第1回 Active Directoryの必要性【MicrosoftのMVP解説！第二弾 Active Directoryのハウツー読本】

今回より、Active Directoryのコラムを担当させていただくことになりました、新井と申します。Azure Active Directoryのコラムを担当させていただいている国井と同様に、私も普段はマイクロソフトの製品や技術に関するトレーニングをおこなっております。その中でも、Windows ServerやActive Directoryに関するトレーニングを中心に担当していることもあり、本コラムを担当させていただくことになりました。コラムを通して、現状の環境の再確認や、今後のクラウド化に向けた環境の整理などのために役立てていただければと考えておりますので、宜しくお願いいたします。

さて、初回となる今回は、Active Directoryの必要性について解説していきます。今ではほとんどの組織で当たり前のように導入されている「Active Directory」ですが、あらためてその必要性を確認していきましょう。

■ 「認証」と「認可」

組織内には、様々なアプリケーションやデータ、サーバーなどのリソースが存在します。そして、扱われるリソースの中には、誰でも閲覧できるように公開したいものもあれば、特定の人だけにアクセスを限定したいものもあります。そのため、コンピューターを使用する上では、どの利用者なのかを識別するプロセスが重要であり、その確認をおこなうための「認証」の仕組みが必要になります。Windowsベースのコンピューターでは、ユーザーアカウントを使用して認証をおこなうことによって、どの利用者なのかを識別しています。その上で、各データに対してどのユーザーだったらアクセスを許可するのかを設定することにより、データへのアクセス制御である「認可」を実現しているのです。

Windowsにおけるユーザー管理の仕組みには、「ワークグループ」と「ドメイン」という2つのスタイル(管理形態)があります。本コラムはActive Directoryを用いる「ドメイン」の話が中心ですが、まずはその違いを理解しておく必要があります。

■ ワークグループでの認証動作

ワークグループとは、Windowsの既定値であり、「分散管理」と言い表すことができます。WindowsのコンピューターはSAM(Security Account Manager)と呼ばれるデータベースを持っており、ワークグループは各コンピューターのSAMを使用してアカウントを管理していくスタイルです。そのため、ユーザーが使用するコンピューター上にユーザーアカウントを作成し、そのコンピューター上で認証がおこなわれます。さらに、そのコンピューターにユーザーがサインインしたあと、他のサーバーなどにネットワークを介してアクセスしたい場合もあります。ワークグループでは各コンピューターが持つ認証情報を使用するため、ネットワークを介したアクセスでは、そのアクセス先のコンピューターで再度認証がおこなわれます。

■ ワークグループの課題と、ドメインでの認証動作

ワークグループでの運用ではユーザーアカウントが各コンピューターに点在することになるため、ユーザーやコンピューターの数がある程度多くなると、管理が煩雑化してしまいます。例えば、新しい社員が入った場合にはその社員が使用するコンピューター上にユーザーアカウントを作成する必要があり、さらにネットワークアクセスしたい場合にはアクセス先のコンピューターにもユーザーアカウントを作成する必要があります。また、あるユーザーアカウントのパスワードを変更したい場合には、当然ながら各コンピューターでそのユーザーアカウントのパスワードを変更しなければなりません。

そこで、一定規模以上の環境でも効率よくユーザー管理ができるように、ドメインと呼ばれる運用方法があります。ワークグループが「分散管理」であるのに対して、ドメインは「集中管理」と言い表すことができます。ドメインでは、認証および認可に必要な情報をActive Directoryデータベースで一元的に管理できるようになっており、そのデータベースをホストするコンピューターはドメインコントローラーと呼ばれます。コンピューターにユーザーがサインインする際には、そのコンピューターのローカルで認証されるのではなく、ネットワークを介してドメインコントローラーと通信し、ドメインコントローラーが持つActive Directoryデータベース内に登録されているユーザーアカウントを使用して認証されます。

さらに、そのコンピューターからネットワークを介して他のサーバーにアクセスする場合、ワークグループではネットワークアクセス先で再度認証がおこなわれていましたが、ドメインでは他のサーバーにアクセスする際に認証情報を再入力する必要はありません。ドメインの環境では、Active Directoryによって社内のリソースに対する「シングルサインオン」が提供されます。シングルサインオンとは、ユーザー名とパスワードを一度入力することで、複数のシステムやサービスが利用可能になることです。そのため、コンピューターにサインインする際にドメインコントローラーでの認証を済ませれば、他のサーバーにアクセスする際は再入力する必要がないのです。

■ Active Directoryが使われている理由

ドメインでは、認証に使用するユーザーアカウントを各コンピューター上に作成する必要はなく、ドメインコントローラーのActive Directoryデータベース内に作成すれば良いということになります。そのため、新しい社員が入ってきたとしても対応がしやすく、ユーザーアカウントのパスワードを変更する場合にも一カ所で変更すれば済むことになります。また、社内のリソースへのアクセスについては、Active Directoryデータベース内に登録されたユーザーやグループに対してアクセス許可を設定することで制御できます。このような理由から、Active Directoryは組織内のリソースにアクセスする際の「認証」と「認可」を実現するために役立つ仕組みとして、多くの組織で使われているのです。

今回は、Active Directoryの必要性について解説しました。今ではほとんどの組織でActive Directoryが導入されており、当たり前のようにドメインでの管理がおこなわれています。だからこそ、不透明な理解のまま、管理してしまっている部分も多いという現状があります。クラウドなどに代表される今後の環境の変化に対応してくためには、今のうちに不透明になっている部分をクリアにし、適切な運用をおこなうべきです。次回からは、Active Directoryを管理していく上で「キホン」となる概念やキーワードについて解説していきます。

ゾーホー社員のつぶやき

はじめまして、ゾーホージャパンの前田と申します。連載「MicrosoftのMVP解説！Active Directoryのハウツー読本」では、AzureADの虎の巻シリーズ同様、ブログ記事の最後に、関連するManageEngine製品をご案内するコーナー「ゾーホー社員のつぶやき」を設けております。「ゾーホー社員のつぶやき」も含めて、最後までお読みいただけますと幸いです。

今回の記事では、ドメインの場合、認証および認可に必要な情報をActive Directoryデータベースで一元的に管理しており、ユーザーがサインインする際には、ドメインコントローラーと通信して、Active Directoryデータベース内のユーザーアカウント情報を使用して認証を行うということを学びました。この際、ドメインコントローラー側には認証ログが記録されるのですが、ManageEngineでは、この認証ログを可視化して、いつ／だれが／どこから認証(あるいは認証の試行)を行ったのかを把握できるツール「ADAudit Plus」を提供しています。

■ 「ADAudit Plus」とは？
Active Directoryのログをリアルタイムで収集して、200以上のレポートで可視化、およびアラート通知などを行うWebベースのオンプレミス型ソフトウェアです。Windowsドメイン上で管理されている、ドメインコントローラー／ファイルサーバー／メンバーサーバー／PCなどのITリソース、およびユーザー／グループ／ポリシーなどのオブジェクト情報から、簡単に監査レポートを作成します。

ADAudit Plusについて詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスください。

【ADAudit Plusの製品ページ】
https://www.manageengine.jp/products/ADAudit_Plus/

【ADAudit Plusのダウンロードページ】
https://www.manageengine.jp/products/ADAudit_Plus/download.html

>> 第2回 Active Directoryのキホン(1)