AD(アクティブディレクトリ/ActiveDirectory)って何 その２

IT系でお仕事をしていると上司からよく
「何にもわからないお客さんや新人にAD(アクティブディレクトリ)について説法を説いてくれ」を結構な頻度で言われたりしますよね？？？ね？
こんにちは高宮です。
毎回毎回ありがたいお説法はそろそろ飽きてきたので
ここで一旦まとめてみようかと思います。その2回目
前回の記事はこちら↓

AD(アクティブディレクトリ/ActiveDirectory)って何

ActiveDirectryとは何ぞや、どういうものかを かなりかみ砕いてゆるく解説しています。 新人のIT担当者さんやIT業界を目指す人向けかも。

ADは何でもござれの万能データベース

では、あらゆる情報を蓄えて幅広いシステムと連係が行えるように
標準規格を多数利用しいます。
例えば、コンピュータを管理する際に必要になる名前解決にはBindベースのDNSを採用しており、
利用者、ユーザーIDやグループ等の管理にはLDAPを使用しています。
またシステム間連携に必要な認証操作ではKerberosを採用しています。

ADって確かに万能だけどぉ。。。あまり考慮されないデメリットも。。。

組織の中でドメインを作成することで、
情報を上の図のような情報を集中管理することができるようになります。
これによりIT管理者は一元管理できるようになり
効率的な管理体制を築くことができます。
まぁただ、集中管理することでメリットがあふれ出てしまいますが、
デメリットとしては、一度に管理する情報量が膨大になってしまいデータのメンテナンスに時間がかかったり
集中管理ゆえのセキュリティリスクも顕在化してきます。
したがって、ドメインを作成する際には管理するデータをあらかじめ定義し、組織の規模や管理コストに見合ったデータ設計が
必要になってきます。(これに関しては設計編でも触れたいと思いますので今は深く考えなくても大丈夫です。)

OU (Organizational Unit、組織単位)って？？

OUはADで管理するコンピュータやユーザー、グループなどのオブジェクトと言われる種別に 分類され、されそのオブジェクトを格納できる入れ物のようなものです。 OUはコンテナオブジェクトとも呼ばれます。 OUを使った管理はオブジェクトが多い場合に有効で 社内の組織をそのままOUにしたり部署ごとにOUを分けたり、様々な状況や要件に合わせて 作成します。
下の表は主なオブジェクトの一覧です。

OUは階層構造を簡単に組むことができますが、あまり深くしすぎると、サーバーのパフォーマンスに 悪影響を及ぼします

OU はこんな感じで使うよ

OUを使った管理をする際はコンピュータやサーバをグループにして分けたり、社員のOUを作ったり 運用を 社内の組織をそのままOUにしたり部署ごとにOUを分けたり、様々な状況や要件に合わせて 構造をきまます。またOUごとに管理するユーザーも決めることができるため、 きめ細かいアクセス管理ができます。

ドメインのパターンいろいろ

OUではドメイン内のユーザー、グループ、コンピュータなどの管理を円滑にするためにつかいました。 　 ADは拠点や複数の企業が混在した状況の組織ではドメインを複数に分ける場合もあります。 　 ADは企業や組織内で複数のドメインを取り扱い、OUのようにドメインで階層構造も作ることができます。
ドメイン管理の最小単位は1ドメイン
ドメインを階層構造にしたものをドメインツリー
ドメインツリーを入れ子にしてまとめたものをフォレストといいます。

信頼関係を結んで点と線をつなぐ

ドメインの構成パターンの説明ではドメイン同士を入れ子にしたりドメインツリーを作ることができると説明しました。 しかし、実際にはドメインとドメインで信頼関係を結ぶという手続きを踏むことが必要です。 信頼関係結ぶことで相互のドメインの情報が参照できるようになったり、 一方的に参照できるように信頼関係の結び方にも制限をかけることができます。

ActiveDirectoryのまとめ

1. ADとは組織の中でコンピュータやIT機器を牛耳っているボスの役割を持ったコンピュータやネットワーク環境のこと
2. ボスのことを一般的にはドメインコントローラとも呼んだりする。
3. ドメイン環境ではコンピュータ利用者がドメインコントローラに登録されたユーザーIDとパスワードを使ってドメインに参加したコンピュータを使うことができる。