Reading Time: 1 minutes
前回よりActive Directoryのコラムを担当している新井です。前回は、Active Directoryの必要性や、ワークグループとドメインの違いについて解説しました。今回は、このコラムの本題となるActive Directoryを管理していく上で「キホン」となる概念やキーワードについて解説してきます。ただ、その「キホン」となるキーワードはボリュームが多いため、2回に分けて解説していきますので、次回のコラムと併せてお読みいただければと思います。今回は、「ドメイン」、「フォレスト」、「信頼関係」という3つについてピックアップして解説します。
■ ドメイン
ドメインとは、Active Directoryの「オブジェクトを管理する単位」です。オブジェクトとは、Active Directoryに登録されるアカウント (ユーザー、コンピューター、グループなど) やリソースの総称です。オブジェクトの管理方法などについては次回以降の連載で解説しますが、現時点ではオブジェクトは「アカウントなどの総称」として捉えていただければと思います。さて、本題となるドメインに話を戻しますが、ドメインはオブジェクトを管理する単位であるため、1つのドメイン内ではドメインコントローラー (DC) 同士が複製の仕組みを使用して同じオブジェクトの情報を共有します。逆にドメインが分かれている場合にはオブジェクトの管理も分かれるということになります。例えば、下の図のようにAドメインとBドメインがある場合、保有するオブジェクトはそれぞれ別物であるということになります。
■ フォレスト
フォレストとは、簡単に言うと「ドメインの集合」です。ドメインが1本1本の「木」であるのに対し、フォレストはその木をまとめた「森」に相当する概念です。一般的は組織では、1つのフォレストを保有し、そのフォレスト内に1つまたは複数のドメインを作成して運用します。ちなみにですが、1つのフォレスト内で1つのドメインを作成して運用している環境はシングルドメインと呼ばれ、1つのフォレスト内に複数のドメインを作成して運用している環境はマルチドメインと呼ばれます。
現在は、運用をなるべくシンプルにおこなうことを目的に、シングルドメインでの運用が主流になっています。ただし、オブジェクトの管理を完全に分けたい場合や、複製によって発生するネットワークトラフィックを減らしたい場合のために、マルチドメインでの運用を行うこともあります。また、マルチドメインで運用する場合であっても、1つのフォレスト内であれば次に解説する信頼関係によって、お互いに行き来 (アクセス) が可能です。フォレストを超えたアクセスは既定ではできないため、フォレストは「セキュリティの境界」と考えることもできます。
■ 信頼関係
信頼関係とは、ドメインまたはフォレストを超えてアクセスするための「道」となるものです。ドメイン間またはフォレスト間で双方向の信頼関係があると、お互いにアクセスが可能です。
信頼関係には、「方向」と「推移性」という考え方があるため、それについても解説をしておきたいと思います。まず、「方向」には双方向と片方向があり、ドメインであれば「どのドメインからどのドメインを信頼するか」によって決定されます。双方向はお互いに信頼し合うことを意味し、お互いに行き来が可能になるということになります。注意していただきたいのは片方向で、例えばAドメインがBドメインを信頼する場合、Aドメインから見たときは出力方向であり、Bドメインから見たときは入力方向になります。この場合、Bドメインのユーザーが、Aドメインのリソースへのアクセスが可能になります。「信頼の向き」と「アクセス可能になる向き」は逆になることが注意していただきたいポイントです。
続いて「推移性」について解説します。推移性には、推移性と非推移性がありますが、推移性の理論は「友達の友達は友達」と同じ考え方になります。例えば下の図のように3つのドメインがあり、AドメインとBドメインは双方向の信頼関係、AドメインとCドメインは双方向の信頼関係が構成されているとします。このとき、BドメインとCドメインは直接的には信頼していませんが、信頼関係に推移性がある場合、間接的にBドメインとCドメインは信頼し合うことになります。したがって、BドメインとCドメインとの間もお互いにアクセスが可能です。
フォレスト内では、双方向の推移性を持つ信頼関係が自動的にドメイン間で作成されます。そのため、フォレスト内のドメイン間は既定でお互いにアクセスが可能です。しかし、フォレスト間の信頼関係は既定では作成されません。したがって、ABC社とXYZ社のように異なる組織はそれぞれ独立したフォレストを保有するため、既定ではアクセスできません。異なる組織同士が合併した場合など、フォレストを超えてお互いにアクセスができるようにする必要がある場合には、フォレスト間の信頼関係を明示的に結ぶ必要があります。
今回は、Active Directoryの「キホン」となる概念およびキーワードとして、「ドメイン」、「フォレスト」、「信頼関係」の3つについて紹介しました。まずはこれらの概念について、しっかりとイメージができるようにしていただければと思います。次回も引き続き、Active Directoryを管理していく上で「キホン」となる概念やキーワードについて解説します。
株式会社ソフィアネットワークに勤務し、2009年よりマイクロソフト認定トレーナーとしてトレーニングの開催やコース開発に従事。前職である会計ソフトメーカー勤務時には、会計ソフトの導入サポート支援や業務別講習会講師を担当。これらの経歴も活かして、ユーザー視点や過去の経験談なども交えながらのトレーニングを提供。主にWindows OS、仮想化技術関連のマイクロソフト認定コースを中心に講師として活動しながら、近年の書籍の執筆などの活動も評価され、2017年からMicrosoft MVP for Enterprise Mobilityを受賞。
主な著作は『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』『徹底攻略MCP問題集 Windows 10』(インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
今回、Active Directoryの基本となる3つの概念について学習する中で「マルチドメイン」というキーワードが登場しました。企業の合併や管理の分離といった理由により、マルチドメインで管理している、あるいは管理を検討しているものの、ドメイン全体におけるセキュリティレベルの統一のために、監査の一元化が要件として挙がっているという場合もあるかと思います。そのようなご要件は、ManageEngineが提供する監査ツール「ADAudit Plus」にて実現が可能です。
ADAudit Plusは、複数のドメインを監査対象として追加し、単一コンソール画面からドメインを切り替えて監査レポートを参照することができるため、ドメイン全体の監査業務を格段に効率化します。
「ADAudit Plus」とは?
Active Directoryのログをリアルタイムで収集して、200以上のレポートで可視化、およびアラート通知などを行うWebベースのオンプレミス型ソフトウェアです。ドメイン上で管理されている、ドメインコントローラー/ファイルサーバー/メンバーサーバー/PCなどのITリソース、およびユーザー/グループ/ポリシーなどのオブジェクト情報から、簡単に監査レポートを作成します。
また、マルチドメイン環境で運用しているものの、ITリソースの管理を一元化したいという場合は、「ADManager Plus」というツールで対応可能です。
「ADManager Plus」とは?
WebベースのGUIでActive Directoryのユーザー/コンピューター/ファイルサーバーを管理し、自動化/ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。
今回ご紹介したADAudit Plus、ADManager Plusについて詳しく知りたいという方は、ぜひ以下のURLにアクセスください。
■ ADAudit Plusの製品ページ
https://www.manageengine.jp/products/ADAudit_Plus/
■ ADManager Plusの製品ページ
https://www.manageengine.jp/products/ADManager_Plus/
>> 第3回 Active Directoryのキホン(2)
▼▼ 過去記事はこちら ▼▼
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第1回 Active Directoryの必要性
▼▼ 別シリーズのブログ記事もチェック! ▼▼
【MicrosoftのMVP解説!AzureADの虎の巻】第1回 AzureADを利用する意味
【MicrosoftのMVP解説!AzureADの虎の巻】第2回 Azure ADを使って安全にクラウドサービスへアクセスする
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。