3. ActiveDirectory
3.1. Active Directoryの概要
3.1.1. ディレクトリサービス
ディレクトリサービスはネットワーク上に存在する様々なリソースや情報を一元管理し検索できるようにするためのサービスのことを指す。 ネットワーク上に存在するユーザ、グループ、マシン、プリンタ、共有ストレージなどオブジェクトの情報を管理する仕組みともいえる。
この機能によりデータやリソースがどのサービスで管理されているか考える必要なく利用ができる。
3.1.2. Active Directory
Active DirectoryはWindows Serverの機能として提供されるディレクトリサービスのこと。 ネットワーク上に存在するサーバ/クライアント、プリンタなどのハードウェア、それを利用するユーザ情報やアクセス権をADが持つデータベースに登録し一元管理できる。
ADではKeroberos認証というWindowsの最新バージョンのデフォルトの認証プロトコルを用いて、サーバにアクセスしたユーザとパスワードをデータベースと照合しアクセス権を与える認証と承認のプロセスを実行する。
またGPOと呼ばれる機能を用いてドメインネットワーク内のコンピュータ設定情報を定義しディレクトリに登録されたコンピュータに配布することができ、セキュリティの一元管理も行える。
3.2. Active Directoryの構造
3.2.1. ADのネットワーク範囲
Active Directoryのネットワーク範囲は物理構成に依存しない論理的領域として扱われる。 つまりADの影響範囲に登録すればネットワークの垣根(LAN構成)を超えてADネットワークの範囲で扱うことが可能となる。
3.2.2. ドメイン
ドメインはADの基本単位のことでユーザ/コンピュータを管理するディレクトリデータベースを共有する範囲のこと。 同じドメインに所属するすべてのサーバはそのドメインのユーザやコンピュータを識別し、サーバが提供するサービスを提供することができる。
ドメイン名
ADで使用するドメイン名はDNSのドメイン名に準拠し、DNSの命名規則に従いADドメインを割り当てる。
3.2.3. ドメインコントローラ
ドメインコントローラはADのディレクトリデータベースを管理するサーバのこと。 ADドメインサービスを構築する場合、最低1つのドメインコントローラがドメインネットワーク上に必要となる。
3.2.3. ドメインの信頼関係
ドメインの信頼関係は同組織に複数のドメインが存在する場合に、異なるドメインのユーザ/グループにもアクセス許可を設定したい際に結ぶ関係のこと。 信頼関係の概念には「信頼する側」と「信頼される側」があり、一方的な信頼関係御構築できる。 双方向で信頼関係を結ぶことで互いのユーザに対しアクセス許可もできる。
3.2.4. ドメインツリー
ドメインツリーは親ドメインの名前を継承した子ドメイン、孫ドメインといった名前空間を共有したADドメインの階層のこと。 ドメインツリーの構成のメリットは大規模のドメインネットワーク管理簡素化できる点にある。
またドメインツリーに参加しているドメイン間では双方向の信頼関係が結ばれる。
3.2.5. フォレスト
フォレストは1つ以上のドメインで構成されたADにおける最大管理単位のこと。 ドメインは必ずフォレストに所属する必要がある。
組織内に異なるルートドメインを持つドメインツリーが複数あり、それぞれのドメインツリーから他のドメインツリーにアクセスする際にアクセスできるようにすることが可能。 つまり同じフォレストにあるドメインツリーは互いに双方向の信頼関係が結ばれる。
3.2.6. サイト
サイトは組織内の物理的なネットワークにおける管理単位のこと。 複数の拠点に分かれたネットワークにドメインネットワークが存在する場合、拠点ごとにサイトを定義することでディレクトリデータベースの複製/認証トラフィックを最適化できる。
各サイトでは高速安定した通信が可能な1つのネットワーク解いて構成し、一般的にはLAN回線で構成されたネットワーク構成を1サイトとすることが多い。
認証トラフィック
認証トラフィックはログオン認証時に同一サイトのドメインコントローラを優先して使用するネットワークトラフィックのこと。
複製トラフィック
