今回はActive Directoryに出てくる様々な論理構造について勉強しよう。Active Directoryというと,様々な概念が階層構造を成して,なにやら複雑な印象を受ける。元々,複雑な管理対象を,スッキリ管理するために階層構造を導入しているのだが,逆に高度な機能を無理に使おうとして,現実のシステムを複雑に考えてしまうのだ。 Active Directoryの運用は,2段階のステップに分けて考えるといいだろう。最初のステップは,Windows NTドメインと同じような単なるユーザー認証機能だけの運用形態であり,2番目のステップがActive Directory固有の階層構造を利用した運用形態である。 Active Directoryの登場当初は,Active Directoryの優位性を強調するあまり,最初のステップであるWindows NTと同様の(単純な)管理形態については語られることが少なかったように思う。しかし,実際には,Windows NTと同様,ドメイン全体をひとまとめにして,階層を作らないという選択肢もある。今回は,Active Directory固有の論理構造を紹介するが,必ずしも作らなくてもよい構造も含まれる。あくまで,惑わされないための勉強である。Active Directoryの機能を十分に知るためにも,階層構造の概要だけはぜひ理解しておいてほしい。
Active Directoryの管理単位はドメインだけでない このような大規模なドメインをサポートできるようになった結果,単一の組織で複数ドメインを構築する必然性はなくなった。さらに,管理権限を部門に委任するために,ドメイン内部をより細かな単位「組織単位(OU:Organizational Unit)」に分割し,階層管理できるようになった。OUは使っても使わなくても構わないが,大規模なドメインを管理するには必須の機能である。 さらに(ユーザー数の問題ではなく,その他の管理上の問題で),ドメインを分割したい場合に備え,「ツリー」や「フォレスト」といった,ドメイン間階層を作成できる。 このように,Active Directoryでは,ドメイン内とドメイン間の両方に階層管理の概念を導入した。大規模な情報を管理する基本は,階層構造なのである。
ドメイン間の階層を形成するドメイン・ツリーとフォレスト
ドメイン同士がお互いに関係して“木”や“森”を形作るというのは,どういう関係なのかというと,まず,ドメイン・ツリーを構成するドメインは,前回解説したDNS名前空間が連続していなければならない。一方,フォレストを構成するドメイン・ツリー同士には,DNS名前空間の制限はない。その結果,一般にフォレストは( 図1のような構成になる。フォレストは,Active Directoryの管理権限が及ぶ最も大きな範囲である。 フォレストは1つ以上のドメイン・ツリーで構成される。つまり,複数のドメイン・ツリーで構成されることもあれば,1つのドメイン・ツリーでも1つのフォレストになり得るということだ。さらに,ドメイン・ツリー内には1つ以上の「ドメイン」が含まれる。つまりこれもまた,1つのドメインだけで1つのドメイン・ツリーになる。ということは,1つのドメインだけしかなければ,それは1つのドメイン・ツリー,1つのフォレストとみなせる。既に述べた通り,単一ドメインでもツリーを構成するとみなすが,実際には親ドメインと子ドメインが存在する場合を「ドメイン・ツリー」と呼ぶことが多い。 実際には,最初のドメイン・コントローラ(Active Directoryデータベースを保持するコンピュータ)が構成したドメインは,最初のフォレストを構成するとともに,最初のドメイン・ツリーでもある。このドメインを「フォレスト・ルート・ドメイン」と呼ぶ。 ドメイン・ツリーを大きく(枝を伸ばす)場合は,子ドメインを追加する。また,ドメイン・ツリー自体を追加する場合は,2つ目のドメイン・ツリーのもととなる(ドメイン・ツリーの最上位の)ドメインを追加する。こうして管理範囲であるフォレストの領域を広げていくわけだ。 ただし,既に構築されたドメインは,どのような形でも,既存のフォレストの一員にすることはできない。最初の方で「ドメインがまとまりドメイン・ツリーを構成し,ドメイン・ツリーがまとまりフォレストを構成する」と述べたが,これは概念を示しただけであり,実際の構築手順を示したものではないので注意してほしい。 フォレスト内の全ドメインは,同じスキーマ(ディレクトリ・データベースに格納できる情報の種類などを定義した情報)を持つ。また,フォレスト・ルート・ドメインには,「Enterprise Admins」という特別なユーザー・グループがあり,フォレスト内の全ドメインに対する管理権限を持つ。このように,同一フォレストかどうかはActive Directoryの構造を設計する上で非常に重要な意味を持つ。一方,同一ドメイン・ツリーにあるかどうかには,大きな意味はない。特にフォレスト・ルート・ドメインは,いったん構築すると,ドメイン構造の変更は一切できないので慎重に作業してほしい。
