Reading Time: 1 minutes
本コラムは前回に続いて、Active Directoryを管理していく上で「キホン」となる概念やキーワードについて解説していきます。まだ前回(第2回)のコラムをご覧いただいてない方は、ぜひ前回のコラムと併せてご覧になってください。今回は、「スキーマ」、「パーティション」、「管理ツール」という3つについてピックアップして解説します。
■ スキーマ
スキーマとは、Active Directoryの「オブジェクトに関する定義情報」となるものです。スキーマでは、どの種類のオブジェクトがどのような属性を使用するのかを関連付けて管理しており、オブジェクトの作成時などにはスキーマの情報が参照されます。Active Directoryには様々な種類のオブジェクトがありますが、ここではユーザーを例に考えてみましょう。ユーザーの作成そのものについては別のコラムで紹介しますが、ユーザーを作成してプロパティを確認すると、最初から様々な属性の項目が用意されています。これらが用意されているのは、スキーマ内で「ユーザーで使用する属性はコレとコレと…」というように既定で定義されているためなのです。
スキーマには、「クラス」と「属性」という2つの情報が存在します。このうち、「クラス」がオブジェクトの種類を表すもので、ユーザー、コンピューター、グループなどの様々なクラスが存在します。一方、「属性」は各オブジェクトのプロパティの項目を表すもので、表示名、ログオン名、電話番号、電子メール、などの様々な属性が存在します。スキーマではこの2つの情報を関連付けて、どのクラスでどの属性を使用するかを管理しています。そのため、いつオブジェクトを作成しても同じ属性の項目が使用できるようになっているのです。
■ パーティション
パーティションとは、「Active Directoryデータベース内の論理的な”仕切り”」です。Active Directoryデータベースはntds.ditという単一のファイルで存在し、ドメインコントローラー上で管理されます。しかし、このファイル内には、論理的な仕切りであるいくつかのパーティションを持っており、どの情報がどのパーティション内に格納されるかが決まっています。また、Active Directoryデータベースは可用性を高めるために複数のドメインコントローラー間で複製されますが、パーティションによってどの範囲のドメインコントローラーと複製するのかも異なります。Active Directoryデータベースファイルのパーティション構造、各パーティションに格納される情報、各パーティションがどの範囲のドメインコントローラーに複製されるかをまとめると、以下のようになります。
前回のコラムで、「ドメインはオブジェクトを管理する単位である」と解説しましたが、そう言える理由は上記のようにパーティションによって複製される範囲が異なるためです。ドメインパーティションにはユーザーやコンピューターなどのオブジェクト情報が格納されますが、複製される範囲は同じドメインのドメインコントローラーに限られます。そのため、同じドメイン内に複数のドメインコントローラーを展開した場合には、ドメインパーティションだけでなく、他のパーティションも含めてどのドメインコントローラーも完全に同じ情報を保有することになります。しかし、フォレスト内でドメインを分けた場合、スキーマパーティションと構成パーティションについてはどのドメインコントローラーも同じ情報を保有しますが、ドメインパーティションはドメインによって異なる情報を保有します。
■ 管理ツール
次回のコラムでドメインコントローラーの展開方法について解説しますが、ドメインコントローラーを展開すると、Active Directoryを管理するための様々な管理ツールが一緒にインストールされます。Active Directoryを管理するための管理ツールには次のようなものがあります。
管理ツール | 主な用途 |
Active Directoryスキーマ | スキーマの作成および管理 |
Active Directoryサイトとサービス | サイトの作成および管理 |
Active Directoryドメインと信頼関係 | 信頼関係の作成やおよび管理 |
Active Directoryユーザーとコンピューター | オブジェクトの作成および管理 |
Active Directory管理センター | オブジェクトの作成および管理 |
これらの管理ツールを使用してActive Directoryの管理ができるわけですが、これらの管理ツールからおこなう操作は、上記で紹介したパーティションに対する操作であると考えることもできます。例えば、Active DirectoryユーザーとコンピューターやActive Directory管理センターという管理ツールは、オブジェクトの作成や変更をおこなうために使用しますが、それらはパーティションでいうとドメインパーティションに対する操作です。また、Active Directoryドメインと信頼関係という管理ツールは、信頼関係の作成や確認をおこなうために使用しますが、これらは構成パーティションに対する操作であると言えます。このように考えると、単純に操作をおこなうだけでなく、その操作がどの範囲に影響を及ぼすのか?ということについても、イメージがしやすくなるのではないかと思います。
今回は、前回に続いて、Active Directoryの「キホン」となる概念およびキーワードとして、「スキーマ」、「パーティション」、「管理ツール」の3つについて紹介しました。前回のコラムと併せてご覧いただき、それぞれについてのイメージをつかんでいただければと思います。次回はドメインコントローラーの展開方法について解説します。
株式会社ソフィアネットワークに勤務し、2009年よりマイクロソフト認定トレーナーとしてトレーニングの開催やコース開発に従事。前職である会計ソフトメーカー勤務時には、会計ソフトの導入サポート支援や業務別講習会講師を担当。これらの経歴も活かして、ユーザー視点や過去の経験談なども交えながらのトレーニングを提供。主にWindows OS、仮想化技術関連のマイクロソフト認定コースを中心に講師として活動しながら、近年の書籍の執筆などの活動も評価され、2017年からMicrosoft MVP for Enterprise Mobilityを受賞。
主な著作は『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』『徹底攻略MCP問題集 Windows 10』(インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
今回、Active Directoryの基本となる3つの概念について学習する中で、ドメインの作成および管理を行う管理ツール「Active Directoryユーザーとコンピューター」・「Active Directory管理センター」の2つが紹介されました。ManageEngineでは、これらに相当する機能をWebベースで実現できるツールとして、ADManager Plusを提供しています。また、ADManager Plusでは、ドメインの管理に加えてワークフロー機能や権限の委任機能など、管理作業をより効率的に実施するための便利な機能を備えています。
■ 「ADManager Plus」とは?
WebベースのGUIにてActive Directoryのユーザー/コンピューター/ファイルサーバーを管理し、自動化やワークフローなどを容易に実行できるActive Directory運用管理ツールです。さらに、Active Directoryのユーザーを作成時にクラウドベースのOffice 365ユーザーも同時に作成することができるなど、ユーザー管理にかかる工数を大きく削減することが可能です。
(関連資料) ADManager Plusを使用してOffice365管理を効率化
【ホワイトペーパーをダウンロード】
■ ADManager Plusの製品ページ
https://www.manageengine.jp/products/ADManager_Plus/
▼▼ 過去記事はこちら ▼▼
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第1回 Active Directoryの必要性
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第2回 Active Directoryのキホン(1)
▼▼ 別シリーズのブログ記事もチェック! ▼▼
【MicrosoftのMVP解説!AzureADの虎の巻】第1回 AzureADを利用する意味
【MicrosoftのMVP解説!AzureADの虎の巻】第2回 Azure ADを使って安全にクラウドサービスへアクセスする
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。