Active Directory 論理モデルとはUnderstanding the Active Directory Logical Model

適用先:Windows Server 2016 では、Windows Server 2012 R2、Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Active Directory Domain Services (AD DS) の論理構造を設計するには、ディレクトリ内のコンテナー間のリレーションシップを定義する必要があります。Designing your logical structure for Active Directory Domain Services (AD DS) involves defining the relationships between the containers in your directory. これらの関係は、権限の委任などの管理要件に基づいている場合もあれば、レプリケーションを制御する必要などの運用要件によって定義される場合もあります。These relationships might be based on administrative requirements, such as delegation of authority, or they might be defined by operational requirements, such as the need to control replication.

Active Directory 論理構造を設計する前に、Active Directory 論理モデルを理解しておくことが重要です。Before you design your Active Directory logical structure, it is important to understand the Active Directory logical model. AD DS は、ネットワークリソースに関する情報と、ディレクトリ対応アプリケーションからのアプリケーション固有のデータを格納および管理する分散データベースです。AD DS is a distributed database that stores and manages information about network resources as well as application-specific data from directory-enabled applications. AD DS を使用すると、管理者はネットワークの要素 (ユーザー、コンピューター、デバイスなど) を階層構造に整理できます。AD DS allows administrators to organize elements of a network (such as users, computers, and devices) into a hierarchical containment structure. 最上位のコンテナーはフォレストです。The top-level container is the forest. フォレスト内にはドメインが、ドメイン内には組織単位 (Ou) が含まれます。Within forests are domains, and within domains are organizational units (OUs). これは論理モデルと呼ばれます。これは、各ドメインおよびネットワークトポロジ内で必要とされるドメインコントローラーの数など、デプロイの物理的な側面に依存しないためです。This is called the logical model because it is independent of the physical aspects of the deployment, such as the number of domain controllers required within each domain and network topology.

Active Directory フォレストActive Directory forest

フォレストとは、共通の論理構造、ディレクトリスキーマ (クラスと属性の定義)、ディレクトリ構成 (サイトとレプリケーションの情報)、およびグローバルカタログ (フォレスト全体の検索機能) を共有する1つ以上の Active Directory ドメインのコレクションです。A forest is a collection of one or more Active Directory domains that share a common logical structure, directory schema (class and attribute definitions), directory configuration (site and replication information), and global catalog (forest-wide search capabilities). 同じフォレスト内のドメインは、双方向の推移的な信頼関係に自動的にリンクされます。Domains in the same forest are automatically linked with two-way, transitive trust relationships.

Active Directory ドメインActive Directory domain

ドメインは Active Directory フォレスト内のパーティションです。A domain is a partition in an Active Directory forest. データをパーティション分割すると、組織は必要な場所にのみデータをレプリケートできます。Partitioning data enables organizations to replicate data only to where it is needed. このようにして、ディレクトリは、使用可能な帯域幅が限られているネットワーク経由でグローバルに拡張できます。In this way, the directory can scale globally over a network that has limited available bandwidth. さらに、ドメインは、次のような管理に関連する多くの主要な機能をサポートしています。In addition, the domain supports a number of other core functions related to administration, including:

  • ネットワーク全体のユーザー id。Network-wide user identity. ドメインを使用すると、ユーザー id を一度作成し、ドメインが配置されているフォレストに参加している任意のコンピューターで参照できます。Domains allow user identities to be created once and referenced on any computer joined to the forest in which the domain is located. ドメインを構成するドメインコントローラーは、ユーザーアカウントとユーザー資格情報 (パスワードや証明書など) を安全に保存するために使用されます。Domain controllers that make up a domain are used to store user accounts and user credentials (such as passwords or certificates) securely.

  • 認証。Authentication. ドメインコントローラーは、ユーザーに認証サービスを提供し、ユーザーグループのメンバーシップなどの追加の承認データを提供します。これを使用すると、ネットワーク上のリソースへのアクセスを制御できます。Domain controllers provide authentication services for users and supply additional authorization data such as user group memberships, which can be used to control access to resources on the network.

  • 信頼関係。Trust relationships. ドメインでは、信頼関係によって、自分のフォレストの外部にあるドメイン内のユーザーに認証サービスを拡張できます。Domains can extend authentication services to users in domains outside their own forest by means of trusts.

  • レプリケーション。Replication. ドメインは、ドメインサービスを提供するのに十分なデータを含むディレクトリのパーティションを定義し、ドメインコントローラー間でレプリケートします。The domain defines a partition of the directory that contains sufficient data to provide domain services and then replicates it between the domain controllers. この方法では、すべてのドメインコントローラーがドメイン内のピアであり、1つの単位として管理されます。In this way, all domain controllers are peers in a domain and are managed as a unit.

Active Directory 組織単位Active Directory organizational units

Ou を使用して、ドメイン内のコンテナーの階層を形成できます。OUs can be used to form a hierarchy of containers within a domain. Ou は、管理目的でオブジェクトをグループ化するために使用されます (グループポリシーの適用や権限の委任など)。OUs are used to group objects for administrative purposes such as the application of Group Policy or delegation of authority. コントロール (ou とその中のオブジェクト) は、ou のアクセス制御リスト (Acl) と OU 内のオブジェクトによって決定されます。Control (over an OU and the objects within it) is determined by the access control lists (ACLs) on the OU and on the objects in the OU. 多数のオブジェクトの管理を容易にするために、AD DS では、権限の委任の概念がサポートされています。To facilitate the management of large numbers of objects, AD DS supports the concept of delegation of authority. 委任によって、所有者はオブジェクトに対する完全または制限された管理制御を他のユーザーまたはグループに転送できます。By means of delegation, owners can transfer full or limited administrative control over objects to other users or groups. 委任は、管理タスクを実行するために信頼されている多数のユーザーに対して、多数のオブジェクトの管理を分散するのに役立つため、重要です。Delegation is important because it helps to distribute the management of large numbers of objects across a number of people who are trusted to perform management tasks.