無料会員登録
企業や組織の規模が大きくなるにつれて、管理するべきパソコンの数は増えていく一方です。WindowsではパソコンごとにIDとパスワードによるユーザー管理ができますが、ネットワーク内に複数のWindowsパソコンが存在していると、ユーザーの管理はおろか、アクセス権限の設定も一苦労です。
システム管理者の中には、ユーザーからの「パスワードを忘れてしまったので教えて欲しい」あるいは「パソコンの調子が悪いから見て欲しい」などの問い合わせに返答するだけで1日の大半がつぶれてしまったという経験を持つ人もいるでしょう。
このような問題を解決できる技術が、2000年に発売されたWindows 2000 Serverから搭載された「Active Directory(アクティブディレクトリ)」です。アクティブディレクトリとは複数のWindowsパソコンを一元的に管理することができる仕組みのことです。今回はアクティブディレクトリの機能やメリット、デメリット、そして注意点などを紹介します。
この記事の目次
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
Active Directory・ディレクトリとは
Active Directory(アクティブディレクトリ)とは、Windowsパソコンの機能やユーザー情報を管理するために、microsoft(マイクロソフト)が提供するWindows Serverに設けられた機能です。ディレクトリサービスの1つで、Windows 2000から実装されています。
ディレクトリ(directory)は、「住所録」「氏名録」といった意味を持つ単語です。IT用語のディレクトリとは、「ファイルを分類・整理するための一覧表」を意味します。
あくまで一覧表であるため、ディレクトリの中にファイルそのものが存在するわけではありません。「どのファイルがどこにあるか」を示すものであり、フォルダとほぼ同じ意味になります。フォルダ内にテキストや画像ファイルが見えても、実際に保存されている場所はHDDやUSBメモリなどですよね。ディレクトリも、これと同様です。
こうしたディレクトリの仕組みを持つActive Directoryを使えば、システム管理者はパソコンに関する様々な情報や状態を一括して管理でき、ます。そのため、管理の手間を大幅に軽減可能です。ネットワークの規模が拡大するほど、Active Directoryを導入するメリットも大きくなるでしょう。
ちなみに、Active DirectoryはWindows Serverに標準搭載されています。そのため、専用のソフトウェアを購入する必要はありません。Active Directoryは、ネットワークに接続されているパソコンの運用を影で支えるソフトウェアです。導入すれば、確実に大きな成果を得られるでしょう。
Active Directoryにはいくつかの専門用語があります。ここで少し整理しましょう。
| Active Directory | ディレクトリサービスを提供するためのブランド名 |
|---|---|
| ドメイン | Active Directoryによって許可されたユーザーがアクセスできる範囲 |
| ドメインコントローラー | ドメイン内でユーザーの認証や管理をするソフトウェア(サーバー) |
ドメインコントローラーとは認証をするためのサーバーであり、実際にクライアントが利用する対象は別ファイルサーバーやデバイスなどであることに注意しましょう。
ユーザー認証とアクセス制御の用語を解説
一般的に企業(組織)のデータは、情報の重要度によってアクセス権限を設けていることがあります。たとえば、誰でもアクセスできるデータがあれば、一方で限定した人しか閲覧できないデータがあるなど。このように、データの重要度によってアクセス権限を管理したい場合があります。そのときに用いられるのが「ユーザー認証」と「アクセス制御」です。
ユーザー認証とは、「データにアクセスしようとしている人は誰なのか?」を判断することです。そして、この機能を使って、アクセスできる人間を振り分けるのが「アクセス制御」です。この2つの仕組みを用いることで、Active directoryは安全に情報を管理しています。
ドメイン・ドメインコントローラーとは
Active directoryは、データを管理する際に「ドメイン」「ドメインコントローラー」の2つの仕組みを用います。それぞれの特徴を以下で解説します。
ドメイン
Active Directoryにおけるドメインとは、Active Directoryによって「リソースを管理・共有する範囲」を指します。IT用語のリソースは以下のものが当てはまります。
- パソコンやサーバーなどの「モノ」
- 企業・組織に関わる「ヒト」
- プロジェクトにかかる費用などの「コスト」
- パソコンや周辺機器の「性能」
- ファイルやフォルダなどの「データ」
これらのリソースを管理・共有する範囲がドメインです。ドメイン=巨大なフォルダと考えるとわかりやすいでしょう。
ドメインコントローラー
ドメイン内のリソースが増えるほど、リソース同士の関係は複雑になります。
