のドメインのリソースにアクセスできるようにするために、Active Directoryは信頼関係を使用します。[ 52 ]

フォレスト内の信頼は、ドメインの作成時に自動的に作成されます。フォレストは信頼のデフォルトの境界を設定し、フォレスト内のすべてのドメインに対して暗黙的かつ推移的な信頼が自動的に確立されます。

用語

一方的な信頼
あるドメインは別のドメインのユーザーにアクセスを許可しますが、他のドメインは最初のドメインのユーザーにアクセスを許可しません。
双方向の信頼
2 つのドメインでは、両方のドメインのユーザーにアクセスが許可されます。
信頼できるドメイン
信頼されているドメイン。そのドメインのユーザーは信頼するドメインにアクセスできます。
推移的信頼
2 つのドメインを超えてフォレスト内の他の信頼されたドメインに拡張できる信頼。
非推移的信頼
2 つのドメインを超えない一方向の信頼。
明示的な信頼
管理者が作成する信頼。推移的ではなく、一方通行です。
クロスリンク信頼
2 つのドメイン間に子孫/祖先 (子/親) 関係が存在しない場合の、異なるツリー内または同じツリー内のドメイン間の明示的な信頼。
ショートカット
異なるツリー内の 2 つのドメインを推移的、一方向、または双方向に結合します。
森林信託
フォレスト全体に適用されます。推移的、一方向または双方向です。
レルム
推移的または非推移的 (自動詞)、一方向または双方向になります。
外部の
他のフォレストまたはActive Directory以外のドメインに接続します。非推移的、一方向または双方向です。[ 53 ]
PAM信頼
Microsoft Identity Managerが(おそらく低レベルの)運用フォレストから(Windows Server 2016の機能レベルの)「要塞」フォレストに使用する一方向の信頼。これにより、時間制限のあるグループメンバーシップが発行されます。[ 54 ] [ 55 ]

管理ツール

Microsoft Active Directory 管理ツールには次のものが含まれます。

  • Active Directory 管理センター (Windows Server 2012 以降で導入)
  • Active Directory ユーザーとコンピューター
  • Active Directoryドメインと信頼関係
  • Active Directory サイトとサービス
  • ADSI 編集、
  • ローカルユーザーとグループ、
  • Microsoft 管理コンソール(MMC)の Active Directory スキーマ スナップイン
  • SysInternals ADExplorer。

これらの管理ツールは、大規模環境での効率的なワークフローを実現するには機能が不足している可能性があります。一部のサードパーティ製ツールは、管理機能を拡張し、自動化、レポート、他のサービスとの統合など、より便利な管理プロセスに不可欠な機能を提供します。

Unix統合

ほとんどのUnix 系オペレーティング システム ( UnixLinuxMac OS X 、Java、Unix ベースのプログラムを含む) では、標準準拠の LDAP クライアントを通じて Active Directory とのさまざまなレベルの相互運用性を実現できますが、これらのシステムでは通常、グループ ポリシーや一方向の信頼のサポート など、Windows コンポーネントに関連付けられた多くの属性は解釈されません。

サードパーティは、次のような Unix 系プラットフォーム向けの Active Directory 統合を提供しています。

Windows Server 2003 R2に同梱されているスキーマ追加機能には、RFC 2307 に十分近いマッピングを持つ属性が含まれており、汎用的に使用できます。PADL.com が提供する RFC 2307 のリファレンス実装である nss_ldap と pam_ldap は、これらの属性を直接サポートしています。グループメンバーシップのデフォルトスキーマは、RFC 2307bis (提案) に準拠しています。[ 59 ] Windows Server 2003 R2 には、これらの属性を作成および編集するためのMicrosoft 管理コンソールスナップインが含まれています。

代替オプションとして、Windows以外のクライアントは別のディレクトリサービスで認証し、WindowsクライアントはActive Directoryで認証するため、別のディレクトリサービスを使用するという方法があります。Windows以外のクライアントには、 389 Directory Server(旧称Fedora Directory Server、FDS)、ViewDS v7.2 XML Enabled Directory、Sun Microsystems Sun Java System Directory Serverなどがあります。後者2つはどちらもActive Directoryとの双方向同期を実行できるため、「偏向型」の統合が可能です。

もう一つの選択肢は、 OpenLDAP透過オーバーレイを使用することです。これにより、ローカルデータベースに保存されている追加属性を使用して、任意のリモートLDAPサーバーのエントリを拡張できます。ローカルデータベースを参照するクライアントは、リモート属性とローカル属性の両方を含むエントリを参照できますが、リモートデータベースはまったく変更されません。

