日経NETWORK 4月号 Active Directory 基礎の基礎

「社内の複数のパソコンやサーバをまとめて管理したい」「セキュリティを強化したい」
このようなときに企業システムの運用管理にとって便利なものが「Active Directory」である。
そこで、Active Directoryの基礎を理解し、効率よくクライアントパソコンやサーバを管理する方法を学んでいく。

■Part.1 そもそもActive Directoryとは?
・Active DirectoryはWindows Serverが備えるITリソースの管理機能で、Windows 2000 Serverから導入された。
・クライアントパソコンやサーバ、プリンターなど企業ネットワークに接続された様々なITリソースを効率よく管理できる。
・エンドユーザは、クライアントパソコンから1度ログオンに成功すれば、複数のITリソースにアクセスが可能となる。
・管理者は、サーバやクライアントパソコン情報をドメインコントローラー上でまとめて管理することができる。
・コンピュータやそのユーザに対し、管理者が任意の設定をActive Directoryで強制的に施す仕組みも備えている。
 これを「グループポリシー」と呼ぶ。
・グループポリシーは、コンピュータやそのユーザの設定をかなり細かく制御ができる。

■Part.2 複雑な用語を整理して、グループポリシーの全体像を把握
・Active Directoryを区切って作成される「範囲」により「ドメイン」「サイト」「フォレスト」を使い分ける。
 以下にそれらの詳細な説明を記載する。
●フォレスト
→ドメイン、サイトなどを内包するActive Directoryで最大の範囲。
→Active Directoryの初期設定時に必ず自動で作成される。
●ドメイン
→最も重要かつ、基本的な範囲で、その範囲内の構成要素を主にツリー状に管理する。
→同じ階層の複数のドメイン同士が連携し、相互にITリソースを使える状態を「信頼関係を結ぶ」という。
  →1つのフォレスト内に複数作成可能。
●サイト
→ドメインコントローラーの同期が即時に実行される範囲。
  →通常はLANを1つのサイトに設定する。
→サイト内で、どこかのドメインコントローラーで管理用データベース情報に変更が加わった場合、別のドメインコントローラーに即時に反映するため、データベースの複製トラフィックが頻繁に発生する。
・グループポリシーでは、管理対象であるコンピュータ/ユーザアカウントに対し、管理者が定めたポリシーを強制的に適用する。
・コンピュータアカウントやユーザアカウント、グループアカウントを格納して分離できる「箱」のような概念を「OU(Organizational Unit)」と呼ぶ。
・クライアントPCなど、Active Directoryで管理する対象に、どんな設定を適用するかの情報をまとめたものを「グループ・ポリシー・オブジェクト(GPO)」という。
・1つのGPOに複数のGPP(グループポリシー基本情報)を設定することができる。
・以上を踏まえ、ポリシーを利用する際の基本的な流れを簡潔に示す。
 ①ポリシーを適用する対象(コンピュータ/ユーザアカウント)を決める
 ②OUなどの管理単位を作成する
 ③ポリシーを適用する対象を、OUなどの「箱」に所属させる
 ④ポリシーで実現したい設定に沿ってGPO作成・編集する
 ⑤管理単位に適切なGPOを関連付ける
 ⑥OU内のアカウントにポリシーを適用

今回のテーマについては、自分にとっては知らないこと、仕組みが多々あった。
しかし、会社という組織に所属している以上、社内で使用している自分のパソコンなどの機器を管理することは大変なことであり、重要なことである。
そこで、Active Directoryについての理解を深めるために、実際にグループポリシーを作成して体感することで、より簡単に管理ができ、かつより便利に機器を使うことができるということを実感してみたい。


コメントを残す