Active Directory(アクティブディレクトリー)とは | 意味や読み方など丁寧でわかりやすい用語解説
Active Directory(アクティブディレクトリー)の意味や読み方など、初心者にもわかりやすいように丁寧に解説しています。
読み方
日本語表記
アクティブディレクトリ (アクティブディレクトリ)
英語表記
Active Directory (アクティブディレクトリ)
用語解説
Active Directoryは、Microsoft社が提供するディレクトリサービスの一つである。これは、企業や組織内のコンピューターネットワークにおいて、ユーザーアカウント、コンピューター、ファイル共有、プリンターなどのあらゆるネットワークリソースに関する情報を一元的に管理し、ユーザー認証とアクセス制御の基盤を提供するシステムである。大規模なIT環境において、リソースの管理を効率化し、セキュリティを強化するために不可欠な役割を担っている。
現代の企業ネットワークでは、数多くのコンピューター、サーバー、デバイスが接続され、多くのユーザーがそれらを利用する。これらのリソースそれぞれに対して個別にユーザー情報を登録し、アクセス権を設定することは非常に手間がかかり、管理の複雑性が増し、セキュリティ上の脆弱性も生まれやすくなる。Active Directoryは、このような課題を解決するために設計された。たとえば、新しい社員が入社した際、Active Directoryにその社員のユーザーアカウントを一つ作成するだけで、社内のメールシステム、ファイルサーバー、業務アプリケーションなど、必要なすべてのリソースへのアクセス権を一元的に付与できる。また、社員が退職する際には、アカウントを無効化または削除するだけで、すべてのリソースへのアクセスを即座に停止でき、セキュリティリスクを低減できる。
詳細について説明する。Active Directoryの基本的な構成単位は「ドメイン」である。ドメインは、Active Directoryによって管理されるオブジェクトの論理的な集合であり、セキュリティの境界を形成する。一つのドメイン内のユーザーやコンピューターは、共通のセキュリティポリシーと認証機構の下で管理される。このドメインの情報を格納し、ユーザーからの認証要求を処理する役割を担うサーバーを「ドメインコントローラー(DC)」と呼ぶ。ドメインコントローラーは、Active Directoryデータベースの完全なコピーを保持しており、ユーザーのログイン処理やリソースへのアクセス要求の認可を行う中核的な存在である。
Active Directoryが管理する主なオブジェクトには、ユーザーアカウント、コンピューターアカウント、グループ、そして共有フォルダーやプリンターなどのリソースが含まれる。ユーザーアカウントは、特定の個人がネットワークにログインし、各種リソースを利用するための識別情報であり、パスワードと紐づけられている。コンピューターアカウントは、ネットワーク上の個々のコンピューター自体を識別し、ドメインに参加させるために必要となる。これらのアカウントやリソースは、「組織単位(OU)」と呼ばれる論理的なコンテナに階層的に整理できる。これにより、部署ごと、地域ごと、あるいは機能ごとといった組織の実態に合わせた管理構造を構築し、管理作業を効率化できる。
セキュリティ管理をさらに効率化するために、「グループ」が活用される。複数のユーザーアカウントを特定のグループに所属させることで、そのグループに対してまとめてアクセス権を設定できる。例えば、「経理部」というグループを作成し、そこに経理部のメンバー全員を追加する。そして、経理部専用の共有フォルダーに対して「経理部」グループにアクセス権を付与すれば、個々のユーザーに繰り返しアクセス権を設定する手間を省き、誤設定のリスクも低減できる。
Active Directoryの非常に強力な機能の一つに「グループポリシー(GPO)」がある。グループポリシーは、ドメイン内のユーザーやコンピューターに適用されるさまざまな設定を定義する仕組みである。これにより、デスクトップの背景、パスワードの複雑性要件、USBデバイスの使用制限、特定のソフトウェアの自動配布など、多岐にわたる設定を中央から一元的に制御できる。例えば、全社のコンピューターのスクリーンセーバーを統一したり、セキュリティ強化のために特定のアプリケーションの実行を制限したりすることが可能になる。これは、組織全体のセキュリティポリシーの徹底やIT資産の標準化に大きく貢献する。
Active Directoryは、ネットワーク上のリソースを検索したり、ディレクトリ内のオブジェクトの情報を取得したりするために「LDAP(Lightweight Directory Access Protocol)」というプロトコルを利用する。また、ユーザー認証には、安全性と効率性に優れた「Kerberos認証プロトコル」が広く用いられる。ユーザーが一度ドメインにログインし、Kerberosチケットが付与されると、そのチケットを使ってドメイン内の他のリソースにアクセスする際に、パスワードを再入力することなく認証が完了する。この仕組みは「シングルサインオン(SSO)」と呼ばれ、ユーザーの利便性を大幅に向上させる。
さらに、Active Directoryの適切な動作には「DNS(Domain Name System)」が不可欠である。DNSは、コンピューターのホスト名をIPアドレスに変換するサービスだが、Active Directoryでは、ドメインコントローラーの場所を特定したり、ドメイン内のさまざまなサービスを検出したりするために利用される。Active Directoryドメインは、多くの場合、DNSドメインと密接に連携して動作する。
Active Directoryを導入することで、管理者は、ユーザー管理、コンピューター管理、セキュリティポリシーの適用を一元的に行えるようになり、運用コストを大幅に削減できる。また、強力な認証機構と細やかなアクセス制御機能により、情報セキュリティを向上させることが可能になる。システムエンジニアにとって、Active Directoryの理解は、Windowsサーバー環境におけるネットワーク管理やセキュリティ設計の基礎となる非常に重要な知識である。