Active Directoryの管理(クエリ、変更、監視)は、PowerShellVBScriptJScript/JavaScriptPerlPythonRubyなど多くのスクリプト言語で行うことができます。[ 60 ] [ 61 ] [ 62 ] [ 63 ]無料および有料のActive Directory管理ツールは、Active Directory管理タスクを簡素化し、場合によっては自動化するのに役立ちます。

2017年10月よりAmazon AWSはMicrosoft Active Directoryとの統合を提供しています。[ 64 ]

参照

参考文献

  1. ^ a b 「ディレクトリシステムエージェント」。MSDNライブラリ。Microsoft。20144 月 23 日閲覧
  2. ^ a b Solomon, David A. ; Russinovich, Mark (2005). 「第13章」. Microsoft Windows Internals: Microsoft Windows Server 2003, Windows XP, and Windows 2000 (第4版). Redmond, Washington: Microsoft Press . p  . 840. ISBN 0-7356-1917-4
  3. ^ a b c Hynes, Byron (2006年11月). 「Windowsの未来: Windows Server "Longhorn"のディレクトリサービス」 . TechNet Magazine . Microsoft . 2020年4月30日時点のオリジナルよりアーカイブ。2020年4月30日閲覧。
  4. ^ 「Windows Server 2003 ネットワーク上の Active Directory」。Active Directory コレクション。Microsoft 。2003年3月13日。2020年4月30日時点のオリジナルよりアーカイブ2010年12月25日閲覧。
  5. ^ Rackspace Support (2016年4月27日). 「Windows Server 2008 R2 Enterprise 64ビット版へのActive Directoryドメインサービスのインストール」 . Rackspace . Rackspace US, Inc. 2020年4月30日時点のオリジナルよりアーカイブ。 2016年9月22日閲覧
  6. ^ 「Microsoft Kerberos - Win32 アプリ」 . docs.microsoft.com . 2021年1月7日.
  7. ^ 「ドメインネームシステム(DNS)」 . docs.microsoft.com . 2022年1月10日.
  8. ^キング、ロバート (2003). 『Windows Server 2003 Active Directory マスター』(第3版). アラメダ、カリフォルニア州: Sybex. p. 159. ISBN 978-0-7821-5201-2. OCLC  62876800 .
  9. ^ Howes, T.; Smith, M. (1995年8月). 「LDAPアプリケーション・プログラム・インターフェース」 .インターネット技術タスクフォース (IETF) . 2020年4月30日時点のオリジナルよりアーカイブ。 2013年11月26日閲覧
  10. ^ Howard, L. (1998年3月). 「LDAPをネットワーク情報サービスとして使用するアプローチ」 . Internet Engineering Task Force (IETF) . 2020年4月30日時点のオリジナルよりアーカイブ。 2013年11月26日閲覧
  11. ^ Zeilenga, K. (2001年2月). 「LDAP パスワード変更拡張操作」 .インターネット技術タスクフォース (IETF) . 2020年4月30日時点のオリジナルよりアーカイブ。 2013年11月26日閲覧
  12. ^ Zeilenga, K.; Choi, JH (2006年6月). 「The Lightweight Directory Access Protocol (LDAP) Content Synchronization Operation」 . The Internet Engineering Task Force (IETF) . 2020年4月30日時点のオリジナルよりアーカイブ。 2013年11月26日閲覧
  13. ^ Daniel Petri (2009年1月8日). 「Win98/NT用Active Directoryクライアント(dsclient)」 .
  14. ^ 「Dsclient.exe は Windows 9x/NT PC を Active Directory に接続します」。2003 年 6 月 5 日。
  15. ^ a b Thomas, Guy (2000年11月29日). 「Windows Server 2008 - 新機能」 . ComputerPerformance.co.uk . Computer Performance Ltd. 2019年9月2日時点のオリジナルよりアーカイブ2020年4月30日閲覧。
  16. ^ 「Windows Server の Active Directory の新機能」。Windows Server 2012 R2 および Windows Server 2012 Tech Center。Microsoft。 2016年831日。
  17. ^ 「Azure の Active Directory ベースのサービスの比較」 . docs.microsoft.com . 2023 年 4 月 3 日。
  18. ^ "AD LDS" . Microsoft . 2009年4月28日閲覧
  19. ^ 「AD LDSとAD DS」。Microsoft。2012年7月2日。 2013年2月25日閲覧
