PR

 Microsoftは Windows 2000 Serverにおいて、Windows NTまでの貧弱なSAM(セキュリティアカウントマネージャー)を置き換える本格的なディレクトリサービスとして Active Directoryを開発し、その後の Windowsネットワークの基盤に据えた。そして、Active Directoryのディレクトリサービスを中心に、シングルサインオン(SSO)やスマートカード認証、アクセス制御リスト(ACL)によるリソースへのアクセス制御、グループポリシーによる一元管理、Windows Services for UNIX(現在は OSに統合)、Services for NetWare(現在はサポートされない)、Services for Macintosh(現在はサポートされない)などの他システムとの ID統合機能、証明書サービス、Exchange Serverとのディレクトリ統合を提供した。Windows Server 2003では、役割ベースの承認を提供する承認マネージャーやActive Directoryアプリケーションモード(ADAM)が、Windows Server 2003 R2では、Active Directoryフェデレーションサービス(AD FS)が追加され、Windows Rights Managementサービス(RMS)がオプションでサポートされた。また、この期間、IDの統合やプロビジョニング、ライフサイクル管理のためのサーバー製品として、Metadirectory Services(MMS)、Identity Integration Server(MIIS)2003、Identity Lifecycle Manager(ILM)2007を提供し、機能を強化してきた。

 Windows Server 2008では、IDとアクセス管理の複雑さを緩和するために、Active Directoryを中心とした各種サービスを再編成し、Active Directoryサービス群として統合した。Active Directoryサービス群は、次の 5つの役割で構成される。

■Active Directoryドメインサービス(AD DS)
■Active Directory証明書サービス(AD CS)
■Active Directoryライトウェイトディレクトリサービス(AD LDS)
■Active Directory Rights Managementサービス(AD RMS)
■Active Directoryフェデレーションサービス(AD FS)

 AD DS、AD CS、AD LDS、AD RMSは、以前はそれぞれ「Active Directoryディレクトリサービス」「証明書サービス」「Active Directoryアプリケーションモード(ADAM)」「Windows Rights Managementサービス」と呼ばれていたものである。AD FSについては名称変更はない。また、Microsoftは ILM 2007の後継として、Forefront Identity Manager 2010(開発コード名「ILM"2"」)を現在開発中である。ここではAD DSについて、機能の概要を説明する。

Active Directoryドメインサービス(AD DS)

 Active Directoryドメインサービス(AD DS)は、管理の単位となる Active Directoryの「フォレスト」および「ドメイン」を構成し、ログオン認証の最適化やレプリケーション(複製)のための「サイト」を構成することもできる。ユーザー、コンピューター、グループ、プリンター、アプリケーション、その他のディレクトリ対応オブジェクトに関する情報、構成情報、および認証要求のためのディレクトリサービスを提供する。物理的なネットワークリンクに対応した、ログオン認証の最適化やレプリケーションのためのサイトを構成することもできる。

図15●フォレストの機能レベルの設定(dcpromo)
図15●フォレストの機能レベルの設定(dcpromo)
[画像のクリックで拡大表示]

 AD DSの基本的なアーキテクチャーは、Windows 2000 Serverに実装された最初のバージョンから変更されていない。Windows Server 2008 R2は、フォレストおよびドメインの機能レベルとして、Windows 2000、Windows Server 2003、Windows Server 2008、およびWindows Server 2008 R2をサポートしており、Windows 2000 Server以降のすべてのActive Directoryとの互換性を提供する。フォレストおよびドメインの機能レベルは、フォレストやドメインに追加できるドメインコントローラーの Windowsのバージョンを規定するものであり、機能レベルにより Active Directoryで利用可能な機能が決まる。たとえば、Windows Server 2008 R2に追加された新機能のすべてを利用するためには、フォレストおよびドメインの機能レベルとして Windows Server 2008 R2を選択する必要がある(図15)。

 フォレストとドメインの各機能レベルでは、それぞれ次の表5表6に示す新機能がサポートされる。

表5●フォレスト機能レベル
[画像のクリックで拡大表示]
表5●フォレスト機能レベル
表6●ドメイン機能レベル
[画像のクリックで拡大表示]
表6●ドメイン機能レベル

 単に Active Directoryと言うと、ユーザー IDとパスワードによるドメインログオン認証と、その認証に基づいたアクセス制御のためのサービスという点がどうしてもクローズアップされてしまう。もちろん、それは IDとアクセス管理の基本そのものなので、重要である。だが、Active Directoryが保存するのは、ユーザー IDとパスワードだけではない。たとえば、ユーザーオブジェクトには、そのユーザーの住所や電話番号、電子メールアドレス、グループメンバーシップ、ユーザープロファイル、リモートアクセスの許可、リモートデスクトップサービスのポリシーなど多くの情報が関連付けられて格納される(図16)。また、グループポリシーを使用したユーザーやコンピューターの構成、スマートカードやバイオメトリクス認証、リソースやタスクへのアクセス権限、プリンターの公開や展開、分散ファイルシステム(DFS)ルートの提供、X.509証明書マッピング、BitLockerドライブ暗号化の回復情報など、さまざまな情報を格納し、サービスとして提供する。

図16●ユーザーの属性。フリガナへの標準対応は Windows Server 2008から
図16●ユーザーの属性。フリガナへの標準対応は Windows Server 2008から
[画像のクリックで拡大表示]

 重要な点は、Active Directoryは、IDとアクセス管理の中心となるサービスであるということである。ユーザー、認証、セキュリティポリシー、コンピューター、プリンター、サーバーなどの、組織のリソースの管理において重要な役割を果たすのに加えて、他のアプリケーションやシステム、およびプラットフォームにまで拡張可能な、信頼できる構成ストアとして使用できる。以降で説明する Active Directoryのその他のサービス、ファイルサービス、ネットワークアクセス保護(NAP)、リモートデスクトップサービス、DirectAccessなどのすべてのサービスの背後でも、AD DSが動作している。