今回はActive Directoryに出てくる様々な論理構造について勉強しよう。Active Directoryというと,様々な概念が階層構造を成して,なにやら複雑な印象を受ける。元々,複雑な管理対象を,スッキリ管理するために階層構造を導入しているのだが,逆に高度な機能を無理に使おうとして,現実のシステムを複雑に考えてしまうのだ。 Active Directoryの運用は,2段階のステップに分けて考えるといいだろう。最初のステップは,Windows NTドメインと同じような単なるユーザー認証機能だけの運用形態であり,2番目のステップがActive Directory固有の階層構造を利用した運用形態である。 Active Directoryの登場当初は,Active Directoryの優位性を強調するあまり,最初のステップであるWindows NTと同様の(単純な)管理形態については語られることが少なかったように思う。しかし,実際には,Windows NTと同様,ドメイン全体をひとまとめにして,階層を作らないという選択肢もある。今回は,Active Directory固有の論理構造を紹介するが,必ずしも作らなくてもよい構造も含まれる。あくまで,惑わされないための勉強である。Active Directoryの機能を十分に知るためにも,階層構造の概要だけはぜひ理解しておいてほしい。
Active Directoryの管理単位はドメインだけでない このような大規模なドメインをサポートできるようになった結果,単一の組織で複数ドメインを構築する必然性はなくなった。さらに,管理権限を部門に委任するために,ドメイン内部をより細かな単位「組織単位(OU:Organizational Unit)」に分割し,階層管理できるようになった。OUは使っても使わなくても構わないが,大規模なドメインを管理するには必須の機能である。 さらに(ユーザー数の問題ではなく,その他の管理上の問題で),ドメインを分割したい場合に備え,「ツリー」や「フォレスト」といった,ドメイン間階層を作成できる。 このように,Active Directoryでは,ドメイン内とドメイン間の両方に階層管理の概念を導入した。大規模な情報を管理する基本は,階層構造なのである。
ドメイン間の階層を形成するドメイン・ツリーとフォレスト
ドメイン同士がお互いに関係して“木”や“森”を形作るというのは,どういう関係なのかというと,まず,ドメイン・ツリーを構成するドメインは,前回解説したDNS名前空間が連続していなければならない。一方,フォレストを構成するドメイン・ツリー同士には,DNS名前空間の制限はない。その結果,一般にフォレストは( 図1のような構成になる。フォレストは,Active Directoryの管理権限が及ぶ最も大きな範囲である。 フォレストは1つ以上のドメイン・ツリーで構成される。つまり,複数のドメイン・ツリーで構成されることもあれば,1つのドメイン・ツリーでも1つのフォレストになり得るということだ。さらに,ドメイン・ツリー内には1つ以上の「ドメイン」が含まれる。つまりこれもまた,1つのドメインだけで1つのドメイン・ツリーになる。ということは,1つのドメインだけしかなければ,それは1つのドメイン・ツリー,1つのフォレストとみなせる。既に述べた通り,単一ドメインでもツリーを構成するとみなすが,実際には親ドメインと子ドメインが存在する場合を「ドメイン・ツリー」と呼ぶことが多い。 実際には,最初のドメイン・コントローラ(Active Directoryデータベースを保持するコンピュータ)が構成したドメインは,最初のフォレストを構成するとともに,最初のドメイン・ツリーでもある。このドメインを「フォレスト・ルート・ドメイン」と呼ぶ。 ドメイン・ツリーを大きく(枝を伸ばす)場合は,子ドメインを追加する。また,ドメイン・ツリー自体を追加する場合は,2つ目のドメイン・ツリーのもととなる(ドメイン・ツリーの最上位の)ドメインを追加する。こうして管理範囲であるフォレストの領域を広げていくわけだ。 ただし,既に構築されたドメインは,どのような形でも,既存のフォレストの一員にすることはできない。最初の方で「ドメインがまとまりドメイン・ツリーを構成し,ドメイン・ツリーがまとまりフォレストを構成する」と述べたが,これは概念を示しただけであり,実際の構築手順を示したものではないので注意してほしい。 フォレスト内の全ドメインは,同じスキーマ(ディレクトリ・データベースに格納できる情報の種類などを定義した情報)を持つ。また,フォレスト・ルート・ドメインには,「Enterprise Admins」という特別なユーザー・グループがあり,フォレスト内の全ドメインに対する管理権限を持つ。このように,同一フォレストかどうかはActive Directoryの構造を設計する上で非常に重要な意味を持つ。一方,同一ドメイン・ツリーにあるかどうかには,大きな意味はない。特にフォレスト・ルート・ドメインは,いったん構築すると,ドメイン構造の変更は一切できないので慎重に作業してほしい。