他サイトへのディレクトリデータベース複製の間隔を広く取り、他のネットワークトラフィックへの影響を最小限にするネットワークトラフィック。
3.3. Active Directoryの構成と機能
ADには様々な構成と機能があり、Active Directory管理センタというツールで管理を行える。
3.3.1. Active Directoryオブジェクト
ADオブジェクトはActive Directoryで管理できる情報の最小単位のこと。 オブジェクトにはプロパティと呼ばれる属性がいくつか定義されており、関連付けられた情報をまとめて扱うことができる。 例えば以下のようなものがある。
- ユーザ名
- 氏名
- 部署
- 役職
- 電話番号
オブジェクトにはOU(組織単位)とコンテナオブジェクトと呼ばれる他のオブジェクトを入れ子にできるものが存在する。
項目 | コンテナオブジェクト | OU |
---|---|---|
種類 | Users,Computersなどがある | |
特徴 | 新たに作成が行えない | 新たに作成でき、階層構造を構成できる |
GPOの適用 | 不可 | 可能 |
コンテナオブジェクトの種類
種類 | 説明 |
---|---|
User | リソースに対する権限を割り当てることができる(People, Serviceの2種類) |
Machine | 通常のユーザーと同様にアカウントが割り当てれる |
Security Group | ファイルやその他のリソースへのアクセス権を設定できる |
OU
OUは同様のポリシング要件を持つユーザーのセットを定義するために使用できるオブジェクトのこと。 なおユーザーは一度に1つのOUのメンバーになることしかできない。
デフォルトではドメインコントローラがOUとなる。 また特徴は以下の通り。
- 管理者が自由に作成可能
- グループポリシーをリンクできる
- 下位にOUを作成して階層構造にできる
- 特定のユーザ/グループに管理を委任できる
3.3.2. Active Directoryスキーマ
ADスキーマはActive Directoryのディレクトリデータベースを定義したもののこと。 スキーマにはコンピュータ、ユーザ/グループ、プリンタなどのADに格納されるオブジェクトテンプレートが含まれる。
なおADでは同一フォレスト上に1つのスキーマセットしか維持できない特徴がある。 ADオブジェクトはADスキーマで定義されるクラスをベースに生成される。
3.3.3. グローバルカタログ(GC)
グローバルカタログはフォレスト内の全オブジェクトから頻繁に参照される属性情報を抽出したものでADスキーマにより定義される。
グローバルカタログサーバ
グローバルカタログサーバはグローバルカタログを保持するサーバのこと。 ログオフ時の所属するグループの確認/オブジェクト検索に使用され、フォレスト内の全ドメインにまたがるオブジェクトの情報を保持する。
またADを構築した場合、デフォルトでは最初に生成されたフォレストのドメインコントローラがグローバルカタログサーバとして構築されるが、規模が大きい場合は耐障害性を持たせるため複数のグローバルカタログサーバを別で用意することが推奨される。
3.3.4. 操作マスタ(FSMO)
操作マスタはドメインコントローラの1つで複数のドメインコントローラで処理すると不都合が発生する処理や効率の悪い処理を専任で行うドメインコントローラのこと。 これは同一ドメイン内のドメインコントローラは同一データベースを共有/保持し同等の役割を持つが、整合性を維持するためにFSMOを設けるというわけになる。
操作マスタが担う役割は以下の5つ。
- スキーママスタ
- フォレストにおいてADデータベーススキーマの変更を担う
- ドメイン名前付けマスタ
- フォレストに対しドメインの追加/削除を担う
- RIDマスタ
- DCはユーザ/グループを作成時にSIDを割り当てるがRIDマスタはSIDの再割り当てを行う
- PDCエミュレータ
- パスワードの変更管理/グループポリシ管理の役割を担う
- Windows NT時代のPDCの代用
- インフラストラクチャマスタ
- ドメイン内でユーザやグループといったオブジェクトの変更処理を担う
3.3.5. 読み取り専用ドメインコントローラ(RODC)