ドメイン階層を導入する理由を考える
「単一ツリーでの子ドメインの導入」 (1)の「複製トラフィックを抑制したい場合」というのは,たくさんのドメイン・コントローラ間の通信量を減らすのが目的の場合だ。Active Directoryデータベースは,同一ドメインの全ドメイン・コントローラで情報が共有されている。Windows NTと異なり,Active Directoryではどのドメイン・コントローラ上で修正を加えても構わない。これを「マルチマスター複製」と呼ぶ。加えた修正は他のドメイン・コントローラに順次転送される(図2)。手近なドメイン・コントローラで修正ができることと,1つがダウンしても他のドメイン・コントローラが引き継いでくれるという利点がある。 しかし,ドメイン・コントローラがたくさんあって,あちこちで修正があると,Active Directoryデータベースを複製するためのトラフィックが増え過ぎてしまう。例えば,子会社と親会社で組織同士の独立性が高いならば,全情報を複製するのは効率が悪く,ユーザー登録情報を常に同期する必要はあまりないだろう。このような場合に子会社を子ドメインとすれば,複製量を大幅に削減できる(図3 )。ただし,この場合でもスキーマの変更など,一部の情報は親子ドメイン間で複製される。
(2)の「異なるセキュリティ・ポリシーを実装したい場合」は,特にパスワード・ポリシーなどを組織ごとに変えたいケースである。Active Directoryは,ユーザー認証にKerberosという認証方式が使える。Kerberosでは,ユーザー管理を「レルム(Realm)」という単位で行う。レルムはKerberosの用語であるが,この場合Active Directoryのドメインと同じと考えていい。Active Directoryには,レルム単位だけで許可されている設定項目の1つに,パスワード・ポリシーがある。そのため,パスワード・ポリシーを変更したければ,別ドメインにしておく必要がある。例えば,研究所に勤務する研究員は一般社員よりも厳しいパスワード・ポリシーを実装したいこともあるだろう。このような場合は,研究所を別ドメインにしなければならない。 (3)の「管理権限を分離したい場合」は,管理者を事業所ごとに配置して,他の事業所には触らせないといったケースである。通常,あるドメイン管理者は,フォレスト内の別ドメインの管理権限を持たない。そのため,子ドメインを複数追加したとして,その子ドメインの管理者は,他の子ドメイン(兄弟ドメイン)の管理権限を持たない。こうして,異なる組織に合わせて,子ドメインの管理権限を分離できる。ただし,フォレスト・ルート・ドメインのEnterprise Adminsグループのメンバーは,フォレスト内の全ドメインを管理する権限を持つ。全社を管理するシステム部がEnterprise Adminsグループの権限を持ち,事業所のシステム担当者がドメイン管理者といった使い分けになる。 「追加ツリーによる複数ツリーの構築」 フォレスト内に複数のツリーを導入するのは,複数のDNSドメインを扱いたい場合に限られる。例えば,名前が異なっていても,関連会社として単一のフォレストで管理したい場合などである。追加ツリーは,最初に構成したツリーと何ら変わるところはない。ただ,最初に構成したツリーのルート・ドメインがフォレスト・ルート・ドメインになる点が違うだけである。複数ツリーを構成した場合,フォレスト・ルート・ドメインが見分けにくくなるなどの弊害があるため,特別な事情がない限りは使用しない方がよい。 |
初歩から理解するActive Directory (第3回)
論理構造を頭に描こう
あなたにお薦め
今日のピックアップ
-
Appleが発表したAR端末「Vision Pro」、アプリ開発者が感じた失望と期待
-
「食べログ」のChatGPTプラグインを提供したカカクコム、課題は開発よりも法務
-
アマゾン第2本社はペンタゴンの「近所」、米軍専用ハードなど軍事に傾斜するAWS
-
首都圏のデータセンターの稼働率が9割に、契約拒否や値上げがDX阻害となるリスク
-
気分は巨匠?キーワードで絵が描ける画像生成AIを試す
-
Final Cut ProのiPad版は買いか?端末を買い替えてまで使ってみた
-
いす取りゲームが大流行か、出社回帰に揺れるオフィス
-
起動しないパソコンからデータを救出、ストレージを取り外して別パソコンに接続
-
「同意なし」で利用できる医療データ拡大へ、目的制限などで保護する政府の新制度
-
国内スマホメーカー3社が相次ぎ撤退・破綻、残るシャープとソニーは大丈夫なのか
-
2023年5月に一般社員クラスの会員が読んだ記事ランキング
-
「写真」を撮るカメラでは、ソニーは“弱者”だった~元副会長石塚氏に聞く
注目記事
おすすめのセミナー
-
CIO養成講座 【第33期】
業種を問わず活用できる内容、また、幅広い年代・様々なキャリアを持つ男女ビジネスパーソンが参加し、...