- 誰がどの部署にいるのか
- どの部署や人がどのデータにアクセスして良いのか
- 誰がどのパソコンを使用して良いのか
このように、複雑なリソース同士の関係を管理するシステムが「ドメインコントローラー」です。
ドメインコントローラーは、ユーザーIDとパスワードを使って「このユーザーは誰か」を認証します。「自分が誰であるか」を認証されたユーザーは、権限のあるリソースに自由にアクセス可能になります。そのため、リソースごとに異なるパスワードを入力する必要はありません。Active directoryが、ユーザーと全てのリソースの関係を把握しているからです。
また、ドメインコントローラーの役割は認証や管理だけではありません。ドメイン内のリソースに直接干渉することも可能です。なので、システム管理者はドメインコントローラーを通して、パソコンのOSやセキュリティソフトの更新、遠隔サポートなどが一括でおこなえます。
ドメインツリー・フォレストとは
企業や組織が規模拡大すると、新たに子会社や関連組織を持つことがあります。企業が拡大するにつれ、リソースも膨大になっていくでしょう。新たにユーザーアカウントを作ったり、リソースを追加したりといった作業が増え、手間がかかります。
ですので、多くの企業は親会社と子会社で、別のドメインを用意します。その際、ドメイン同士のつながりで使われるのが「ドメインツリー」と「フォレスト」です。
ドメインツリー
Active directoryでは、ドメインを複数に分けて管理することも可能です。ドメインを分ける場合、親ドメインから子ドメインを作成します。ドメインツリーとは、こうした縦の繋がりのあるドメイン同士のこと。子ドメインを作成するとき、親ドメイン名の一部が引き継がれます。
ドメインツリーを構築せず、親会社と子会社で異なるドメイン同士を持つケースを考えてみましょう。その場合、いくら関連企業であろうと、お互いのドメインに自由にアクセスはできません。子会社のユーザーが親会社のドメイン内にあるデータを閲覧したくても、親会社のドメインに属していないため不可能です。
なので、どちらかのドメインにアクセスしたいときは、管理元の会社にアクセス可能なアカウントを作ってもらう必要があります。しかし、アクセスが必要になるたび、いちいちアカウントを用意するのは面倒ですよね。
そうしたとき、ドメインツリーを構築すると手間が省けます。ドメインツリーは、親子ドメイン同士で信頼関係を構築し、お互いのドメインにアクセス可能にする仕組みです。ツリー内のドメインに属するユーザーなら、他のドメインにもアクセスできます。わざわざアカウントを作る手間がなくなるため、利便性が大きく向上するでしょう。
フォレスト
親子関係にないドメイン(ドメインツリー)同士でも、信頼関係を構築できます。このようなつながりをフォレストと言い、Active directoryが管理するドメイングループの最大単位でもあります。ちなみに、フォレストは最小で1つ以上のドメインツリーから構成されるので、ドメインツリーが1つだけの場合でもフォレストと表現できます。
全く異なるドメイン(ドメインツリー)同士で信頼関係を構築できるため、企業の吸収合併や業務提携といったケースで役立つでしょう。フォレスト内のドメインに属するユーザーであれば、フォレスト内の全てのリソースにアクセス可能です。ドメインツリーが縦の関係なら、フォレストは横の関係と言えます。
シングルサインオン・フェデレーションとは
ドメインツリーやフォレストのアクセスに重要な役割を持つ「シングルサインオン」と、その仕組みを活かした「フェデレーション」。最後は、この2つの用語について見ていきましょう。
シングルサインオン
ユーザーが属するドメインにログインしたら、つながっているドメインツリーやフォレストにあるリソースにも自由にアクセスできることを、シングルサイオンと言います。
まず、ドメインにアクセスする方法をおさらいしましょう。ドメイン内のリソースにアクセスしたいとき、ユーザーIDとパスワードを使って、ドメインコントローラーに認証される必要があります。認証を受ければ、同じドメイン内の他のリソースにアクセスする際に、もう1度認証を受ける必要はありません。
この仕組みを信頼関係のあるドメインツリーやフォレストにまで拡げたのが、シングルサインオンです。
フェデレーション
外部のWebサービスやクラウドサービスにシングルサイオンできる関係を、フェデレーションと呼びます。
フェデレーションの身近な例で、「IDフェデレーション」があります。これは、新たなサービスを利用するときに、他サービスのアカウントIDでログインできるシステムです。「Google、Twitter、Yahooアカウントでもログインできます」の表示を見たことがある人は多いのではないでしょうか。
Active Directoryは、外部サービスなどにシングルサインオンするための「Active Directoryフェデレーションサービス」を提供しています。このサービスを使えば、1組のIDとパスワードだけで、Microsoft 365やMicrosoft Azureといった外部クラウドサービスに接続できます。