  20. ^ザッカー、クレイグ (2003). 「11. デジタル証明書の作成と管理」ハーディング、キャシー、ジーン、ザッカー、リンダ (編). Microsoft Windows Server 2003 ネットワークインフラストラクチャの計画と保守ワシントン州レドモンド: Microsoft Press. pp.  11–16 . ISBN 0-7356-1893-3
  21. ^ 「Active Directory証明書サービスの概要」。Microsoft TechNet。Microsoft2015年11月24日閲覧
  22. ^ 「Power Apps ポータルでの認証の概要」 . Microsoft Docs . Microsoft . 2022年1月30日閲覧
  23. ^ 「SSL、サービス通信、トークン署名、トークン復号化証明書を置き換える方法」TechNet Microsoft 2022130日閲覧
  24. ^ 「手順 1: インストール前のタスク」 . TechNet . Microsoft . 2021 年10 月 21 日閲覧
  25. ^ 「テストラボガイド: AD RMSクラスターの展開」 . Microsoft Docs . Microsoft . 2016年8月31日. 2022年1月30日閲覧
  26. ^ Windows Server 2003: Active Directory インフラストラクチャ。Microsoft Press。2003年。1~8~1~9頁。
  27. ^ 「組織単位」 .分散システムリソースキット ( TechNet ) . Microsoft. 2011. Active Directoryにおける組織単位は、ファイルシステムにおけるディレクトリに類似している。
  28. ^ 「SamAccountNameはWindowsドメインで常に一意である…本当にそうなのか?」 Joeware、2012年1月4日。 2013年9月18日閲覧同じSamAccountNameで複数のADオブジェクトを作成する例
  29. ^ Microsoft Server 2008 リファレンス、きめ細かなパスワード ポリシーに使用されるシャドウ グループについての説明: https://technet.microsoft.com/en-us/library/cc770394%28WS.10%29.aspx
  30. ^ 「セキュリティと管理境界の指定」 Microsoft Corporation、2005年1月23日。ただし、サービス管理者はドメイン境界を越えた権限を有します。そのため、最終的なセキュリティ境界はドメインではなくフォレストとなります。
  31. ^ Andreas Luther (2009年12月9日). 「Active Directoryレプリケーショントラフィック」 . Microsoft Corporation . 2010年5月26日閲覧. Active Directoryは、1つ以上の名前付けコンテキストまたはパーティションで構成されています。
  32. ^ 「サイトの概要」。Microsoft Corporation。2005 年 1 月 21 日。サイトとは、適切に接続されたサブネットの集合です。
  33. ^ 「ドメイン コントローラとメンバー サーバーの計画」。Microsoft Corporation。2005 年 1 月 21 日。[...] メンバー サーバーは [...] ドメインに属していますが、Active Directory データのコピーは含まれていません。
  34. ^ 「グローバルカタログとは?」 Microsoft Corporation、2009年12月10日。[...] ドメインコントローラは、そのドメイン内のオブジェクトのみを検索できます。[...] グローバルカタログは、任意のドメインのオブジェクトを検索する機能を提供します [...]
  35. ^ 「グローバルカタログ」。Microsoft Corporation。
  36. ^ 「グローバル カタログに含まれる属性」。Microsoft Corporation。2010 年 8 月 26 日。attributeSchemaオブジェクトの isMemberOfPartialAttributeSet 属性は、属性がグローバル カタログにレプリケートされている場合に TRUE に設定されます。[...] 属性をグローバル カタログに配置するかどうかを決定する際には、グローバル カタログ サーバー上のレプリケーションとディスク ストレージの増加と引き換えに、クエリ パフォーマンスが向上する可能性があることに留意してください。
  37. ^ 「ディレクトリデータストア」 . Microsoft Corporation. 2005年1月21日. Active Directoryは、4つの異なるディレクトリパーティションタイプを使用して[...]データを保存しています。ディレクトリパーティションには、ドメイン、構成、スキーマ、およびアプリケーションデータが含まれます。
  38. ^ 「Active Directory レプリケーション モデルとは?」。Microsoft Corporation。2003 年 3 月 28 日。ドメイン コントローラは、必要のない変更を送信 (プッシュ) するのではなく、変更を要求 (プル) します。
  39. ^ 「Active Directory レプリケーション トポロジとは?」 Microsoft Corporation。2003 年 3 月 28 日。SMTPは非ドメイン レプリケーションの転送に使用できます [...]
  40. ^ 「Active Directory のバックアップと復元」 TechNet Microsoft 2009年12月9日。 2014年2月5日閲覧
  41. ^ 「AD DS: 冗長性を確保するために、すべてのドメイン少なくとも2つの機能するドメインコントローラーが必要です」。TechNet。Microsoft 20142月5日閲覧