読み取り専用ドメインコントローラは読み取り権限のみを付与したドメインコントローラのこと。 読み取り専用ドメインコントローラを設置するケースは本部と支部が物理的に距離がある場合にその拠点に管理者が不在の場合に設置することが多い。
3.3.6. 異なるバージョンのWindows Serverが混在する場合のAD管理
Active Direcoryの機能レベル
異なるバージョンのWindows Serverが混在してADを構築する場合、フォレストやドメインに対し機能レベルを設定することで全体で利用可能な機能を統一し、AD/サーバの動作を統一できる。
Windows Server 2022には「ドメイン機能レベル」「フォレスト機能レベル」があり、Windows Server 2016の機能レベルが設定できる最上位の機能レベルとなる。 2022の場合は以下の5つのバージョンに機能レベルが対応している。
- Windows Server 2008/2008 R2
- Windows Server 2012/2012 R2
- Windows Server 2016
3.4. Active Directoryのユーザ/グループ
3.4.1. ドメインユーザアカウント
ドメインユーザアカウントはドメインコントローラ上で作成/管理されるユーザアカウントのこと。 ドメインを使用したログインではコンピュータ別々で保持するローカルユーザは使用しないのが基本となる。
3.4.2. グループ
ADにおけるグループは複数のオブジェクトをメンバとしてまとめたオブジェクトを指す。 これは特定の共有フォルダにアクセス権を与える場合などに、個々のユーザに設定するのではなくグループに設定することで、管理を容易化できるというものである。
なおドメインで使用するグループはドメインコントローラ上で作成/管理する。
グループの種類
- セキュリティグループ
- リソースへのアクセス権を割り当てるためのグループ
- 配布グループ
- 電子メールアプリを使用してメンバに電子メールを送信する配布リストとして使用するグループ
セキュリティグループのスコープの種類
セキュリティグループにはスコープと呼ばれる適用範囲があり、以下の種類が存在する。
- ドメインローカル
- セキュリティグループを作成したドメイン内のリソースに対するアクセス許可を指定できる
- グローバル
- フォレスト内のリソースに対するアクセス許可を指定するために使用できる
- グループと同じドメイン内のオブジェクトをメンバとして追加できる
- ユニバーサル
- フォレスト内のリソースに対するアクセス許可を指定するために使用できる
- フォレスト内のオブジェクトをメンバとして追加できる
3.4.3. ユーザプロファイル
ユーザプロファイルはユーザごとのデスクトップ環境をひとまとまりにしたもの。 ユーザが作成したファイル/フォルダ、アプリの設定などが含まれる。
ユーザプロファイルの種類
- ローカルユーザプロファイル
- コンピュータ内のデータ領域に保存
- 設定を行ったコンピュータのみにプロファイル情報が適用される
- ドメインユーザプロファイル
- 固定ユーザプロファイル
- ユーザ/グループ全体共通の設定を行うためのプロファイル
- 移動ユーザープロファイル
- ドメイン内のどのコンピュータを使用してもプロファイルを利用できる
- サーバ上に保存
- 固定ユーザプロファイル
- 一時ユーザプロファイル
- ユーザプロファイルが読み込めないときなどに使用される一時ユーザプロファイル
- 各セッション終了時に削除される
3.4.4. 既定のユーザ/セキュリティグループ
既定のユーザ
既定のユーザはADのインストール/設定を行い、ドメインが作成されるときに自動生成される組み込みのユーザアカウントのこと。 既定のユーザはドメインのUsersコンテナに格納される。
- Administrator
- ドメインのフルコントロール権限を持つ
- 全ユーザに対し権限割り当てが可能
- Guest
- ドメイン上にアカウントを持たない利用者などが一時使用できるアカウント
- 既定では無効になっている(匿名アクセスを許可してしまうため)
既定のセキュリティグループ
既定のセキュリティグループはADのインストール/設定を行い、ドメインが作成されるときに自動生成される組み込みのセキュリティグループのこと。 既定のセキュリティグループはドメインのUsersコンテナに格納されるものとBuiltinsコンテナに格納されるものがある。
