danishnetのブログ

「デキるネットワークエンジニアになるために。」

学び初め - Active Directory

いままでずっと使ってきました。Active Directory。1ユーザーとして。ずっと会社のクライアントPCはAD環境でした。

 昔はなんとなーくそんなんがあるなぁ、でもL3屋さんの仕事じゃないなぁなんて見てみないふりをしてきて、どこかの時点でやっとそろそろ知っておかないとなぁと思い始めました。だけどやらず終い。それでどれだけ経ったでしょうか。たとえネットワークが専門とはいえ、これだけ広く使用されている且つ会社の今後のOffice365の導入の流れもあるしで、このままではいかんと一念発起することにしました。

 事の発端は、会社の海外拠点のIT周りのインフラを全般整えるという大きなプロジェクトの専任になったからというのがあります。ネットワークだけでなくITっぽいことは全部やる(電話系もプリンタも)事になって、AD導入は当然として、いままで逃げてきたもの達についに立ち向かわざるを得なくなったためという感じで。VMwareとかADはまだ想定内だったとして、PBXやネットワークプリンタまで今から勉強することになるとは思ってなかった。

 いい機会なので一番興味があって知識が欲しいと思ったActive Directoryから始めることにしたため早速MCPのActiveDirectoryのKindle版を購入しました。

 まー今回は最後はベンダさんに設定はお願いするから自分でごりごりサーバ立ち上げるとかはないと思うけど、せめてベンダのエンジニアと話ができるくらいにはなっておかないと。というのが目の前の目標です。そのためにこのブログで知識整理をしていこう。

前置きが長くなった。まずは用語を覚えるところから。

 

■ADの専門用語

フォレストActive Directoryで管理できる最も大きな単位。1つ以上のドメインで構成される。1つ目のドメインを構築した時に自動的に作成される。

オブジェクトドメインに登録したユーザーアカウントやコンピューターアカウントのこと

ドメイン】ユーザーオブジェクトやコンピューターオブジェクトなどの登録情報、ActiveDirectoryに公開した共有フォルダーやプリンタ情報、システムやアプリケーションの構成情報などが保存される。

ドメインコントローラー】AD DS(Active Directory Directory Service)をインストールしたコンピューターの事で、ドメイン全体を管理する。ドメインコントローラーは冗長性を持たせるために2台以上で構成する。同一ドメインドメインコントローラーは、ディレクトリデータベースの完全なコピーを持つ。DCの基本機能としてユーザーがログインするときの認証サーバ(Kerberos認証)として動作する。構築するためにはDcpromo.exeというプログラムを実行。(同時にDNSサーバのインストールも必須となる。)

  ちなみにADのディレクトリサービスLDAP、ファイル共有はSMBプロトコルを使用する。この辺はネットワークエンジニアとしてのKerberos Authenticationの説明が非常にわかりやすく、視野拡大のため一通り覚えておきたい。

OU(Organizational Unit)ドメイン上に作成するオブジェクトの入れ物(入れ物と表現している。)

DNSサーバ】ActiveDirectoryドメイン環境でドメインに参加しているコンピューターがADデータベースにアクセスする際に(ユーザーログオン認証など)、DNSサーバにドメインコントローラーに情報を問い合わせるために必要となる。

フォワーダーDNSサーバ自身で名前解決が解決できない際に、別のDNSサーバに名前解決要求をフォワード(転送)する機能の事。この機能を使用すればインターネット上のDNSドメイン階層と統合させる事ができる。

 【グローバルカタログサーバ】フォレスト内の全ドメインのユーザーやコンピューターなど、利用頻度の高い情報が保存されるサーバ。これにより他のドメインに存在するユーザーやコンピューターなどのオブジェクトを検索するすることができる。

 

 

 

 <<<ADとは集中管理型の認証基盤であることがわかるが、ADを使用しない場合にデフォルト認証方式であるWORKGROUPついてまとめる。>>>

 

■WORKGROUP

ドメインコントローラーによる集中管理型のADに対して、WORKGROUPはローカル管理型のシステムという特徴があります。(Windows Server 2008のインストール後は、デフォルトでワークグループとして動作するよう構成される。最初のワークグループ名は「WORKGROUP」である。)

 

【WORKGROUPの特徴】

  ●各コンピューターは「ローカルに」SAM(Security Account Manager)ファイルというユーザーアカウントデータベースを持つ
  ●ユーザーがコンピューターにログオンする場合、コンピューターのローカルSAMファイルに登録されているユーザー名とパスワードを入力する必要がある。
  ●ログオン後、ネットワーク経由で他のコンピューターにアクセスするときは、アクセス先のSAMに登録されているユーザー名とパスワードの組み合わせで認証される必要があります。

 

ドメインに参加するWindowsコンピューターは、Active Directory に登録されているユーザーだけでなく、ローカルSAMファイルに登録されているユーザーを利用することも可能。ただし、ユーザー管理が分散するために非推奨である。