ADドメイン
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/08/21 18:19 UTC 版)
「Active Directory」の記事における「ADドメイン」の解説
ADドメインとは、Windows 2000 Server以降のWindows Server DCで構成される、ユーザーとコンピュータの管理単位である。 DCはADをインプリメントした実体であり、ディレクトリデータベースにPCやユーザー、グループなどのアカウントを登録することにより、ユーザーやコンピュータの権利と権限の集中管理を可能とする。また、「グループポリシー」機能によってPCやユーザーの環境を制御できる。 ADドメインに登録されたユーザは「Domain Users」など何らかのセキュリティグループに所属しており、通常は管理を簡略化するためグループ単位でセキュリティを設定する。セキュリティグループには、適用範囲の狭い順に「ビルトインローカル」「ドメインローカル」「グローバル」「ユニバーサル」の4種類があり、異なる種類のグループを別のグループに所属させる“入れ子”も可能である。 ADドメインの主要な機能である、ユーザー認証とグループポリシーの適用を管理する機能を持たされた特別なサーバがDCである。DCはクライアントPCから常に参照可能でなければならないため、IPアドレスを固定で割り当てる必要がある。ADドメインのドメイン階層構造はDNSの名前階層構造をLANに応用したものであり、コンピュータ間の名前解決にはDNSサーバが必須である。 基本的に1つのフォレストに1台のDNSサーバがあればサブドメインを含めて統一管理できるので、必ずしもADのサブドメインにDNSサーバを設置しなくてもよい。ただし1台だけではサービス効率と耐障害性が劣るため、通常は複数台設置する。 ディレクトリデータベースはDC間で「マルチマスタレプリケーション」が行われており、ユーザアカウントの登録などディレクトリデータベースへの変更操作は、基本的にすべてのDCで可能である。ただし、Windows Server 2008の「読み取り専用DC」においてはこの限りではない。ちなみにNTドメインではSAMの“原本”を扱うプライマリDCがただ1台あり、必要に応じてバックアップDCを追加する。ユーザアカウントの登録などは常にプライマリDCが行い、バックアップDCは複製されたSAMを参照してユーザー認証を行う。 フォレストの階層構造の変更や、オブジェクトの元となるスキーマの編集、相対IDの発行などは、ドメインまたはフォレストごとに1台存在する、Flexible Single Master Operations (FSMO) の操作マスタを実行するDCが占有的に操作する。 ログオン認証などでは、サイズが大きくサーチに時間がかかるディレクトリデータベースよりも、もっぱら簡易なグローバルカタログ(GC)が多用される。
※この「ADドメイン」の解説は、「Active Directory」の解説の一部です。
「ADドメイン」を含む「Active Directory」の記事については、「Active Directory」の概要を参照ください。
- ADドメインのページへのリンク