- 「Buildtins」コンテナのグループ
- Administartors
- ドメインのフルコントロール権限を持つ
- 全ユーザに対し権限割り当てが可能
- Account Operators
- ドメインのアカウント管理権限を持つ
- Server Operators
- ドメインコントロールの管理権限を持つ
- 共有リソースの作成削除、サービスの停止開始、ファイルのバックアップ、システムシャットダウンなどができる
- Users
- アプリケーションの実行、ネットワーク/プリンタの使用など通常作業が行える
- Guests
- Usersと同様の権限を持つ
- Administartors
- 「Users」コンテナのグループ
- Domain Admins
- ドメインのフルコントロール権を持つ
- デフォルトでAdministratorが所属している
- Enterprise Admins
- フォレスト内のルートドメインのみに存在
- フォレスト内の全ドメインに対するフルコントロール権を持つ
- デフォルトでフォレスト内のルートドメインのAdministratorのみが所属している
- Schema Admins
- フォレスト内のルートドメインのみに存在
- ADのスキーマの変更権限を持つ
- デフォルトでフォレスト内のルートドメインのAdministratorのみが所属している
- Domain Computers
- ドメインコントローラ以外のドメインに参加している全コンピュータ(サーバ含む)が参加できるグループ
- ドメインに登録されたコンピュータは全部自動的にここに入る
- Domain Users
- ドメインの一般ユーザが所属するグループ
- ADに追加されたユーザアカウントは自動的にここに入る
- Domain Guests
- Guestが所属するグループ
- Key Admins
- ドメイン内のオブジェクトのキー情報を管理する権限が付与
- Enterprise Key Admins
- フォレスト内のオブジェクトのキー情報を管理する権限が付与
- Domain Admins
3.5. Active Directoryのコンポーネント
3.5.1. Active Directory証明書サービス(AD CS)
ADはプライベート認証局(CA)として機能を持たせることが可能で、AD DSと連携してエンタープライズCAとして構築できる。 エンタープライズCAのインストールにはDomain Adminsのグループメンバーである必要がある。
AD CSで構築した認証局は以下のタスクを実行できる。
- 証明書の発行
- 証明書が不正でないか確認
- 失効した証明書の管理
3.5.2. Active Directoryフェデレーションサービス(AD FS)
AD FSでは通常のADを利用しているときと同じように、最初のログオンのみで外部サービスへアクセスできる。
3.5.3. Active Directoryライトウェイトディレクトリサービス(AD LDS)
AD LDSはAD DSに依存することなくディレクトリ対応アプリをサポートするサービス。 なおプロトコルはLDAPを使用する。
3.5.4. Active Directoryライトマネジメントサービス(AD RMS)
AD RMSはWord,Excelなどのオフィスドキュメントや電子メールを保護する機能を提供するサービス。 これにより許可されたユーザのみがドキュメントを利用することができる。
3.6. ドメインコントローラのバックアップ/リストア
3.6.1. バックアップ
ADのバックアップは「サーバーマネージャーの役割と機能」=>「Windows Server バックアップ」で設定できる。 なお、ADのバックアップ有効期限は規定では180日になっている。
3.6.2. リストア(復元)
ADのリストアには「ディレクトリ復元モード」でドメインコントローラにログオンする必要がある。 ログオン後リストアするには以下方法が使用できる。
非Authoritative Restore
データベースが破損した場合などに使用される一般的なリストア方法。
Authoritative Restore
削除されたオブジェクトを復元する際に使用される。