Reading Time: 1 minutes
【目次】 連載:ADについて学ぼう
今回はActive Directoryを構成する「要素」ついて説明していきたいと思います。
・ ドメイン
・ OU(組織単位)
・ ドメインツリー
・ フォレスト
■ ドメイン
Active Directoryの基本単位を「ドメイン」といいます。ドメインとは、Active Directoryデータベースを共有する範囲のことをいい、ドメインを作成することで、組織のユーザー・グループ・コンピューターを集中して管理することが可能になります。
Active Directoryのドメインコントローラーには、「Active Directoryデータベース」と呼ばれるデータベースが作成されます。このデータベースは、以下の図のように4種類の論理パーティションから構成されており、ユーザーオブジェクトをはじめとする、各オブジェクトの登録情報、共有フォルダやプリンタの情報、システムの構成情報などが保存されます。
■ OU(組織単位)
ドメインで管理するリソースが増加した場合、ばらばらに管理していては、管理側に負担がかかってしまいます。そこで、Active Directoryでは「OU(Organizational Unit)」と呼ばれる入れ物を作成することが出来、複数オブジェクトを簡単に管理することが可能です。また、OUはグループポリシー設定を割り当てたり、権限を委任することができる、最小単位となっています。
■ ドメインツリー
ユーザーオブジェクトやコンピューターオブジェクトの経営方針が異なる場合、ドメインを複数に分け管理することが出来ます。これを「ドメインツリー」といいます。複数のドメインを作成する際、親ドメインの下に子ドメインを作成しますが、この時必ず親ドメインからドメイン名の一部を継承します。そして互いのドメインソースを利用できる関係性=「信頼関係」が結ばれることで、別のドメインで管理されていても、リソースを共有することが可能になります。
■ フォレスト
同じ組織内でも、名前の階層を分けたい場合は、ドメインツリー同士に信頼関係をもたせ、管理することが可能です。このような状態を「フォレスト」といい、これはActive Directory構造におけるグループの最大単位です。フォレストは1つ以上のドメインツリーで構成されるため、実際には1つのドメインツリーでもフォレストとなり得ます。そして、同一フォレスト内のドメインは互いに信頼関係が結ばれ、フォレストに参加する全てのドメインの資源へのアクセスが提供されます。
フォレストを構築する要件としては、
- Active Directoryを拠点ごとに全く別々に管理を行う場合
- Active Directoryを導入している企業同士が合併する場合
- 組織内に異なる名前空間にしたいドメインツリーが複数存在する場合
などが考えられます。
このように、Active Directoryは小規模から大規模まで様々な規模の組織に対応できるように、拡張性に優れています。
以上がActive Directoryの基本構成の説明になります。
<< 基礎編(2) Active Directoryの認証の仕組み
>> 基礎編(4) Active Directoryのサイトとは何か?
関連ホワイトペーパーのご紹介
Active Directory 特権アクセスに対するセキュリティ対策ソリューション
Active Directoryの特権アカウントに対するセキュリティを向上させるためには、どこに注意し、どう対策をとるべきかを多方面から解説しています。特権アカウントに対するセキュリティを向上させたいという方、特権アカウントに対するコントロール不足を課題に感じている方に特におすすめです。
▼▼ダウンロードはこちら ▼▼
特権アクセスに対するセキュリティ対策ソリューション
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。