Active Directory 論理モデルとは

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

Active Directory Domain Services (AD DS) の論理構造を設計するには、ディレクトリ内のコンテナー間のリレーションシップを定義する必要があります。 これらのリレーションシップは、権限の委任などの管理要件に基づいている場合もあれば、レプリケーションを制御する必要などの運用要件によって定義される場合もあります。

Active Directory 論理構造を設計する前に、Active Directory 論理モデルを理解しておくことが重要です。 AD DS は、ネットワーク リソース、およびディレクトリ対応アプリケーションに固有のデータが保存、管理される分散データベースです。 AD DS を使用すると、管理者は、ネットワーク要素 (ユーザー、コンピューター、デバイスなど) を、階層化された格納構造で管理できます。 最上位のコンテナーはフォレストです。 フォレスト内にはドメインが、ドメイン内には組織単位 (OU) が含まれます。 これは論理モデルと呼ばれます。これは、各ドメインおよびネットワーク トポロジ内で必要とされるドメイン コントローラーの数など、展開の物理的な側面に依存しないためです。

Active Directory フォレスト

フォレストとは、共通の論理構造、ディレクトリ スキーマ (クラスと属性の定義)、ディレクトリ構成 (サイトとレプリケーションの情報)、およびグローバル カタログ (フォレスト全体の検索機能) を共有する 1 つ以上の Active Directory ドメインのコレクションです。 同じフォレスト内のドメインは、双方向の推移的な信頼関係に自動的にリンクされます。

Active Directory ドメイン

ドメインは Active Directory フォレスト内のパーティションです。 データをパーティション分割すると、組織は必要な場所にのみデータをレプリケートできます。 このようにして、ディレクトリは、使用可能な帯域幅が限られているネットワーク経由でグローバルに拡張できます。 さらに、ドメインは、次のような管理に関連する多くの主要な機能をサポートしています。

• ネットワーク全体のユーザー ID。 ドメインでは、ユーザー ID を作成して、ドメインがあるフォレストに参加しているどのコンピューターからでも参照できます。 ドメインを構成するドメイン コントローラーは、ユーザー アカウントとユーザー資格情報 (パスワードや証明書など) を安全に格納するために使用されます。

• 認証。 ドメイン コントローラーによってユーザーに認証サービスが提供されます。また、ユーザー グループのメンバーシップなどの追加の認可データも提供され、これを使用すると、ネットワーク上のリソースへのアクセスを制御できます。

• 信頼関係。 ドメインでは、信頼関係によって、自分のフォレストの外部にあるドメイン内のユーザーに認証サービスを拡張できます。

• レプリケーション。 ドメインを使用して、ドメイン サービスを提供するのに十分なデータが含まれたディレクトリのパーティションを定義し、ドメイン コントローラー間でレプリケートします。 この方法では、すべてのドメイン コントローラーがドメイン内のピアであり、1 つのユニットとして管理されます。

Active Directory 組織単位

OU を使用して、ドメイン内のコンテナーの階層を形成できます。 OU は、管理目的でオブジェクトをグループ化するために使用されます (グループ ポリシーの適用や権限の委任など)。 (OU とその中のオブジェクトの) コントロールは、OU と OU 内のオブジェクトのアクセス制御リスト (ACL) によって決定されます。 多数のオブジェクトの管理を容易にするために、AD DS では、権限の委任の概念がサポートされています。 委任によって、所有者はオブジェクトに対する完全または制限された管理制御を他のユーザーまたはグループに委譲できます。 この機能は、管理タスクを行うことが認められている複数のユーザー間で、多数のオブジェクトの管理を割り当てることができるため重要です。