サイト内の現在位置

Active Directory(アクティブディレクトリ)とは?
概要・用語からメリット・デメリットまで徹底解説

Active Directory(アクティブディレクトリ)とは?概要・用語からメリット・デメリットまで徹底解説

Active Directory(アクティブディレクトリ)は、いまや多くの企業で利用されている機能ですが、どのような機能なのか知らない人も多いようです。そこでこの記事では、Active Directoryとはなにか、関連する専門用語や特徴について解説します。また、Active Directoryのメリット・デメリット、注意点についても説明します。

Active Directory(アクティブディレクトリ)の概要

Active Directory(アクティブディレクトリ)とは、Windows Serverに標準搭載されている機能です。ディレクトリサービスのひとつで、Windows 2000 から実装されています。

この機能では、Windowsパソコンの操作ログやユーザ情報、ソフトウェア、接続機器などを管理することができ、組織のシステム管理者がユーザを管理するのに役立ちます。

なお、Active Directoryは標準搭載されているため、専用のソフトウェアを購入したり、インストールする必要はありません。また、サービス利用料も発生しないため、利用するためにコストがかかる心配もありません。

用語解説!

Active Directoryには、関連するいくつかの専門用語があります。ここで、用語を解説していきましょう。

ドメインとドメインコントローラーとは

Active directoryでは、「ドメイン」「ドメインコントローラー」の2つの仕組みを用いてデータを管理します。「ドメイン」「ドメインコントローラー」それぞれを解説していきます。

  • ドメイン
    ドメインは、Active directoryの基本単位で、Active Directoryによって認証されたユーザが、リソースを管理・共有する範囲のことを指します。
    リソースには、Windowsクライアント、サーバ、ユーザアカウント、ファイル、フォルダ、プリンタなどがあり、これらを管理・共有する範囲がドメインです。「巨大なフォルダ」をイメージすると、理解しやすいでしょう。
  • ドメインコントローラー
    ドメインコントローラーは、リソース同士の関係を階層的に管理するシステムのことです。
    前述したリソースがドメイン内に増えれば増えるほど、リソース同士の関係は複雑になってしまいます。ユーザIDとパスワードを使ってユーザ認証を行った上で、部署には誰が所属しているのか、どの部署のどのデータに誰がアクセスしてもよいのか、どのパソコンを誰が使ってもよいのかなどを管理します。認証されれば、リソースに自由にアクセスできるため、リソースごとにパスワードを入力するといった作業は不要です。
    そのほか、ドメインコントローラーによって、ドメイン内のリソースに直接干渉することもできます。これにより、システム管理者はパソコンのOSやセキュリティソフトの更新、遠隔サポートなどを一括で行うことが可能です。

ドメインツリーとフォレストとは

規模の大きな企業や組織では、リソースも膨大となります。そういった場合、親会社と子会社や、上層組織と下部組織で、別のドメインを用意することがあります。そういった別のドメイン同士の関係性を構築するのが「ドメインツリー」と「フォレスト」です。それぞれ詳しく説明していきましょう。

  • ドメインツリー
    Active directoryでは、ドメイン自体を複数に分けて管理することもできます。複数のドメインを作成する場合には、親ドメインの下に子ドメインをツリー状に作成します。この縦のつながりのドメイン同士を「ドメインツリー」と呼びます。子ドメインを作成すると、親ドメインの名前の一部が子ドメインに引き継がれるので、どのドメインとつながりがあるのかわかります。
    ドメインツリーを作成すると、ツリー内のドメインに属するユーザであればどのドメインにもアクセスできるのがポイントです。また、ドメインにアクセスするためのアカウントを作る手間も省けます。
  • フォレスト
    フォレストは、Active directoryが管理するドメイングループの最も大きな管理単位で、ドメインツリー以外のドメイン同士のつながりのことをいいます。いわば、ドメインツリーが縦のつながりなら、フォレストは横のつながりといったところです。
    フォレストは、独立した新規ドメインを作成すると、自動的に作成されます。また、最小で1つ以上のドメインツリーから構成されるため、ドメインツリーが1つだけであっても、フォレストといえます。
    フォレスト内のドメインに属するユーザならば、フォレスト内すべてのリソースにアクセスできるのが特徴です。業務提携や会社の吸収合併など、別の組織が1つの組織になる場合に、大いに役立ちます。

シングルサインオンとフェデレーションとは

ドメインツリーやフォレストのアクセス、外部のクラウドサービスやWEBサービスへのアクセスに重要な役割を持つのが「シングルサインオン」と「フェデレーション」です。それぞれの用語を詳しく解説していきましょう。

