サーバーワークスブログをご覧の皆さん、初めまして。 技術2課の鎌田と申します。
Linuxが得意なメンバーが多い中で、私はWindowsの扱いに慣れているためか、社内では「Windowsおじさん」と呼ばれています。
さて、そんな私の初投稿はActive Directoryの基本的な機能について、ご紹介します。
ドメインコントローラー
Active Directoryというと、ドメイン参加する時に登場する、ユーザーとかを登録するあれでしょ? とイメージされる方が多いのではないかと思います。 それが、ドメインコントローラーと呼ばれている機能です。 具体的には、こんなことが出来ます。
- ユーザーアカウントの管理
- コンピューターの管理
- ユーザーアカウントへの権限の割り当て
ドメインコントローラーがないと、ユーザーアカウントを利用するサーバーやパソコン全てにアカウントを作っておかなければならず、管理が大変です。
Active Directoryを利用することで、アカウントの作成が1回でよくなります。
Active Directoryのユーザーアカウントを使ってもらうには、ユーザーアカウントを使いたいコンピューターを、Active Directoryの管理下に置く必要があります。 この作業を、「ドメイン参加」と呼んでいます。
ドメイン参加したコンピューターにActive DirectoryのIDでログインすると、他のドメイン参加したコンピューターの共有フォルダにアクセスしたい、 という場合でもログインした時のアカウント情報を使うので、アカウント情報を2度入れる必要がなく、とても便利です。
ユーザー情報を管理するデータベース
これは意外に思われる方が多いかも知れません。 Active Directoryではユーザー情報を登録するための項目があらかじめ用意されていて、情報を登録しておくことで、ユーザー情報のデータベースとして利用することができます。 さらにこの情報を使って、「営業部に所属している人だけアクセスを許可したい」のような使い方も出来ます。
グループポリシー
会社から支給されたパソコン・アカウントで仕事されている方だと、 定期的に「もうすぐパスワードが切れます」とお知らせされると思います。 このパスワードの有効期限を管理したり、複雑なパスワードに設定してもらったり、という機能を提供するのが、グループポリシーです。
管理者が、「この設定変えられたら困る」というものや、「この設定で使って欲しい」という時に設定します。
グループポリシーはActive Directoryの中に複数用意することが可能で、 例えば、「A部署のユーザーにはログインしたらメールソフトを起動、B部署のユーザーにはログインしたらXというアプリを起動」のようなことも、出来ます。
冗長化
Active Directoryには、冗長化の機能も備えられています。 2台目以降として追加すると、アカウントの情報やポリシーなどの情報が複製されます。
複数台の状態のActive Directoryは、どのサーバーを見に行っても同じ状態で、 どこで更新を行っても大丈夫な状態に。 これはとっても便利ですね。
おわりに
今回ご紹介したのは主な機能だけですが、Active Directoryには他にも機能があります。 最近であれば、SaaSサービスが増えてきたことで、SaaSのアカウントを作るのが面倒だな、という方、増えてきているのではと思います。
そこで次回は、AWSを例に、Active Directoryのアカウントを外部サービスと連携させ、ログインする方法についてご紹介します。
