Reading Time: 1 minutes【目次】 連載：ADについて学ぼう 今回は、Active Directoryの認証の仕組みについて解説していきます。 ◆ Point ・ ワークグループとドメインの違いについてご紹介   ネットワーク上に複数のコンピューターが存在している場合、各コンピューターに名前を付けて管理する必要があります。小規模なネットワークであれは、名前を付けることでどのコンピューターにアクセスすればよいのかを区別することが出来ます。しかし、ネットワークの規模が拡大するにつれ、自分がアクセスしたいコンピューターの名前を探すのに時間がかかり、作業効率が低下することが考えられます。 そこで、その問題を解決するのが「ドメイン環境」で管理する方法です。以下では、「ワークグループ環境」と「ドメイン環境」における管理方法の違いについて説明していきます。 【ワークグループ環境】 ワークグループ環境では、各コンピューターに専用の「SAMデータベース」があり、リソース管理やユーザー認証は各コンピューターごとに実行されます。最大のメリットは、サーバーを必要とせずクライアントPCだけで構築が可能であるため、「低コスト」かつ「容易」に構築することが出来るという点です。一方、ユーザーやコンピューターをそれぞれ管理しているため、台数が増加すると管理が大変になるというデメリットもあります。 【ドメイン環境】 対してドメイン環境では、全てのユーザー・コンピューターがドメインに参加することにより、リソースを一元管理することが可能です。一元管理には、「ドメインコントローラー」という専用のサーバーが必要になります。 (1) ユーザーがドメインに参加しているコンピューターにログインする場合、認証データがドメインコントローラーに送られます。 (2) ドメインコントローラー側で認証データが正しいことが確認できた場合、チケットが発行されます。 (3) チケットを受け取ったクライアントは、次にそのチケットを提示することでアクセス先コンピューターに対して認証を行います。 (4) アクセス先コンピューターはこのチケットがドメインコントローラーから発行されたものであるかを確認し、 (5) 正しいチケットであればクライアントのアクセスを許可します。 以上の認証方法により、ユーザーは一度認証を受けると、どのコンピューターに対してもパスワードを要求されることなくアクセスすることが可能になります。 この認証方法のことを、「Kerberos認証」と呼びます。 さらに、ドメイン環境では各リソースの設定を、サーバーから一括で行うことが出来ます。例えば「パスワードポリシー」を設定することで、パスワードの長さや変更の頻度などの条件を指定でき、パスワードの使いまわしや推測されやすいパスワードの使用といった行為を防止することが出来ます。 このように、ネットワークの規模が大きくなる場合は、ドメイン環境で管理することで効率的にユーザーの認証・管理を行うことが可能となるのです。 << … Continue reading Active Directoryの認証の仕組み【連載：ADについて学ぼう~基礎編(2)~】