2000年にリリースされたWindows 2000 Server で初めて登場したActive Directory（AD）は、今や企業の認証管理のデファクトスタンダートとなると言っても過言ではありません。企業で長い期間使用されているADについて基本的な仕組みについてご紹介します。

 

【歴史を紐解く】前から使ってるけど、ADってなんだ？！

Active Directory（AD）は、マイクロソフトが開発したユーザーとコンピューターを管理するディレクトリ・サービス・システムです。2000年に発売されたWindows 2000 Serverから標準搭載されるようになりました。
マイクロソフトは、もともとクライアントOSを開発していました。1985年にはWindows1.0、1995年にはWindows95が発売されました。
Windows95 のGUIによる視覚的・直感的な操作性やマルチタスクといった使い勝手が評価され、発売当日は深夜販売を始める店舗も多く、マスコミが多く取り上げて社会現象にもなりました。Windows95はその練られたマーケティングによって、クライアントOSのデファクトスタンダートとなりました。
マイクロソフトはサーバーOSの開発にも着手し、1993年にはWindow NTを開発し、1996年にはWindows NT 4.0が発売されました。
それまで、「サーバーにはグラフィカルな画面表示が必要ない」とされてきましたが、Windows NT4.0はWindows95のGUIを継承。クライアントOSを操作するのと同じ感覚でサーバー操作できるようになり、企業担当者からは高い評価を受けました。
2000年に発売されたWindows 2000 ServerはWindows NT4.0の後継となり、ADは目玉機能として注目されました。Windows NT4.0の最大ユーザー登録数は4万人で、これでは大規模環境の運用に耐えられないということで、ディレクトリサービスとしてADが開発されました。

 

【復習】ADの基本的な仕組み

ADは入力したアカウントとパスワードをもとにユーザーを認証し、管理するコンピューターリソースへのアクセスを許可する機能を提供します。

認証したユーザーがサーバー群に対して、どこまで利用できるのかを定義したものが「ドメイン」と呼ばれます。核となるドメイン機能には以下の3つがあります。

・ディレクトリデータベース

ユーザーに紐づく情報を格納するツリー状のデータベースシステムです。アカウント、パスワードだけでなく、所属やメールアドレス、携帯番号などの属性を格納することができます。ADではこのデータベースにLDAPの形式を採用しています。

・認証／承認

ユーザーがアクセスする際に、権利があるのかを判定しなくてはなりません。ADでは、この認証／承認の役割を「Kerberos」（ケルベロス）の機能が担っています。この機能によりユーザーが入力したアカウント名とパスワードが正しいかどうか（認証）、そしてサーバーへのアクセスが認められるかどうか「承認」を行います。それと同時にコンピューターとパスワードを送信してコンピューターの認証も行っています。
認証では、ユーザーがアカウントとパスワードを入力します。認証に成功した場合、ドメインコントローラーからチケットが発行されます。
承認では、ユーザーがサーバーにアクセスする際に、ドメインコントローラーにチケットを送信します。ドメインコントローラーはユーザーがアクセスしたいサーバー用のチケットを発行し、ユーザーはそのチケットをアクセスしたいサーバーに送信します。

・グループポリシーによる制御

クライアントコンピューターにそれぞれ設定する代わりに、グループポリシーによって一括で設定できます。たとえば総務部から営業部へ異動した場合、営業部のポリシーでアクセス制御をしなければいけませんが、対象の社員の部署を変更するだけで、アクセス制御が適用されることになり、運用負荷が軽減します。

ADはもともとドメイン機能として開発されましたが、今では拡張してドメイン機能を中心にさまざまな機能を提供するブランドになっています。

 

【大も小も兼ねる】ADのメリットとは

ではADは、どのようなメリットがあるのでしょうか。

・シングルサインオンできる

複数のサーバーにアクセスする場合でも、最初のアクセスで認証できれば、アクセス権のある他のサーバーに認証なしでアクセスできます。ユーザーは異なるサーバーにアクセスするたびにアカウントとパスワードを入力する必要がなく、ユーザビリティが向上します。また、運用部門側もサーバー単位でユーザーアカウントとパスワードを管理しなくても済みます。
また、最近の企業のシステムでは、オンプレミスとクラウドサービスで構成されることも多くなっています。その場合は、ADに付属している「Active Directoryフェデレーションサービス」（ADFS）を連携させると、オンプレミスで行った認証で、クラウドの認証も行うことができます。

・大規模環境に適用できる

Windows 2000 Server 開発のきっかけとなりましたが、大規模環境でもユーザー管理に耐えられるように設計されています。他の企業と合併する場合でも、異なるADドメイン間で信頼関係を設定することができます。
一方、十数人ユーザーで運用している企業も多く、大規模環境でも小規模環境でも使い勝手のよい仕組みといえるでしょう。

・人事情報との紐づけができる

従来のWindows NT4.0のドメインコントローラーは、アカウントに人事情報などを紐づけたい場合に、独自のアプリケーションやサードパーティのディレクトリーサーバーを併用する必要がありました。ADではアカウントをOU（組織単位）でグルーピングできるため、大量のユーザーをツリー形式でシンプルに管理できます。

【活用術】Windows10への移行でADを活用

Windows7の延長サポートが2020年1月14日に迫っており、多くの企業ではクライアントOSをWindows10へ移行し始めています。Windows10は「最後のWindows」と呼ばれるように、以降のOSのバージョンアップは、すべて更新プログラムで提供されます。
とても便利で機能的なサービスなのですが、社内で使用するシステムやアプリケーションが更新プログラムに対応しているとは限らず、Windowsを更新したために、社内のシステムを起動させることができなくなることもあります。
ADではグループポリシーで一定期間プログラム更新を延期するよう設定することで、システムが急に動かなくなるリスクを回避することができます。
また、ADのバージョンがWindows Server 2008 以降のドメインコントローラーであれば、Windows10のコンピューターをドメインに参加させることができます。
ただし、ADのバージョンがWindows Server 2012 R2 以前のドメインコントローラーであれば、Windows10で追加されたグループポリシーをデフォルトで設定することができません。その場合はMicrosoft のダウンロードセンターからWindows10のグループポリシーをダウンロードし、設定しておく必要があります。

 

【まとめ】塩漬けにされているAD設定、見直してみませんか？

ADの提供開始は2000年と歴史も古く、前の担当者が設定してそのままになっている企業も多いのではないでしょうか。
もしかしたら現在のポリシーと合わなくなっているかもしれません。
この機会にADの仕組みを把握し、御社の設定を見直してみてはいかがでしょうか。

 

【執筆：編集Gp　山際 貴子】