ドメイン階層を導入する理由を考える
「単一ツリーでの子ドメインの導入」 (1)の「複製トラフィックを抑制したい場合」というのは,たくさんのドメイン・コントローラ間の通信量を減らすのが目的の場合だ。Active Directoryデータベースは,同一ドメインの全ドメイン・コントローラで情報が共有されている。Windows NTと異なり,Active Directoryではどのドメイン・コントローラ上で修正を加えても構わない。これを「マルチマスター複製」と呼ぶ。加えた修正は他のドメイン・コントローラに順次転送される(図2)。手近なドメイン・コントローラで修正ができることと,1つがダウンしても他のドメイン・コントローラが引き継いでくれるという利点がある。 しかし,ドメイン・コントローラがたくさんあって,あちこちで修正があると,Active Directoryデータベースを複製するためのトラフィックが増え過ぎてしまう。例えば,子会社と親会社で組織同士の独立性が高いならば,全情報を複製するのは効率が悪く,ユーザー登録情報を常に同期する必要はあまりないだろう。このような場合に子会社を子ドメインとすれば,複製量を大幅に削減できる(図3 )。ただし,この場合でもスキーマの変更など,一部の情報は親子ドメイン間で複製される。
(2)の「異なるセキュリティ・ポリシーを実装したい場合」は,特にパスワード・ポリシーなどを組織ごとに変えたいケースである。Active Directoryは,ユーザー認証にKerberosという認証方式が使える。Kerberosでは,ユーザー管理を「レルム(Realm)」という単位で行う。レルムはKerberosの用語であるが,この場合Active Directoryのドメインと同じと考えていい。Active Directoryには,レルム単位だけで許可されている設定項目の1つに,パスワード・ポリシーがある。そのため,パスワード・ポリシーを変更したければ,別ドメインにしておく必要がある。例えば,研究所に勤務する研究員は一般社員よりも厳しいパスワード・ポリシーを実装したいこともあるだろう。このような場合は,研究所を別ドメインにしなければならない。 (3)の「管理権限を分離したい場合」は,管理者を事業所ごとに配置して,他の事業所には触らせないといったケースである。通常,あるドメイン管理者は,フォレスト内の別ドメインの管理権限を持たない。そのため,子ドメインを複数追加したとして,その子ドメインの管理者は,他の子ドメイン(兄弟ドメイン)の管理権限を持たない。こうして,異なる組織に合わせて,子ドメインの管理権限を分離できる。ただし,フォレスト・ルート・ドメインのEnterprise Adminsグループのメンバーは,フォレスト内の全ドメインを管理する権限を持つ。全社を管理するシステム部がEnterprise Adminsグループの権限を持ち,事業所のシステム担当者がドメイン管理者といった使い分けになる。 「追加ツリーによる複数ツリーの構築」 フォレスト内に複数のツリーを導入するのは,複数のDNSドメインを扱いたい場合に限られる。例えば,名前が異なっていても,関連会社として単一のフォレストで管理したい場合などである。追加ツリーは,最初に構成したツリーと何ら変わるところはない。ただ,最初に構成したツリーのルート・ドメインがフォレスト・ルート・ドメインになる点が違うだけである。複数ツリーを構成した場合,フォレスト・ルート・ドメインが見分けにくくなるなどの弊害があるため,特別な事情がない限りは使用しない方がよい。 |
初歩から理解するActive Directory (第3回)
論理構造を頭に描こう
あなたにお薦め
今日のピックアップ
-
開庁1年で3人目のデジタル大臣に河野太郎氏、国家公務員制度改革などを兼任
-
政令市の4割が委託先調査に乗り出す、尼崎市のUSBメモリー紛失に危機感
-
グーグルAIの学習データが画像40億枚に、巨大テック企業による寡占化の懸念再び
-
固定電話の通信局舎をDCとして活用、NTT東西の地域密着型クラウドとは
-
AWSの全資格を取得した基盤エンジニア、「突き詰める力」で道を切り開く
-
新システムにマイクロサービスを適用すべきか、JCBの判断基準とは
-
KDDIの通信障害の全容が判明、大規模化・長期化を招いた本当の理由
-
ゼロトラストの新機軸、アカマイが参入する「マイクロセグメンテーション」の威力
-
間違ってつないだら最悪発火する、USBの変換アダプターの使用には要注意
-
システムの障害部位を切り離してレジリエンスを高める「サーキットブレーカー」
-
英チャレンジャーバンクに学ぶ銀行免許の在り方、「公共財」を革新に生かせるか
-
最大9.6Gビット/秒の「Wi-Fi 6」、高速無線LANを実現する3つの技術
注目記事
おすすめのセミナー
-
CIO養成講座 【第31期】
業種を問わず活用できる内容、また、幅広い年代・様々なキャリアを持つ男女ビジネスパーソンが参加し、...
