Active Directoryとは。概要や必要性を解説します！

企業では、吸収合併や業務提携などにより組織が大きくなるほど、社員数は増加し、管理対象のパソコン、サーバー、プリンターなどの機器も増加します。

管理対象の機器やその機器を使用するユーザー数が多くなれば、端末や利用者のIDなどのログイン情報、利用者ごとの権限管理、アクセスポリシーなどの管理が煩雑になります。

その結果、システム管理者は「パスワードの問い合わせ」や「機器の状態確認」などの対応で手一杯になってしまいます。

こうした問題を解決する方法として、組織でよく使われるのがActive Directory（アクティブディレクトリ）です。

今回は、このActive Directoryについて解説します。

Active Directoryとは

パソコンなどコンピュータ端末の管理、そしてユーザーの管理とアクセス権限の管理を行うための仕組みとして広く利用されているActive Directory。

まずは、Active Directoryの概要について見ていきましょう。

Active Directoryの概要

企業には、総務や経理といったバックオフィスから、営業や開発といったフロントオフィスまでさまざまな部署があります。

各部署には、業務を遂行するために必要な権限（機器を使用する権限など）が与えられています。

Active Directoryを簡単に説明すると、組織の階層構造をコンピューターの管理に当てはめたものと言えます。

Active Directoryは、一般的に「ディレクトリサービス」と呼ばれるサービスの一種です。

ネットワーク上に存在するコンピューター端末や、機器を使用するユーザーを一元管理するための機能を提供しています。

Windows Server 2000からWindows Serverに標準搭載されたサービスであり、基本的にはコストが発生しないことが特徴です。

Directory（ディレクトリ）とは

Active Directoryの詳細を説明する前に、まずはディレクトリの定義を確認しましょう。

ディレクトリとは、電話帳や住所録などの何らかの名簿を指す言葉です。

ITの文脈では、ファイルの整理や管理を行うためのフォルダ構造などを指します。

一般的にみなさんが使用する住所録を広げてみても、実際の家が並んでいるわけではなく、住所が文字列で記載されているだけですよね。

同様に、PCの各フォルダもストレージ内のデータの保存場所を示しているだけで、フォルダ内に直接データが入っているわけではありません。

Active Directoryは、上記のようなディレクトリの仕組みを用いて、企業が保有する人や情報などの「資源」を管理するための機能を提供します。

Active Directoryの仕組みや機能

コンピュータやユーザーを一元的に管理できるActive Directoryは、どういった仕組みになっているのでしょうか。

ドメインコントローラーと管理の仕組み

Active Directoryがインストールされたサーバーのことをドメインコントローラー（DC）と呼びます。

端末やユーザーアカウントの管理は、すべてこのドメインコントローラーと呼ばれるサーバー上で行います。

ドメインコントローラーは、「コンピューター端末」「ユーザーアカウント」をグループなどの階層構造（ドメイン）で管理するものです。

具体的には、各PCを利用するユーザー、各部署の保有する権限と所属するユーザーといった、情報や人などの資源の関係性を保持しています。

そして、それぞれの階層にはアクセス権限やセキュリティなどの規定（ポリシー）が適用されます。

各ユーザーがユーザーIDとパスワードを入力すると、ドメインコントローラーはログイン情報からユーザーを識別して認証します。

認証されたユーザーは、権限の範囲内の機器やシステムなどに自由にアクセスできるようになり、ログイン不要で利用できます。

たとえば、営業部が事務所内のプリンターを使用する権限を保有しているとします。

営業部のメンバーは、Active Directoryに一度ログインするだけで、プリンターにも自由にアクセスできるようになります。

また、システム管理者は、ドメインコントローラーによって各パソコンへのソフトの更新などを一括で遠隔から行うことができます。

Active Directoryの仕組みを図示すると、以下のようになります。

※OU（Organizational Unit）：組織を何らかの基準に基づいて分割した部門や部署、グループなどのこと

機能

Active Directoryの持つ機能をまとめると、下記のようになります。

• • • 機器やアカウント、パスワードの管理
    • アクセス権の管理
    • ポリシーの設定
    • USBメモリなど接続媒体の管理
      など