Active Directory アクティブディレクトリの機能
Active Directoryが提供する機能には様々なものがあります。主要なものを取り上げて紹介します。
1. ID・パスワード管理
WindowsパソコンはユーザーIDとパスワードを使った認証が可能です。Windowsサーバーは各WindowsパソコンのユーザーIDとパスワード情報を管理できますが、サーバーが複数台ある場合、それぞれのサーバーにユーザーIDとパスワードの情報を設定する必要があります。これは非常に手間のかかる作業です。
しかしActive Directoryを使えば複数のサーバーで管理していたユーザー情報を一元的に管理できるようになります。このためユーザーIDやパスワードを個別に管理する必要がなくなります。管理すべきIDとパスワードが減ることは、セキュリティ対策としても有効です。
2. アクセス権限の設定・管理
企業や組織の中にいるユーザーには、特定の情報にアクセスを許されたユーザーと、アクセスを禁止する必要があるユーザーの2つに分類されます。
Active Directoryではそのようなアクセス権限の設定や管理を行うこともできます。ユーザーはActive Directoryによって認証されることで、ドメイン内にある情報やサーバーにアクセスできるようになります。
Active Directoryで一度認証を済ませてしまえば、ドメイン内にある複数のサーバーにアクセスする際に、再度認証をする必要はありません。このような仕組みのことをシングルサインオン(Single Sign On)と呼びます。
3. ソフトウェアの設定・管理
Active Directoryでは業務で必要なソフトウェアをリモートで自動インストールすることや、Windows Updateによる自動更新を行うこともできます。
4. メディア利用の設定・管理
USBメモリのようなメディアもActive Directoryでは管理できます。USBメモリを不用意にWindowsパソコンに接続することを許可すると、マルウェアの感染や情報漏洩につながる可能性があります。
しかしActive Directoryの機能とWindowsのグループポリシーの機能を組み合わせることで、USBメモリの管理が可能です。設定できる権限は、具体的には「読み取りアクセス権の拒否」「実行アクセス権の拒否」「書き込みアクセスの拒否」の3つです。
5. プリンターなど接続機器の設定・管理
業務で使うプリンターもActive Directoryで管理できます。予めサーバーにプリンタードライバーをインストールしておけば、クライアントはプリンターを使う時に、Active Directoryからプリンタードライバーを配布されます。
またプリンターのIPアドレスが変わってしまった場合も、Active Directoryを使っていれば、サーバーのデバイス設定を変更するだけで対応できるので、クライアント側で何らかの作業をする必要はありません。
6. 操作ログの取得
Active Directoryに対する操作ログはIISマネージャーから閲覧や管理ができます。ただしActive Direcotryで取得できる操作ログは、ログオン時の認証やファイルサーバーに対する操作のログなど、Active Directoryに関連したサーバーに対するログののみです。
Windowsパソコン内で完結している操作ログは取得の対象外です。例えば起動させたソフトウェアのログや、ブラウザでどのようなWebサイトを閲覧したのかなどのログは取得できません。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
Active Directory アクティブディレクトリを使用するメリット
Active Directoryを導入することで、システム運営に関して負担を減らし業務効率を向上させるというメリットがあります。またActive Directoryへの関わり方の違いにより、以下のようなメリットがあります。
管理者のメリット
- パソコンやネットワーク機器、ユーザー管理に関する負担を軽減する
- パソコンの各種設定をリモートで一括管理できる
- 操作を自動化することで、作業ミスを防ぐことができる
- 管理ツールを利用することで、管理者教育がしやすくなる
利用者のメリット
- どのパソコンを使っても、自分のアカウントでログインできる
- 複数のパスワードを記憶する必要がなくなる
- パソコンのアップデートなどの管理が不要になる
- プリンターなどのデバイスが簡単に利用できる
- 使用したい機能の検索が可能になる
- ITやパソコンに詳しくなくても、システムが使いやすい環境になる
企業のメリット
- 作業の自動化によりコスト削減につながる
- 業務効率が向上し利益が増える
- セキュリティ事故発生時に被害の拡大を防止できる
- Active Directoryの活用がセキュリティ対策としてアピール材料になり、顧客からの信頼を獲得できる
Active Directory アクティブディレクトリを使用するデメリット
