Active Directoryの基本機能

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

サーバーワークスブログをご覧の皆さん、初めまして。
技術2課の鎌田と申します。

Linuxが得意なメンバーが多い中で、私はWindowsの扱いに慣れているためか、社内では「Windowsおじさん」と呼ばれています。

さて、そんな私の初投稿はActive Directoryの基本的な機能について、ご紹介します。

ドメインコントローラー

Active Directoryというと、ドメイン参加する時に登場する、ユーザーとかを登録するあれでしょ?
とイメージされる方が多いのではないかと思います。
それが、ドメインコントローラーと呼ばれている機能です。
具体的には、こんなことが出来ます。

  • ユーザーアカウントの管理
  • コンピューターの管理
  • ユーザーアカウントへの権限の割り当て

Active Directory ユーザーとコンピューター

ドメインコントローラーがないと、ユーザーアカウントを利用するサーバーやパソコン全てにアカウントを作っておかなければならず、管理が大変です。

Active Directoryを利用することで、アカウントの作成が1回でよくなります。

Active Directoryのユーザーアカウントを使ってもらうには、ユーザーアカウントを使いたいコンピューターを、Active Directoryの管理下に置く必要があります。
この作業を、ドメイン参加と呼んでいます。

ドメイン参加したコンピューターにActive DirectoryのIDでログインすると、他のドメイン参加したコンピューターの共有フォルダにアクセスしたい、
という場合でもログインした時のアカウント情報を使うので、アカウント情報を2度入れる必要がなく、とても便利です。

 

ユーザー情報を管理するデータベース

これは意外に思われる方が多いかも知れません。
Active Directoryではユーザー情報を登録するための項目があらかじめ用意されていて、情報を登録しておくことで、ユーザー情報のデータベースとして利用することができます。
さらにこの情報を使って、「営業部に所属している人だけアクセスを許可したい」のような使い方も出来ます。

ユーザーの所属グループ

 

グループポリシー

会社から支給されたパソコン・アカウントで仕事されている方だと、
定期的に「もうすぐパスワードが切れます」とお知らせされると思います。
このパスワードの有効期限を管理したり、複雑なパスワードに設定してもらったり、という機能を提供するのが、グループポリシーです。

管理者が、「この設定変えられたら困る」というものや、「この設定で使って欲しい」という時に設定します。

グループポリシーの例

グループポリシーはActive Directoryの中に複数用意することが可能で、
例えば、「A部署のユーザーにはログインしたらメールソフトを起動、B部署のユーザーにはログインしたらXというアプリを起動」のようなことも、出来ます。

冗長化

Active Directoryには、冗長化の機能も備えられています。
2台目以降として追加すると、アカウントの情報やポリシーなどの情報が複製されます。

複数台の状態のActive Directoryは、どのサーバーを見に行っても同じ状態で、
どこで更新を行っても大丈夫な状態に。
これはとっても便利ですね。

おわりに

今回ご紹介したのは主な機能だけですが、Active Directoryには他にも機能があります。
最近であれば、SaaSサービスが増えてきたことで、SaaSのアカウントを作るのが面倒だな、という方、増えてきているのではと思います。

そこで次回は、AWSを例に、Active Directoryのアカウントを外部サービスと連携させ、ログインする方法についてご紹介します。

AWS運用自動化サービス「Cloud Automator」