遭遇した初心者ユーザー頭字語AD、Active Directoryとは何ですか? Active Directoryは、MicrosoftがWindowsドメインネットワーク用に開発したディレクトリサービスです。ほとんどのWindows Serverオペレーティングシステムに、一連のプロセスとサービスとして含まれています。当初、サービスは集中ドメイン管理のみに関係していました。ただし、Windows Server 2008以降、ADはさまざまなディレクトリベースのIDサービスの名前になりました。これにより、Active Directoryは初心者にとって学習に適した場所になります。
基本的な定義
ドメインサービスを実行しているサーバーActive Directoryディレクトリはドメインコントローラと呼ばれます。 Windowsネットワークドメイン内のすべてのユーザーとコンピューターを認証および承認し、すべてのPCにセキュリティポリシーを割り当てて適用し、ソフトウェアをインストールまたは更新します。たとえば、ユーザーがWindowsドメインに含まれているコンピューターにログオンすると、Active Directoryは提供されたパスワードをチェックし、オブジェクトがシステム管理者であるか標準ユーザーであるかを判断します。また、情報の管理と保存、認証と承認のメカニズムの提供、証明書サービス、フェデレーションおよびライトウェイトディレクトリサービス、権利管理などの関連サービスを展開するためのフレームワークの確立も可能になります。
Active Directoryは、LDAPバージョン2および3、MicrosoftのバージョンのKerberosおよびDNSを使用します。
Active Directoryとは何ですか?複雑なことについて簡単に言えば
ネットワークデータの追跡は退屈な作業です。 小規模なネットワークであっても、ユーザーはネットワークファイルやプリンターを見つけるのが難しい傾向があります。 ある種のディレクトリがないと、中規模から大規模のネットワークは管理できず、リソースを見つけることが困難になることがよくあります。
Microsoft Windowsの以前のバージョンには、ユーザーと管理者がデータを検索するのに役立つサービスが含まれていました。 ネットワーキングは多くの環境で役立ちますが、明らかな欠点は、扱いにくいインターフェースとその予測不可能性です。 WINSマネージャーとサーバーマネージャーを使用してシステムのリストを表示できますが、エンドユーザーはそれらを使用できませんでした。 管理者はユーザーマネージャを使用して、まったく異なる種類のネットワークオブジェクトのデータを追加および削除しました。 これらのアプリケーションは、大規模なネットワークでの作業には効果がないことが判明し、なぜActive Directoryという会社では疑問を投げかけましたか。
ディレクトリは、最も一般的な意味では、オブジェクトの完全なリストです。 電話帳は、人、企業、政府機関に関する情報を格納するディレクトリの一種です。 通常、名前、住所、電話番号が含まれています。 質問する Active Directory-簡単に言えば、このテクノロジはディレクトリに似ていますが、はるかに柔軟です。 ADは、組織、サイト、システム、ユーザー、共有、その他のネットワークオブジェクトに関する情報を保存します.
Active Directoryの基本概念の紹介
なぜ組織はActive Directoryを必要とするのですか? Active Directoryの概要で述べたように、サービスにはネットワークコンポーネントに関する情報が格納されます。 初心者向けActive Directoryチュートリアルでは、 クライアントが名前空間でオブジェクトを検索できるようにします。 このt用語(コンソールツリーとも呼ばれます)は、ネットワークコンポーネントを配置できる領域を指します。 たとえば、本の目次は、章をページ番号にマッピングできる名前空間を作成します。
DNSは、ホスト名をIPアドレスに解決するコンソールツリーです。電話帳は、電話番号の名前解決に名前空間を提供します。 これはActive Directoryでどのように機能しますか? ADは、ネットワークオブジェクトの名前をオブジェクト自体に解決するためのコンソールツリーを提供し、 ネットワーク上のユーザー、システム、サービスなど、さまざまなオブジェクトを解決できます。
オブジェクトと属性
Active Directoryが監視するものはすべてオブジェクトと見なされます。 簡単な言葉で言うと、これはActive Directoryで ユーザー、システム、リソース、またはサービスです。 ADは多くの要素を追跡でき、多くのオブジェクトが共通の属性を共有できるため、オブジェクトという一般的な用語が使用されています。どういう意味ですか?