-
部下との会話や会議・商談の精度を高める1on1実践講座
このセミナーには対話の精度を上げる演習が数多く散りばめられており、細かな認識差や誤解を解消して、...
-
目的思考のデータ活用術【第2期】
「ワンテーマだけでなくデータ活用のスタートから課題解決のゴールまで体系立てて学びたい」というニー...
-
生成AIを企業・組織で安全に利活用するための勘所
ChatGPTなど生成AIサービスを、自社・組織のスタッフに安全かつ積極的に活用させる立場の方を...
-
ITリーダー養成180日実践塾 【第13期】
8回のセミナーでリーダーに求められる“コアスキル”を身につけ、180日間に渡り、講師のサポートの...
-
IT法務リーダー養成講座
システム開発・運用に関するもめ事、紛争が後を絶ちません。それらの原因をたどっていくと、必ず契約上...
-
業務改革プロジェクトリーダー養成講座【第14期】
3日間の集中講義とワークショップで、事務改善と業務改革に必要な知識と手法が実践で即使えるノウハウ...
-
アンテナ設計で職人博士の極意を伝授
経験から得たアンテナ設計に必要な式や概念を絞り込み、基本的な線状アンテナと平面アンテナの設計方法...
注目のイベント
-
【6月15日】ITインフラの運用管理を合理化、最新ツールの実力を60分で学ぶ
2023年6月15日
-
Digital Foresight Summer 2023
2023年6月15日(木)、6月20日(火)、6月22日(木)、7月4日(火)、7月6日(木)、7月11日(火)、7月13日(木)、7月18日(火)、7月20日(木)、7月25日(火)、7月27日(木)8月1日(火)、8月3日(木)16:00~17:00(予定)
-
SX/DX/GX Summit
2023年6月22日(木)~23日(金)
-
ローコード・ノーコード/超高速開発 セミナー 2023
2023年 6月 22 日(木) 10:00~16:30
-
Digital Back Office Summit 2023 Summer
2023年6月27日(火)13:00~17:00
-
日経クロステックNEXT 名古屋 2023
6/28~6/29
-
サイバーインテリジェンス セキュリティマネジメントSummit 2023 Summer
2023年6月28日(水) 13:00~17:25(予定)、6月29日(木) 10:00~16:45(予定)
-
【6月28~29日】人々の移動を変革する新しい社会「モビリティ新時代」とは?
2023/6/28-2023/6/29
-
カスタマーエクスペリエンス2023
2023年6月30日 13:00~16:25(予定)
-
【6月23日】どうするEDI2024年問題、固定電話のIP網移行に伴う対策は?
2023年6月30日
おすすめの書籍
-
半導体立国ニッポンの逆襲 2030復活シナリオ
半導体業界の現在の姿、ラピダス設立の裏側にある日米の思惑、失敗続きの国家プロジェクトなどをひもと...
-
ぼく、SEやめて転職したほうがいいですか?
一夜に渡るシステムトラブル対応の物語を通じて、コンピューター業界で働く若手ビジネスマンが抱える様...
-
DX失敗学 なぜ成果を生まないのか
どうすればDXプロジェクトの失敗を避けられるか。失敗学を学んだ著者が独自に考案した手法で、様々な...
-
IT職場のトラブル対処 決定版
人手不足に悩み、働き方改革の必要性が問われるIT企業。ホワイト職場になるために解消すべき身近な職...
-
実践!ウェルビーイング 世界最強メソッド「ビジョン・ゼロ」
企業におけるウェルビーイングとは何かを解き明かし、ウェルビーイングを実践するための最強メソッドで...
-
サイゼリヤ元社長がおすすめする図々しさ リミティングビリーフ 自分の限界を破壊する
堀埜氏の幼少期から大学・大学院時代、最初の勤め先である味の素での破天荒な社員時代、サイゼリヤで数...