  • シングルサインオン
    シングルサインオンは、ユーザ自身が所属するドメインに一度ログインすれば、ドメインツリーやフォレストにあるリソースにもアクセスできることを指します。
    ドメイン内のリソースにアクセスする場合には、ドメインコントローラーからユーザIDとパスワードで認証を受ける必要があります。この認証を受ければ、次に同じドメインのほかのリソースにアクセスする場合であっても、再度認証を受ける必要がないのが「シングルサインオン」です。
  • フェデレーション
    フェデレーションは、シングルサインオンの仕組みを使ったもので、外部のクラウドサービスやWEBサービスにシングルサインオンできる関係のことをいいます。
    たとえば、「Google、Twitter、Yahooアカウントでもログインできます」といった表示を見たことがある人もいることでしょう。このような新たなサービスを利用するときに、他サービスのアカウントIDでログインできるシステムを「IDフェデレーション」といい、フェデレーションのひとつです。
    Active Directory機能のひとつである「Active Directoryフェデレーションサービス」を使えば、1つのIDとパスワードで、一度ログインするだけで、「Microsoft 365」や「Microsoft Azure」などの外部クラウドサービスにアクセスできます。

OUとグループポリシー

Active DirectoryにおいてのOU(Organizational Unit)とは、アカウント管理の最小単位となる、ユーザアカウントやコンピュータ、リソースの集合のことです。

OUは、OUの中にOUを設けるといったような階層構造にすることもできます。たとえば、「東京支社」というOUのなかに、「ユーザ」「グループ」「コンピュータ」といったOUを作ることも可能です。これにより、ドメイン管理者がOU管理者に一部の権限を移譲したり、上層にあるOUの設定を、下層にあるOUにも適用するといった場合に便利です。

グループポリシーは、各OUに適用したい設定項目と設定値の組み合わせである「GPO」(Group Policy Object)を雛形にまとめ、OUをGPOに紐付ける仕組みのことをいいます。このグループポリシーにより、管理下にあるコンピュータやユーザについての設定・権限を一元的に管理することが可能です。

Active Directory(アクティブディレクトリ)でセキュリティ強化効果できること

ID・パスワードの管理

Windowsサーバーが複数ある場合、各WindowsパソコンのユーザIDとパスワード情報をそれぞれのサーバに設定しなければなりません。

しかし、Active Directoryを使えばユーザ情報を一元的に管理できます。よって、ユーザIDやパスワードを個別に管理する必要もありません。管理するべきIDとパスワードの数が減ることで、セキュリティ対策にもつながります。

アクセス権限の管理

ユーザには、特定の情報にアクセスできるユーザと、アクセスができないユーザの2つがあります。このように、アクセスを認証する、アクセスを禁止するといったアクセス権限の設定や管理が行えるのもActive Directoryの特徴です。ユーザは、Active Directoryによって認証されれば、ドメイン内にある情報やサーバにアクセスできます。

また、シングルサインオンにより、一度認証を済ませればドメイン内にあるほかのリソースにアクセスする際、再度認証を受ける必要がありません。

ソフトウェアの管理

Active Directoryでは、Windows Updateによる自動更新や、業務で必要となるソフトウェアをシステム管理者がリモートで自動的にインストールすることが可能です。

ソフトウェアは、時間が経過するにつれて脆弱性が心配されますが、自動的に更新することでセキュリティ対策になります。また、リモートでソフトウェアをインストールできれば、社員が不正なソフトウェアを意図せずインストールすることがなくなり、マルウェア対策にもつながります。

メディア利用の管理

USBメモリやSDカード、外付けHDDといったメディアを、Windowsパソコンに接続することを許可すると、マルウェアの感染や情報漏洩につながる場合があります。それらの対策として、Active Directoryでメディア利用の管理をすることも可能です。

具体的には、Active Directoryの機能とWindowsのグループポリシーの機能を組み合わせて管理します。「読み取りアクセス権の拒否」「実行アクセス権の拒否」「書き込みアクセスの拒否」の3つのアクセス権の設定が行えます。

プリンタなどの接続機器の管理

Active Directoryでは、業務で使うプリンタなどの接続機器の管理も可能です。Active Directoryサーバにプリンタドライバーをインストールしておくことで、ユーザはプリンタを使う際に、Active Directoryからプリンタドライバーが自動配布されます。よって、ユーザによるプリンタドライバーのインストールは不要です。

またプリンタのIPアドレスが変更しても、Active Directoryサーバのデバイス設定を変えるだけで対応できます。

操作ログの取得

Active Directoryでは、ログオン時の認証や、ファイルサーバに対する操作ログといった、Active Directoryに関連したサーバに対するログを閲覧・管理できます。ただし、起動させたソフトウェアのログや、ブラウザでどのWebサイトを閲覧したかといった、Windowsパソコン内で完結している操作ログは取得できません。

操作ログを取得することで、ある程度操作をトレースできるため、セキュリティ強化につながると考えられます。

Active Directory(アクティブディレクトリ)のメリット

Active Directory(アクティブディレクトリ)のメリット

Active Directoryを導入するメリットにはどのようなことがあるのか、「管理者」「利用者」「企業」別に解説していきます。

管理者のメリット

管理者のメリットには、次のようなものがあります。

  • パソコンやネットワーク機器、ユーザの管理に関する負担を軽減できる
  • パソコンの各種設定をリモートで一括管理できる
  • パソコン設定やユーザの権限を自社に合わせてカスタマイズできる
  • 操作の自動化で、作業ミスを防止できる
  • 管理ツールを活用することで、管理者教育がやりやすい

