¶ AD概要と用語
¶ 📄 目次
🏗 階層構造
🌳 フォレスト
🏢 ドメイン
🔐 UPNサフィックス
🧱 OU
👤 オブジェクト
🖥 ドメインコントローラー
🌐 サイト
🌍 グローバルカタログ
🔁 レプリケーション
🌐 DNSとの関係
🔗 信頼関係
🌍 フォレスト間信頼
👑 FSMO
🧩 まとめ
¶ 📌 概要
Active Directory(AD)は、企業ネットワークにおける認証・認可を中心とした統合管理基盤である。
ユーザーやコンピューター、グループといったオブジェクトを一元管理し、それらに対するログオン認証やアクセス制御を提供する。
また、Active Directory は単独の機能ではなく、DNSによる名前解決、Kerberosによる認証、レプリケーションによるデータ同期など、複数の仕組みが連携して動作している。
🧠 イメージ
「会社のログイン・権限・情報をすべて管理する中枢システム」
¶ 🏗 階層構造
Active Directory はディレクトリサービスとして、階層構造で情報を管理する。
フォレストを最上位とし、その配下にドメイン、さらにその下にOUが配置される構造を持つ。
各階層は管理範囲や責任範囲を分離するために設計されている。
🧠 イメージ
「会社 → 部門 → 部署 → 個人という組織構造」
¶ 🌳 フォレスト
フォレストとは、Active Directory における最上位の論理単位であり、スキーマおよび構成情報を共有する境界である。
フォレスト内のすべてのドメインは同一のスキーマ(オブジェクト定義)を使用し、信頼関係が自動的に構成される。
一方で、フォレストが異なる場合はスキーマも独立しており、完全に別の認証基盤として扱われる。
また、フォレストはセキュリティ境界としても重要であり、通常はフォレスト間での管理権限は共有されない。
🧠 イメージ
「会社そのもの(別フォレスト=別会社)」
¶ 🏢 ドメイン
ドメインは、Active Directory における認証およびポリシー適用の基本単位である。
ユーザーはドメインに対してログオンを行い、そのドメインのポリシー(パスワードポリシーやアカウントロックアウトなど)が適用される。
また、コンピューターもドメインに参加することで、集中管理の対象となる。
ドメイン単位で管理されることが多く、実務上の基本的な管理単位となる。
🧠 イメージ
「ユーザーがログインする組織単位」
¶ 🔐 UPNサフィックス
UPN(User Principal Name)サフィックスとは、ユーザーのログオン名の「@以降の部分」を定義する仕組みである。
通常のログオン形式は以下の通り。
user@example.com
この「example.com」がUPNサフィックスに該当する。
UPNサフィックスはドメイン名と一致する必要はなく、任意の文字列を設定することができる。
ただし、認証自体は所属ドメインで行われるため、UPNはあくまでログオン名の表現を変更するための仕組みである。
🧠 イメージ
「ログインIDの見た目を整える仕組み」
¶ 🧱 OU
OU(Organizational Unit)は、ドメイン内でオブジェクトを整理するための管理単位である。
OUは主に以下の目的で使用される。
- グループポリシー(GPO)の適用単位
- 管理権限の委任
- 組織構造に応じたオブジェクト整理
OUはあくまで管理上の単位であり、セキュリティ境界ではない点に注意する必要がある。
🧠 イメージ
「部署フォルダ」
¶ 👤 オブジェクト
オブジェクトとは、Active Directory に登録される実体である。
代表的なオブジェクトには以下がある。
- ユーザー
- コンピューター
- グループ
- サービスアカウント
これらの情報は、ドメインコントローラー上のデータベースファイル(NTDS.dit)に保存される。
🧠 イメージ
「実際に管理されるデータそのもの」
¶ 🖥 ドメインコントローラー
ドメインコントローラー(DC)は、Active Directory のデータベースを保持し、認証処理を実行するサーバーである。
主な役割は以下の通り。
- Kerberosによる認証処理
- LDAPによるディレクトリアクセス
- オブジェクト情報の管理
- グループポリシーの配布
ユーザーがログオンする際、クライアントはDNSを使用してDCを特定し、認証要求を送信する。
🧠 イメージ
「ログインをチェックしているサーバー」
¶ 🌐 サイト
サイト(Site)は、ネットワーク構成を基にした論理的な単位である。
主に以下の目的で使用される。
- レプリケーションの最適化
- クライアントが最寄りのDCを選択するための基準
サイトはIPサブネット単位で定義され、物理的な拠点構成と密接に関連する。
🧠 イメージ
「東京・大阪などの拠点単位」
¶ 🌍 グローバルカタログ
グローバルカタログ(GC)は、フォレスト全体のオブジェクト情報の一部を保持する仕組みである。
GCは以下の用途で使用される。
- ユーザー検索
- ログオン時の認証補助
特にフォレスト内での横断的な検索やログオン処理において重要な役割を持つ。
🧠 イメージ
「全社員の一覧が載っている検索台帳」
¶ 🔁 レプリケーション
レプリケーションとは、複数のドメインコントローラー間でディレクトリ情報を同期する仕組みである。
Active Directory はマルチマスター方式を採用しており、すべてのDCで更新が可能である。
そのため、変更内容は他のDCへ自動的に複製され、整合性が保たれる。
🧠 イメージ
「データが自動でコピーされる仕組み」
¶ 🌐 DNSとの関係
Active Directory は DNS に強く依存している。
主な役割は以下の通り。
- ドメインコントローラーの探索(SRVレコード)
- 名前解決
DNSが正常に動作しない場合、クライアントはDCを特定できず、ログオンが失敗する。
🧠 イメージ
「DCの場所(住所)を教える仕組み」
¶ 🔗 信頼関係
信頼関係(Trust)は、異なるドメイン間で認証を可能にする仕組みである。
主に以下の種類がある。
- 片方向信頼
- 双方向信頼
信頼関係により、別ドメインのユーザーでもリソースへアクセスできるようになる。
🧠 イメージ
「別の組織の人にログインを許可する」
¶ 🌍 フォレスト間信頼
フォレスト間信頼は、異なるフォレスト間で認証を可能にする仕組みである。
企業合併やグループ会社間の連携などで利用される。
🧠 イメージ
「会社同士の連携」
¶ 👑 FSMO
FSMO(Flexible Single Master Operations)は、特定のドメインコントローラーのみが担当する役割である。
Active Directory はマルチマスター方式であるが、一部の操作は単一のDCでのみ実行される必要がある。
代表的な役割:
- スキーママスター
- ドメインネーミングマスター
- PDCエミュレーター
🧠 イメージ
「特定の役割を持つ責任者サーバー」
¶ 🧩 まとめ
Active Directory は以下の要素で構成される。
- 構造(フォレスト / ドメイン / OU)
- 認証(Kerberos)
- 同期(レプリケーション)
- 名前解決(DNS)
- 連携(Trust)
これらをセットで理解することで、設計・運用・トラブル対応が可能となる。
🧠 イメージ
「会社のIT基盤の中核」