Reading Time: 1 minutes
この記事の所要時間: 約 2分

【目次】 連載:ADについて学ぼう

今回は、Active Directoryの認証の仕組みについて解説していきます。

◆ Point
・ ワークグループとドメインの違いについてご紹介

 

ネットワーク上に複数のコンピューターが存在している場合、各コンピューターに名前を付けて管理する必要があります。小規模なネットワークであれは、名前を付けることでどのコンピューターにアクセスすればよいのかを区別することが出来ます。しかし、ネットワークの規模が拡大するにつれ、自分がアクセスしたいコンピューターの名前を探すのに時間がかかり、作業効率が低下することが考えられます。

そこで、その問題を解決するのが「ドメイン環境」で管理する方法です。以下では、「ワークグループ環境」と「ドメイン環境」における管理方法の違いについて説明していきます。

【ワークグループ環境】

%e5%9b%b31

ワークグループ環境では、各コンピューターに専用の「SAMデータベース」があり、リソース管理やユーザー認証は各コンピューターごとに実行されます。最大のメリットは、サーバーを必要とせずクライアントPCだけで構築が可能であるため、「低コスト」かつ「容易」に構築することが出来るという点です。一方、ユーザーやコンピューターをそれぞれ管理しているため、台数が増加すると管理が大変になるというデメリットもあります。

【ドメイン環境】

%e5%9b%b32

対してドメイン環境では、全てのユーザー・コンピューターがドメインに参加することにより、リソースを一元管理することが可能です。一元管理には、「ドメインコントローラー」という専用のサーバーが必要になります。

(1) ユーザーがドメインに参加しているコンピューターにログインする場合、認証データがドメインコントローラーに送られます。
(2) ドメインコントローラー側で認証データが正しいことが確認できた場合、チケットが発行されます。
(3) チケットを受け取ったクライアントは、次にそのチケットを提示することでアクセス先コンピューターに対して認証を行います。
(4) アクセス先コンピューターはこのチケットがドメインコントローラーから発行されたものであるかを確認し、
(5) 正しいチケットであればクライアントのアクセスを許可します。

以上の認証方法により、ユーザーは一度認証を受けると、どのコンピューターに対してもパスワードを要求されることなくアクセスすることが可能になります。

この認証方法のことを、「Kerberos認証」と呼びます。

さらに、ドメイン環境では各リソースの設定を、サーバーから一括で行うことが出来ます。例えば「パスワードポリシー」を設定することで、パスワードの長さや変更の頻度などの条件を指定でき、パスワードの使いまわしや推測されやすいパスワードの使用といった行為を防止することが出来ます。

このように、ネットワークの規模が大きくなる場合は、ドメイン環境で管理することで効率的にユーザーの認証・管理を行うことが可能となるのです。

<< 基礎編(1) Active Directoryとは?
>> 基礎編(3) Active Directoryの基本構成



関連ホワイトペーパーのご紹介

Active Directory 特権アクセスに対するセキュリティ対策ソリューション

Active Directoryの特権アカウントに対するセキュリティを向上させるためには、どこに注意し、どう対策をとるべきかを多方面から解説しています。特権アカウントに対するセキュリティを向上させたいという方、特権アカウントに対するコントロール不足を課題に感じている方に特におすすめです。

▼▼ダウンロードはこちら ▼▼
特権アクセスに対するセキュリティ対策ソリューション



【他シリーズのActive Directory連載記事はこちら】
MicrosoftのMVP解説!Active Directoryのハウツー読本第1回 Active Directoryの必要性
MicrosoftのMVP解説!AzureADの虎の巻
第1回 AzureADを利用する意味

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。

Comments are closed.