なぜActiveDirectoryが必要なのか 機能と役割を詳しく解説

Windows Serverの機能であるActive Directoryは、組織のリソースを一元管理するサービスです。Windows 2000から登場し、現在まで長期にわたり利用されています。

本記事では、Active Directoryの機能と役割について再確認し、Active Directoryを利用することで得られるメリットとデメリットについても紹介します。

Active Directory登場以前のWindows NTシリーズでは、クライアントPCやサーバー、ユーザーアカウントなどの情報をグループ単位で管理する「NTドメイン」という仕組みが使用されていました。しかし、NTドメインでは組織をグループ分けし、権限を設定する階層化管理を行うことができず、大規模な組織には不向きでした。

そのようなNTドメインの問題を解決するために開発されたのがActive Directoryです。Active Directoryの機能であるドメインコントローラーを使用することで、クライアントPC、サーバー、プリンター、フォルダ、アプリケーションなど、ドメインに所属するさまざまなリソースを一括管理することが可能になりました。また、組織ごとにリソースを管理しやすい単位でグループ分けした「OU」（Organization Unit）を作成し、そのグループを階層で管理することで、特定のポリシーを各グループに適用するといった、より効率的な管理が可能になりました。

Active Directoryでは子会社やグループ会社をDNSドメインで分け、これらの別組織のドメイン同士を結び付け、信頼関係を結ぶことで、異なるリソースへのアクセスも可能になります。このように、ドメインを信頼関係でつなげた構造をドメインツリーと呼びます。ドメインツリーを設定することで、システム管理者は別リソースへの権限設定の一括化をすることができるようになりました。

Active Directoryの代表的な機能としては以下の4つが挙げられます。

ユーザー認証とアクセス制御

Active Directoryにおけるドメインとは、PCやユーザーアカウントなどのリソースを管理する範囲を指します。このドメインの管理を担うサーバーがドメインコントローラーです。ドメインコントローラーは単一のサーバーで構成されることもありますが、実際の運用では「負荷分散」と「障害対策」のために複数のドメインコントローラーを構成することが一般的です。

企業の規模が大きくなると、支社やグループ会社ごとにドメインを分けて管理する必要性が発生します。この場合、各ドメイン間には信頼関係を構築します。一般的に、本社が親ドメインとなり、支社が子ドメインとなる階層構造を採用します。この階層構造により、同じアカウントを使用して異なるドメイン内のリソースへアクセスすることが可能になります。このようなドメインの階層構造をドメインツリーと呼びます。

さらに、Active Directoryを導入している企業同士が合併するなど、異なるドメインツリーを持つ企業同士がお互いのリソースへアクセスする必要が生じる場合があります。このような場合は、異なるドメインツリー間で信頼関係を構築します。この信頼関係の構築により、異なるドメインツリーに所属するリソースをお互いに共有することが可能となります。この構造をフォレストと呼びます。フォレストは、Active Directoryにおける最大の単位であり、グループ化された信頼関係を示すものです。信頼関係の設定により、一方向へのアクセスを許可したり制限したりすることも可能です。

シングルサインオンとは、ユーザーがリソースにアクセスする際に、一度のID・パスワードによる認証を行うだけで、同じドメイン内の複数のサービスを利用できる仕組みです。Active Directoryで認証を行う場合、シングルサインオンは同じドメイン内のリソースに対してだけでなく、信頼関係が構築されたドメインツリーやフォレストに対しても適用されます。

シングルサインオンは、ユーザーの利便性が向上するだけでなく、管理者側でもアクセス設定作業の負担を軽減する効果があります。Active Directoryによる一括認証のため、異なるシステムごとに別々のパスワードを設定する必要がなくなり、設定ミスによる問題も軽減されます。また、セキュリティの向上にもつながります。