-
ITリーダー養成180日実践塾 【第12期】
8回のセミナーでリーダーに求められる“コアスキル”を身につけ、180日間に渡り、講師のサポートの...
-
業務改革プロジェクトリーダー養成講座【第12期】
3日間の集中講義とワークショップで、事務改善と業務改革に必要な知識と手法が実践で即使えるノウハウ...
-
ITベンダーのためのCIO養成講座【第1期】
ITとデジタル技術の活用に関するグローバルスタンダードと先進事例の研究成果、講師の実務知見を体系...
-
課題解決のためのデータ分析入門
要求レベルの高い役員陣に数々の企画、提案をうなずかせた分析によるストーリー作りの秘訣を伝授!”分...
-
オンライン版「なぜなぜ分析」演習付きセミナー実践編
このセミナーでは「抜け・漏れ」と「論理的飛躍」の無い再発防止策を推進できる現場に必須の人材を育成...
-
ITアーキテクト養成講座:第13期
システム開発で一般的な「V字開発モデル」に沿って、上流工程から順を追ってITアーキテクトのタスク...
-
新事業創出リーダー研修
事業創造を牽引するリーダーに必要な知識・手法をお伝えします。具体的には顧客の洞察から事業機会を発...
注目のイベント
-
都道府県CIOフォーラム(年次総会)
2022年8月下旬
-
CEDEC2022
2022年8月23日(火)~25日(木)
-
IT Japan 2022
2022年8月24日(水)~8月26日(金)
-
情報セキュリティ戦略セミナー2022
2022年9月6日(火)~7日(水)
-
ITイノベーターズ会議「サービス強化とCX向上に効くデジタル戦略②(仮)」
2022年9月9日(金)
-
DTTF(Digital Twin&Transformation Forum)2022 IoT/AI/VRで切り拓く10年後のビジネスモデル
2022年9月中旬
-
Next Working Style Day
2022年9月11日(日)~20日(火)
-
日経SDGs/ESG会議
2022年9月13日(火)
-
東京ゲームショウ2022
2022年9月15日(木)~18日(日)
-
ジェンダーギャップ会議
2022年9月16日(金)
おすすめの書籍
-
Web3新世紀 デジタル経済圏の新たなフロンティア
テックジャイアントのいない世界、Web3リーダーが描く未来をお見せしよう。 「Web3とは何か?これから何が起きるのか?」。このような疑問を抱いているなら、本書が一定の解を示してくれるでしょう。ただ、Web3は現在進行形であり、変化のスピードは速いので、未来を見通すのはなかなか難しいと思います。だからこそ本書では、トップランナーたちのインタビューを通して、「これから何が起きるのか?」を読み解いています。
-
闘病した医師からの提言 iPadがあなたの生活をより良くする
困っている障がい者・認知症・高齢者のためのアクセシビリティ活用術
-
“未”顧客理解 なぜ、「買ってくれる人=顧客」しか見ないのか?
「買わない人」から目を背けるのは、もう止めませんか?ビジネスでは買う人=顧客が大事にされますが、...
-
さわって学べるPower Platform ローコードアプリ開発ガイド
体験こそ習得の近道!マイクロソフトのローコード開発ツール「Power Platform」に含まれ...
-
これ1冊で丸わかり 完全図解 ネットワーク管理入門
日経NETWORKに掲載したネットワーク管理に関連する主要な記事をまとめた1冊です。文章を読むだ...
-
Web世代が知らないエンタープライズシステム設計
本書は長年の経験を持つプロたちが、データモデリングの知見を中心に16の視点から、実践的なシステム...
日経BOOKプラスの新着記事
日経クロステック Special
What's New
経営
- クリニック向け営業を変革する新サービス
- 【動画解説】DX推進でビジネスを変革
- 人的資本投資の現状や課題をLIVEで議論
- 千代田区が描く「自治体DX」の理想像とは
- 非IT人財を巻き込んだDX戦略の実現法
- 富士通が目指す「心の豊かな」社会とは
- DXで業務効率化は目指すな≫その理由は?
- 今注目すべき「スーパーパワーズ」≫詳細
- 誰ひとり取り残されないデジタル化の要諦
- 旭化成、サッポロビール≫AI活用最新事例
- キンドリルとマイクロソフトが協業を強化
- 「改革支援メニュー」で課題ごとに対応
- コンテナ特有の攻撃リスクと対処法とは?
- 【先進事例紹介】DXを迅速化する必須技術
- コンテナ監視の落とし穴を回避するには?