サーバOSの中核機能の1つを知っていますか？

ディレクトリサービス「Active Directory」を理解しよう

2010年02月23日 09時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

第4回では、Windows Serverの各種サービスについて解説した。続いては、Windows Serverでは「Active Directory」と呼ばれるディレクトリサービスについてだ。Active DirectoryはWindowsを含めたマイクロソフト製品の動作基盤となるため、4回続けて紹介していく。まずは、ディレクトリサービス自体の説明だ。

Active Directoryの機能

　Windows Serverについて学習するときは、Active Directoryの理解が欠かせない。WindowsネットワークではActive Directoryに基づいて、多くの機能が提供されるからだ。特にセキュリティ機能は、Active Directory環境を前提とすることが多い。Active Directory環境なしに安全な企業システムを構築することは、事実上不可能と考えてもよいくらいだ。そこで本企画では、Windows Serverの具体的な利用方法を解説する前に、Active Directoryの概念について紹介することにしよう。

　まず知っておきたいのは、Active Directoryは単一のサービスではない点だ。おもな機能だけでも以下の3つが挙げられる（括弧内は利用するプロトコル）。

ディレクトリサービス（LDAP）
ユーザー認証（Kerberosバージョン5）
クライアント管理（SMB：ファイル共有）

　(1)のディレクトリサービスにはさまざまな情報が格納される。この情報にアクセスする手順に対する標準プロトコルがLDAP（Lightweight Directory Access Protocol）である。ディレクトリサービスは一般に馴染みが薄いため、あとで詳しく解説する。

　さて、ディレクトリサービスが提供する情報に対して、だれでも自由にアクセスできるのは望ましくない。自宅の電話番号など、個人的な情報も含まれる可能性があるからだ。そのため、アクセスしているユーザーの役割に応じた範囲で情報を開示すべきである。そこで、ディレクトリサービスには、現在システムを利用している人（ログインユーザー）が誰なのかを識別する機能が求められる。これが(2)のユーザー認証である。ユーザー認証にはKerberosバージョン5が用いられる。Windowsの場合、認証結果はファイルのアクセス許可などにも利用される。認証結果をどのように使うかについては、次回に詳しく解説する。

　また、クライアントコンピュータの構成を自動化したり、ユーザー設定を標準化したりするために用いられるのがグループポリシーである。グループポリシーの情報はファイルで保存され、クライアントがダウンロードして使用する。グループポリシーが使うプロトコルは、上記(3)のように、ファイルをダウンロードするための「SMB（Server Message Block）」である。

　LDAPとKerberosはRFCで標準化されており、Windows以外のOSからも利用できる。しかし、グループポリシーの機能はWindows固有であり、他のOSでは使えない。正確には、グループポリシーが定義されたファイルをダウンロードするまではWindows以外でも可能だが、ポリシーを解釈して実現する機能はWindowsのみに組み込まれている。グループポリシーについては、回を改めて詳しく紹介しよう。

　なお、「Active DirectoryのActiveには何の意味があるんですか」と聞かれることがよくあるが、大した意味はなく「格好よい」程度の語感で選んだようだ。筆者がActive Directoryにかかわり始めたのが1997年。すでにActive Directoryという名称は決まっていた。前年の1996年にはOLEベースの技術が「ActiveX」という名前に変わった。同じ頃、Webページを動的に構成するシステムが「Active Server Pages（ASP）」という名称で登場した。Activeは当時のマイクロソフトの流行だったようだ。結局のところ、ActiveXもActive Server PagesもActiveに大した意味はないらしい。

（次ページ、「ディレクトリサービスとは」に続く）

前へ 1 2 3 次へ

ツイートする

カテゴリートップへ