Active Directoryの構造を理解しよう

ディレクトリを構成するフォレスト、ドメイン、ツリーとは？

2010年03月02日 09時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

第5回では、ディレクトリサービス自体について説明した。今回は、Windows Serverでの実装であるActive Directoryの機能や、フォレスト、ドメイン、ツリーなどを見てみよう。また最後にコラムとして、筆者が持つ「マイクロソフトMVP（Directory Services）」など、マイクロソフトの資格と称号について紹介する。

Active Directoryの構造と機能

　Active Directoryが管理する領域を「ドメイン」と呼ぶ。「ドメイン」とは「領域」という意味だが、さまざまな意味に使われていて紛らわしい。Active Directoryの場合は、「データベース単位」という意味である。

　そしてActive Directoryでは、ドメインのデータベースを保持するサーバーを「ドメインコントローラ」と呼ぶ。Windows Server 2008では「ドメインサーバー」あるいは「Active Directoryドメインサーバー」ともいう。後者は「Active Directoryドメインサービス（AD DS）」に対応した言葉である。

　Active Directoryドメインには、DNSドメイン名が付けられる。たとえば、ascii.co.jpは有効なDNSドメインであり、Active Directoryドメイン名として適切な名前である。実際には、インターネットで使っているドメイン名と、社内用Active Directoryのドメイン名が同じだと混乱するので、異なる名前を付けることが多い。マイクロソフトの推奨命名規則は、「インターネット用に登録したドメイン名の子ドメイン（下位の階層）」だ。たとえば、ascii.co.jpであれば「corp.ascii.co.jp（corpはCorporateの意味）」である。

　Active Directoryドメインは、位置情報を含まない。DNSドメイン名には、国を示すもの（たとえばjp）もあるが、それは、そのドメインの管理主体を指すだけであって、物理的なサーバーがどこにあるかとは無関係である。それと一緒で、Active Directoryドメインの構造は「論理構造」と呼ばれる。

　多くのActive Directoryは単一ドメイン環境で構築されるが、種々の事情で、複数ドメインにより構成されることもある。この場合でも、各ドメインはそれぞれDNSドメイン名を持たなければならない。DNSドメイン名は階層構造を持つので、必然的にActive Directoryドメインも階層構造を持つ（図1）。もっとも、Active Directoryではドメイン階層に大きな意味がない。上位ドメインから下位ドメインに情報を継承するような仕組みは一切ないからである。

図1●Active Directoryツリーとフォレスト

　Active Directoryでは、一部の情報を階層構造を持つドメイン全体で共有する（継承ではない）。この情報共有の範囲が「フォレスト」だ。図1をもう一度見てもらうとわかるが、フォレストを構成するドメインは、上下階層を持つ場合と持たない場合がある。上下階層を持つ場合を「ツリー」と呼ぶ。一方、DNS階層が連続していても、情報を共有しない場合は同一ツリーでも同一フォレストでもない。

　フォレスト、ドメイン、ツリーは以下のルールで構成される。

既存のドメインと無関係に作成した新しいドメインは、新規フォレスト、新規ツリー、新規ドメインの全項目が成り立つ
新規ドメインを作成するとき、既存のドメインの子階層として構成できる。これがツリーを作成する唯一の方法である
新規ドメインを作成するとき、既存フォレストの一部であり、かつ既存ドメインとは無関係のDNS名を指定成できる。これが同一フォレスト別ツリーを作成する唯一の方法である

　親ドメインを追加したり、既存のドメインを統合して同一フォレストにすることはできないことに注意してほしい。

組織単位（OU）

　組織単位（Organizational Unit：OU）は、ドメイン内部の階層構造を実現する（図2）。ドメイン階層と異なり、OU階層は上位から下位へ引き継ぐ項目が多い。OUはドメインに登録されているオブジェクトの分類であり、現時点では単なる見出し程度に考えてもらえればよい。実際の使い方は次回以降で説明する。