Active Directoryには様々なメリットがあることがわかりましたが、その一方でいくつかのデメリットもあります。
- Active Directoryによる制限が厳しいと、操作に対していちいち管理者の許可が必要になる
- ログが取得されていることで、ユーザーが心理的あるいは倫理的に気を遣うことがある
- Active Directoryの導入時に初期コストがかかる
- Active Directoryに対する不正アクセスにより、社内すべてのパソコンが乗っ取られる可能性がある
- Active Directoryの機能を使いこなすためには、専門的な知識や技術が必要
- ログを記録することは、社員の行動を監視していることになり、健全な企業経営につながらないことがある。
便利なActive Directoryですが上であげたようなデメリットもあります。特に初期コストとしては金銭的な費用だけでなく、Active Directoryを使いこなすための学習コストも含まれます。どのような目的でActive Directoryを導入し、どのような成果を得たいのか、予め決めておけば、無駄のないActive Directoryの導入につながるでしょう。
Active Directoryの注意点
便利なActive Directoryですが導入にあたり注意点もあります。
バージョンアップを忘れてしまうとセキュリティ的に危険
Active Directoryのバージョンアップは困難です。例えば富士通株式会社が公開している「Windows Server 2016 Active Directory 移行の手引き」を見ても、バージョンアップの手順として80ページにわたり解説されています。
Active DirectoryはWindows 2000で登場した古い技術です。企業によっては登場した当時のまま、古いActive Directoryを使い続けているところもあるでしょう。一筋縄ではいかないActive Directoryのバージョンアップですが、いつまでも古い環境のまま運用するのは、セキュリティ的に危険と言えます。
Active Directory配下のWindowsのバージョンアップにも注意
Active Directoryで設定するポリシーはWindowsのレジストリに保存されます。しかしWindowのレジストリ構造はWindowsのバージョンによって異なります。例えばWindows 7とWindows 10ではレジストリの構造が異なるため、レジストリの中に保存されているポリシーの構造が異なる可能性があります。
そのためActive Directoryで管理しているWindowsのOSのバージョンアップの際には、バージョンアップ後にポリシーが設定したように動作するか確認が必要です。
Active Directoryでセキュリティ対策強化ができるのか
Active Directoryの導入は、企業内におけるセキュリティ対策としての一面を持ちます。Active Directoryはパソコンを一括管理するための機能ですが、一括管理することで、最新のセキュリティ対策ソフトやセキュリティパッチを管理下のパソコンに同時に抜けなくインストールすることができます。それとは逆に許可していないソフトウェアのインストールを禁止することができ、外部からのマルウェア感染のリスクを減らすことも可能です。
Active Directoryにおける認証機能は、ユーザーがパソコンにログオンしたログを記録できます。これにより不正アクセスの防止や、アクセスした人物の特定ができます。何らかの内部犯行を抑止することにもつながるでしょう。
まとめ
Active Directoryは企業内で管理しているパソコンをドメインと呼ばれる領域の内部で一括管理できる機能です。Windows Serverに標準で搭載しているソフトウェアですが、しっかりとした運用には少なからずコストが発生します。
しかしActive Directoryを導入すれば、システム管理者の負担軽減や、リモートによるパソコンのメンテナンス、そして無駄のないユーザーIDとパスワードの管理など様々なメリットが得られます。さらにセキュリティ対策としての一面も持ちます。
Active Directoryを活用すれば、業務効率を向上させるだけでなく、無駄のないシステム管理を行うことができるでしょう。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
ID管理システム10選を比較!重要性や目的別選び方
シングルサインオン(SSO)とは?仕組み・認証方式
サードパーティ製セキュリティソフト、仕組みや注意点について徹底解説
ケルベロス認証とは?仕組みやメリット、シングルサインオン方式について徹底解説
マイナンバー制度開始とWindows10の3つの新機能について
プライバシーマーク・Pマーク取得の4つのメリット
EntraIDとは?セキュリティと認証管理の基礎解説
国際イベントにおけるセキュリティ対策の重要性について
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
