ADの用語についてまとめてみる
ADとは
Windows serverの機能で、ユーザーとコンピューターを管理し、ユーザー認証とアクセス制御の機能を提供する ADとだけ言われた場合は、AD DS(ドメインサービス)のことをさしていることが多い
ADが提供する機能5つ
- ドメインサービス
- 証明書サービス (社内認証局)
- フェデレーションサービス (SSO)
- Rights Management (暗号化やアクセス制御)
- ライトウェイトディレクトリサービス (ディレクトリデータベース)
ドメイン
ADによる管理の単位。 (= ADを使ってSSOできる範囲)
WindowsPCはドメインまたはワークグループのいずれかに所属する必要がある
ドメインサービス
ドメインコントローラー
ドメイン機能を実装したWIndows serverのこと ADサーバーとも呼ばれる
フォレスト
ドメインツリー同士を信頼関係で繋いだ時の最大範囲。(1番大きなくくり)
ドメインツリー
ルートドメインがxx.comとしてaa.xx.comは子ドメインといい、この親子構造をドメインツリーと呼ぶ この二つには双方向の信頼関係がある。
OU 組織単位
ドメイン内で管理を分けたい場合に利用する。 ドメインが会社でOUが部署のイメージ
サイト
拠点毎にドメインをまとめた単位 = 高速に通信ができるコンピュータをまとめている
- PCはサイト内のDCを優先的に利用する
- DCの複製はサイト内でのみ行われ、代表のDCがサイト間の複製を行う。
グループポリシー
ドメインコントローラーに保存される、ドメインに参加するコンピュータやユーザーに設定を適用する機能
ドメイン参加しているコンピューターに適用される。ユーザーはドメイン参加していないとIDがなく、PCにログインできない
SSO シングルサインオン
一度認証するとどのサーバーにもアクセス可能になること。
ADFS (Active Directory フェデレーションサービス)
ワークグループ
コンピュータまいにセキュリティ制御やユーザー登録をする。 ドメインコントローラが不要でコストが安い。 運用コストを考えるとドメイン管理する方が良い
信頼関係
ドメインどうしを結びつけ、信頼したドメインからアクセスできるようになる。
Kerberos
認証及び認可の確認を行う機能(プロトコル) 入力された認証情報が正しいか確認 + 特定のサーバーへのアクセス圏があるかの確認。
LDAP
Lightweight Directory Access Protocol ADで採用されているディレクトリデータベースの規格
ダイナミックアクセス制御
Windows Server 2012からサポートされた。グループ単位ではなく、属性情報をもとにアクセス権を定義できる仕組み
マルチマスター複製
ADの複製の方式 45秒以内で全ての複製が完了する。 変更15秒後にフォワーダ先のドメインコントローラに変更通知する。
グローバルカタログサーバー
検索に用いるデータが集約され、早く検索できる 「Active Directoryサイトとサービス」から変更する
参考
Active Directory(ドメインコントローラー) の全て|初心者でもADサーバーを完全に理解できる | IT trip