シングルサインオンの導入により、ユーザーは一度の認証手続きで複数のサービスを利用でき、同時に管理者はセキュリティを強化し、設定管理の負担を軽減できるのです。

フェデレーションとは、外部のクラウドサービスへのシングルサインオンを可能にする仕組みです。Active Directoryでは、Microsoft AzureやMicrosoft 365などのクラウドサービスに対して、Microsoftアカウントを使用してシングルサインオンができるフェデレーション機能が提供されています。

さらに、他社のポータルでも、Microsoftアカウントを利用したフェデレーションサービスが利用可能なサイトがあります。これらのサイトでは、同じくMicrosoftアカウントを使用してログインすることができます。

フェデレーションにより、ユーザーはActive Directoryで一度認証を行うだけで、複数の外部クラウドサービスや他社のポータルにアクセスできます。これにより、ユーザーエクスペリエンスが向上し、管理者はユーザーアカウントの管理を効率化できます。

IDとパスワードの一元管理

Active Directoryは、組織内のドメインにおけるIDとパスワードを一元管理します。一方、Active Directoryを利用しない場合は、階層ごとに独自のIDとパスワードを設定して管理する必要があります。

ドメイン上のリソース管理

Active Directoryを利用することで、ドメイン内のソフトウェアやデバイスの管理が容易になります。Active Directoryを通じて、ソフトウェアの配信やプリンタドライバー、Windows Updateなどの配布を行うことができます。これにより、効率的なソフトウェアの導入や更新、デバイスの管理が実現されます。

イベントログの閲覧と管理

Active Directoryでは、PCの操作履歴がイベントログとして記録されます。このイベントログには、ログインや認証エラー、パスワード変更などの記録が含まれます。個々のPC上で行われた具体的な操作履歴の取得はできないものの、アカウントの不正利用やサイバー攻撃などが発生した場合には、イベントログを確認することで詳細な情報を把握することができます。

Active Directoryを利用することで、以下の3つの側面からメリットが得られます。

ドメイン内の認証を一元管理

組織内の認証情報を一元的に管理でき、個々のリソースへのアクセス権限設定を独立して行う必要がなくなります。ユーザーは一度の認証でドメインにアクセスし、必要なリソースに自動的にアクセスできます。

OUによる権限の一括設定

OUを作成し、グループごとの権限を一括で設定できます。OU単位でポリシーを適用することで、特定の違反行為を禁止するなどの制約を設定できます。例えば、カメラの使用禁止、外部ストレージの接続禁止、別のOUが保有するファイルへのアクセスを禁止するなどが可能です。

個人アカウントによるログイン

各ユーザーが個別のアカウントでログインするため、共有アカウントの使用を減らすことでセキュリティ上のリスクが軽減されます。

一方、デメリットとしては、以下3つがあります。

セキュリティ設定に習熟した人材が必要

Active Directoryの初期設定やセキュリティ設定は複雑であり、習熟した人材が必要です。セキュリティの許容範囲設定や権限の設定に関しても専門的な知識が求められます。また、定期的なセキュリティバージョンアップの際にも、セキュリティに習熟した人材が必須です。

ポリシーの設定と変更が難しい

Active Directoryではポリシーの設定が一度適用されると、後からの変更が非常に困難です。したがって、ポリシー設定を行う前に検証を行い、適切な設定を行うことが重要です。また、ドメイン名を変更する場合は、すべての設定を再度行う必要があります。

サーバーダウンによる業務中断リスク

Active Directoryサーバーがダウンすると、ドメイン内のリソースへのアクセスができなくなります。つまり、Active Directoryサーバーの停止による業務の中断リスクが存在します。

Active Directoryは、NTドメインの問題点を解決するために開発されたディレクトリサービスです。ユーザー認証とアクセス制御などの機能を持ち、ポリシーの設定によりセキュリティ対策も可能にするため、多くの組織で長年にわたり利用されてきました。今後もMicrosoft Azureといったクラウドサービスで引き続き活用されることが見込まれます。

DRSでは、こうした企業や情報システム部の業務効率化や課題解決を手助けする情報・ノウハウをコラムで発信しています。ぜひお役立てください。