利用者のメリット

利用者のメリットは、次のとおりです。

  • どのパソコンでも、自分のアカウントでログインが可能
  • 複数のパスワードを覚えておく必要がない
  • パソコンのアップデートなどの管理は必要ない
  • プリンタなどのデバイスを使うための設定などが必要ない
  • 使いたい機能の検索ができる
  • ITやパソコンの専門知識がなくても、システムが使いやすくなる

企業のメリット

企業側のメリットには、次のようなものがあります。

  • 作業の自動化によってコスト削減できる
  • 業務効率がアップし、利益増が見込める
  • セキュリティに関連する事故が発生した場合、被害の拡大を防ぐことができる
  • Active Directoryを導入していると、セキュリティ対策がしっかりしていることをアピールでき、顧客からの信頼を獲得できる可能性がある

Active Directory(アクティブディレクトリ)のデメリット

Active Directoryには、さまざまなメリットがある一方、次のようなデメリットも存在します。

  • どこまで権限を持たせるか、どの範囲までシングルサインオンを許可するかといった初期設定に多少の手間がかかる
  • Active Directoryによる制限が厳しいと、なにか操作しようとするたびに管理者の認証が必要になる
  • ログが取得、記録されるため、社員が監視されているような状態になり、心理的あるいは倫理的に気を遣ってしまったり、健全な企業経営につながらない可能性がある
  • Active Directoryサーバがダウンするとリソースにアクセスできない
  • Active Directoryへ不正アクセスされると、社内すべてのパソコンが乗っ取られてしまう可能性がある
  • Active Directoryの機能を使いこなすためには、知識や技術が必要となる

Active Directory(アクティブディレクトリ)の注意点

OSバージョンの混在は非推奨

Windows ServerやクライアントパソコンのOS、Active Directoryは、ドメイン内にさまざまなバージョンを混在させることができます。

しかし、さまざまなバージョンが混在していると、違うバージョン間では設定や機能に違いが出てきてしまうため、混在させず、バージョンを統一した方がよいでしょう。

バージョンアップはこまめに行おう

Active DirectoryはWindows 2000 から搭載された技術なので、企業によってはバージョンアップせずにそのまま使っているケースもあるでしょう。しかし、古いActive Directoryを使い続けていると、セキュリティ的に危険です。

Active Directoryのバージョンアップはこまめに行いましょう。ただし、Active Directoryのバージョンアップは手順が多く、気をつけるポイントがたくさんあり、一筋縄にはいきません。簡単に行えるものではないということを覚悟しておいてください。

Windowsの更新も忘れずに

Active Directory配下のパソコンの、Windowsの更新も忘れずに行いましょう。

ただし、Windowsの更新をする際にも注意する点があります。それは、Active Directoryで設定するポリシーです。Active Directoryで設定するポリシーは、レジストリに反映・保存されます。レジストリ構造はWindowsのバージョンによって異なるため、たとえばWindows 7 からWindows 10 にバージョンアップした場合には、ポリシーが設定通りに動作するか確認するようにしてください。

なお、ポリシーのヘルプに「Windows 7 用」といった注意書きがされていることもありますが、書かれていないものも混在しています。よって、動作確認は必ず行うようにしましょう。

適切なOU設計をしよう

Active Directoryを利用する際、OUを使ってアクセス範囲を設定することがほとんどでしょう。このときに気をつけたいのが、OUの設計です。

組織変更が多い企業で、OUの設計を企業の組織図と同じ階層で行ってしまうと、変更が発生するたびにOUを作り直す必要が出てきます。OUを作り直すことを避けるためには、組織図で階層を作るのではなく、サーバ用、クライアント用、契約社員用、エンジニア用、営業用などといったユーザタイプごとにOUを作成することをお勧めします。こうすることで、OUを作り直す必要もなく、効率的に管理ができるでしょう。

Active Directory(アクティブディレクトリ)でセキュリティ強化効果

Active Directoryを導入すれば、企業内におけるセキュリティ対策に強い効果を発揮します。

Active Directoryでは、社内で管理しているパソコンの一括管理ができる機能です。そのため、最新のセキュリティ対策ソフトやセキュリティパッチを一斉にインストールすることができたり、反対に許可していないソフトウェアのインストールを禁止させることもできます。これらの制限は、外部からのマルウェア感染の対策として大いに有効です。

また、操作ログを閲覧できるのもセキュリティ対策につながります。アクセスをした人物の特定、不正アクセスを確認できるため、内部犯行による事件、情報漏洩の防止にもつながるでしょう。

まとめ

Active Directoryは、Windowsシステムで認証を行う機能であり、会社内で管理しているパソコンを一括管理できるのが特徴です。これにより、ユーザのアクセスを制限することができ、企業のコンプライアンスや情報漏洩防止といったセキュリティ対策になります。Active Directoryを活用し、セキュリティ対策の強化・効率的なシステム管理を行いましょう。

発行元:NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。