このページの本文へ

前へ 1 2 3 次へ

Windows Serverで学ぶサーバOS入門第5回

サーバOSの中核機能の1つを知っていますか?

ディレクトリサービス「Active Directory」を理解しよう

2010年02月23日 09時00分更新

文● 横山哲也/グローバルナレッジネットワーク株式会社

  • この記事をはてなブックマークに追加
  • 本文印刷

第4回では、Windows Serverの各種サービスについて解説した。続いては、Windows Serverでは「Active Directory」と呼ばれるディレクトリサービスについてだ。Active DirectoryはWindowsを含めたマイクロソフト製品の動作基盤となるため、4回続けて紹介していく。まずは、ディレクトリサービス自体の説明だ。

Active Directoryの機能

 Windows Serverについて学習するときは、Active Directoryの理解が欠かせない。WindowsネットワークではActive Directoryに基づいて、多くの機能が提供されるからだ。特にセキュリティ機能は、Active Directory環境を前提とすることが多い。Active Directory環境なしに安全な企業システムを構築することは、事実上不可能と考えてもよいくらいだ。そこで本企画では、Windows Serverの具体的な利用方法を解説する前に、Active Directoryの概念について紹介することにしよう。

 まず知っておきたいのは、Active Directoryは単一のサービスではない点だ。おもな機能だけでも以下の3つが挙げられる(括弧内は利用するプロトコル)。

  1. ディレクトリサービス(LDAP)
  2. ユーザー認証(Kerberosバージョン5)
  3. クライアント管理(SMB:ファイル共有)

 (1)のディレクトリサービスにはさまざまな情報が格納される。この情報にアクセスする手順に対する標準プロトコルがLDAP(Lightweight Directory Access Protocol)である。ディレクトリサービスは一般に馴染みが薄いため、あとで詳しく解説する。

 さて、ディレクトリサービスが提供する情報に対して、だれでも自由にアクセスできるのは望ましくない。自宅の電話番号など、個人的な情報も含まれる可能性があるからだ。そのため、アクセスしているユーザーの役割に応じた範囲で情報を開示すべきである。そこで、ディレクトリサービスには、現在システムを利用している人(ログインユーザー)が誰なのかを識別する機能が求められる。これが(2)のユーザー認証である。ユーザー認証にはKerberosバージョン5が用いられる。Windowsの場合、認証結果はファイルのアクセス許可などにも利用される。認証結果をどのように使うかについては、次回に詳しく解説する。

 また、クライアントコンピュータの構成を自動化したり、ユーザー設定を標準化したりするために用いられるのがグループポリシーである。グループポリシーの情報はファイルで保存され、クライアントがダウンロードして使用する。グループポリシーが使うプロトコルは、上記(3)のように、ファイルをダウンロードするための「SMB(Server Message Block)」である。

 LDAPとKerberosはRFCで標準化されており、Windows以外のOSからも利用できる。しかし、グループポリシーの機能はWindows固有であり、他のOSでは使えない。正確には、グループポリシーが定義されたファイルをダウンロードするまではWindows以外でも可能だが、ポリシーを解釈して実現する機能はWindowsのみに組み込まれている。グループポリシーについては、回を改めて詳しく紹介しよう。

 なお、「Active DirectoryのActiveには何の意味があるんですか」と聞かれることがよくあるが、大した意味はなく「格好よい」程度の語感で選んだようだ。筆者がActive Directoryにかかわり始めたのが1997年。すでにActive Directoryという名称は決まっていた。前年の1996年にはOLEベースの技術が「ActiveX」という名前に変わった。同じ頃、Webページを動的に構成するシステムが「Active Server Pages(ASP)」という名称で登場した。Activeは当時のマイクロソフトの流行だったようだ。結局のところ、ActiveXもActive Server PagesもActiveに大した意味はないらしい。

(次ページ、「ディレクトリサービスとは」に続く)


 

前へ 1 2 3 次へ

この連載の記事
ピックアップ