  42. ^ Posey, Brien (2010年8月23日). 「効果的なActive Directory設計のための10のヒント」 . TechRepublic . CBS Interactive . 2014年2月5日閲覧.可能な限り、ドメインコントローラーは専用サーバー(物理サーバーまたは仮想サーバー)で実行する必要があります。
  43. ^ 「ドメイン コントローラーに SQL Server をインストールすると問題が発生する場合があります (リビジョン 3.0)」サポート。Microsoft。20131 月 7 日。20142 月 5 日閲覧
  44. ^ Degremont, Michel (2011年6月30日). 「ドメインコントローラーにSQL Serverをインストールできますか?」 . Microsoft SQL Server ブログ. 2014年2月5日閲覧.セキュリティとパフォーマンス上の理由から、ドメインコントローラーにスタンドアロンのSQL Serverをインストールしないことをお勧めします。
  45. ^ 「ドメイン コントローラーへの Exchange のインストールは推奨されません」。TechNet。Microsoft。20133月 22 日。20142 月 5 日に閲覧
  46. ^ 「SQL Server インストールにおけるセキュリティに関する考慮事項」 . TechNet . Microsoft . 2014年2月5日閲覧。SQL Server をコンピューターにインストールした後は、そのコンピューターをドメインコントローラーからドメインメンバーに変更することはできません。ホストコンピューターをドメインメンバーに変更する前に、SQL Server をアンインストールする必要があります。
  47. ^ 「Exchange Server Analyzer」。TechNet。Microsoft 20142月5日閲覧運用中のExchangeメールボックスサーバーと同じコンピューターでSQL Serverを実行することは推奨されません
  48. ^ 「Hyper-Vでドメインコントローラーを実行する」 TechNet Microsoftドメインコントローラーの仮想化計画2014年2月5日閲覧。仮想ドメインコントローラーの展開を計画する際には潜在的な単一障害点の発生を避けるように努めるべきです。frank
  49. ^ a b efleis (2006年6月8日). 「大規模なADデータベース?おそらくこれほど大規模ではない」 . Blogs.technet.com. 2009年8月17日時点のオリジナルよりアーカイブ2011年11月20日閲覧。
  50. ^バーコウワー、サンダー。「Active Directoryの基本」Veeam ソフトウェア
  51. ^ Active Directory サービスインターフェイス、Microsoft
  52. ^ 「ドメインとフォレストの信頼に関するテクニカルリファレンス」。Microsoft Corporation。2003年3月28日。信頼関係により、ドメインまたはフォレスト間での[...]認証と[...]リソースの共有が可能になります。
  53. ^ 「ドメインとフォレストの信頼関係の仕組み」 Microsoft Corporation、2012年12月11日。 2013年1月29日閲覧複数の種類の信頼関係を定義します。(自動、ショートカット、フォレスト、レルム、外部)
  54. ^ 「Active Directory ドメイン サービスの特権アクセス管理」 . docs.microsoft.com . 2023 年 2 月 8 日。
  55. ^ 「TechNet Wiki」 . social.technet.microsoft.com . 2024年1月17日.
  56. ^ a b Edge, Charles S. Jr; Smith, Zack; Hunter, Beau (2009). 「第3章 Active Directory」. Enterprise Mac 管理者ガイド. ニューヨーク市: Apress . ISBN 978-1-4302-2443-3
  57. ^ 「Samba 4.0.0がダウンロード可能」SambaPeopleSAMBAプロジェクト。2010年11月15日時点のオリジナルよりアーカイブ。 2016年8月9日閲覧
  58. ^ 「DRSの大成功!」 SambaPeople SAMBAプロジェクト。2009年10月5日。2009年10月13日時点のオリジナルよりアーカイブ。 2009年11月2日閲覧
  59. ^ "RFC 2307bis" . 2011年9月27日時点のオリジナルよりアーカイブ2011年11月20日閲覧。
  60. ^ 「Windows PowerShell による Active Directory の管理」 . Microsoft . 2011 年6 月 7 日閲覧
  61. ^ 「スクリプトを使用してActive Directoryを検索する」 Microsoft、2010年5月26日。 2012年5月22日閲覧
  62. ^ 「ITAdminTools Perl スクリプトリポジトリ」 . ITAdminTools.com . 2012年5月22日閲覧
  63. ^ "Win32::OLE" . Perlオープンソースコミュニティ. 2012年5月22日閲覧。
  64. ^ 「Microsoft Active Directory(Standard Edition)向けAWS Directory Serviceのご紹介」Amazon Web Services . 2017年10月24日.
WikiversityにはActive Directoryに関する学習リソースがあります
「 https://en.wikipedia.org/w/index.php?title=Active_Directory&oldid=1306238248」から取得