ドメインツリーとフォレストとは

あなたが、Aという企業の各部署の権限について、Active Directoryを設定・運用しているとします。

Aが子会社を設立する、別会社と合併するとなった場合、どのように設定を更新すればよいでしょうか。

このような時に使われるのが、ドメインツリーとフォレストです。

ドメインツリー

ドメインツリーとは、ドメインを分けて管理する仕組みのことです。

たとえば、Aという企業が、子会社Bを設立したとします。

このような場合、AとBのリソースを合算すると膨大になってしまうため、企業ごとにリソースを分けて管理することが一般的です。

Active Directoryでは、親会社Aのドメイン（＝親ドメイン）から、子会社Bのドメイン（＝子ドメイン）を作成することで、お互いのドメインにアクセスできるようになります。

もしドメインツリーを利用しなければ、別ドメインへのアクセスの度に管理者にアカウントを作成してもらう必要があり、ユーザーも管理者も不便な思いをすることになります。

ドメインツリーを設定することで、リソースの共有を円滑に行えます。

フォレスト

フォレストとは、ドメインツリー同士を結び付ける仕組みのことです。

たとえば、Aという企業が、Cという企業と業務提携を結ぶとします。

AもCもActive Directoryを導入している場合、それぞれのドメインツリーをフォレストとしてまとめることで、フォレスト内のドメインにアクセスできるようになります。

このように、フォレストを設定することで、企業間で異なるドメイン構造を持っていたとしても、信頼関係を構築することができます。

Active Directoryを使用するメリットやデメリット、注意点とは

Active Directoryは、組織でのITリソースを一元管理することができる大きなメリットがありますが、デメリットはないのでしょうか？

ここでは、Active Directoryの持つメリットとデメリットについて見ていきましょう。

Active Directoryのメリットとデメリット

Active Directoryを導入することによるメリットやデメリットには、以下のようなものが挙げられます。

＜メリット＞

• • • パソコンやサーバーの一括設定やアクセス権、セキュリティポリシーなどの一元管理が行える
    • パソコン１台ごとの設定が軽減される
    • セキュリティレベルが向上する

＜デメリット＞

• • • ドメインコントローラーの導入にコストがかかる
    • Active Directoryによる制限を厳しくすると、作業に対して個別に管理者の許可が必要となる
    • 専門的な技術や知識が必要となる

利用する上での注意点

実際にActive Directoryを導入する場合、サーバーやクライアントのそれぞれで、注意しておくべきことがあります。

＜サーバー＞

ドメインコントローラーは複数設置することが必要となります。

＜クライアント＞

OSはProfessional以上が必須となります。HomeなどではActive Directoryは利用できません。

＜その他＞

サーバーやNASなどでActive Directoryを利用していない機器を追加する場合は、アクセス権などの再設定が必要となる場合があります。

クラウドサービスとActive Directory

業界が物理サーバー（オンプレミス）からクラウドサービスへ移行するという大きな流れにある中、クラウドサービスでもActive Directoryが利用可能となっています。

Microsoft Azureで提供されているAzure Active Directoryがその代表的なものですが、

• • • AWSのAWS Directory Service for Microsoft Active Directory
    • GoogleのManaged Service for Microsoft Active Directory

などのように他の大手クラウドサービスでも活用ができるようになっています。

まとめ

企業など組織でコンピューターを活用する場合に、機器やユーザアカウントの管理という点でとても便利なのがActive Directoryです。

Active Directoryは、単に機器やアカウントの管理だけでなく、セキュリティポリシーの適用やアクセス権限の管理などセキュリティ関連でも重要な役割を果たしています。

ビジネスで使われる方は、ぜひ今回の記事を参考に、Active Directoryの利用を検討してみましょう。