属性は、Active Directoryに対するオブジェクトを記述しますたとえば、Active Directoryでは、すべてのユーザーオブジェクトが属性を共有してユーザーの名前を格納します。これは彼らの説明にも当てはまります。システムもオブジェクトですが、ホスト名、IPアドレス、場所などの個別の属性セットがあります。
特定の属性に使用できる属性のセットオブジェクトのタイプはスキーマと呼ばれます。これにより、オブジェクトのクラスが互いに異なります。スキーマ情報は実際にはActiveDirectoryに保存されます。セキュリティプロトコルのこの動作が非常に重要であることは、スキーマによって管理者がオブジェクトクラスに属性を追加し、ドメインコントローラーを再起動せずにドメインの隅々までネットワーク全体に配布できるという事実によって示されます。
LDAPコンテナと名前
コンテナは、特別なタイプのオブジェクトです。サービスの作業を整理するために使用されます。ユーザーやシステムのような物理的なオブジェクトを表すものではありません。代わりに、他のアイテムをグループ化するために使用されます。コンテナオブジェクトは、他のコンテナ内にネストできます。
ADのすべてのアイテムには名前があります。これらは、たとえばIvanやOlgaなどに慣れているものではありません。これらはLDAP識別名です。 LDAP識別名は複雑ですが、タイプに関係なく、ディレクトリ内のすべてのオブジェクトを一意に識別できます。
タームツリーとサイト
用語ツリーは、セットを説明するために使用されますActiveDirectory内のオブジェクト。これは何ですか?簡単に言えば、これはツリーの関連付けを使用して説明できます。コンテナとオブジェクトを階層的に組み合わせると、ブランチを形成する傾向があります。そのため、この名前が付けられました。関連する用語は、隣接するサブツリーです。これは、ツリーの壊れないメイントランクを指します。
比喩を続けると、「森」という用語は次のように説明します同じ名前空間の一部ではないが、共通のスキーマ、構成、およびグローバルカタログを持つコレクション。これらの構造内のオブジェクトは、セキュリティが許せばすべてのユーザーが利用できます。複数のドメインを持つ組織は、ツリーを1つのフォレストにグループ化する必要があります。
サイトは地理的な場所ですActiveDirectoryで定義されています。サイトは論理IPサブネットに対応しているため、アプリケーションはネットワーク上で最も近いサーバーを見つけるために使用できます。 Active Directoryのサイト情報を使用すると、WANトラフィックを大幅に削減できます。
ActiveDirectory管理
ActiveDirectoryスナップインのコンポーネント-ユーザー。これは、ActiveDirectoryを管理するための最も便利なツールです。 [スタート]メニューの[管理ツール]プログラムグループから直接アクセスできます。 これは、Windows NT4.0のサーバーマネージャーとユーザーマネージャーを置き換えて拡張します。
安全性
Active Directoryは、Windowsネットワーキングの将来において重要な役割を果たします。 管理者は、タスクを他の管理者に委任しながら、侵入者やユーザーからディレクトリを保護できる必要があります。 これはすべて、アクセス制御リスト(ACL)をディレクトリ内のすべてのコンテナおよびオブジェクト属性に関連付けるActiveDirectoryセキュリティモデルを使用して可能です。
高レベルの制御により、管理者は個々のユーザーとグループに、オブジェクトとそのプロパティに対するさまざまなレベルのアクセス許可を付与できます。 オブジェクトに属性を追加し、特定のユーザーグループからそれらの属性を非表示にすることもできます。 たとえば、管理者だけが他のユーザーの自宅の電話を表示できるようにACLを設定できます。
委任された管理
Windows 2000 Serverの新しい概念は、管理の委任です。 これにより、追加のアクセス権を付与せずに、他のユーザーにタスクを割り当てることができます。 委任された管理は、特定のオブジェクトまたは隣接するディレクトリサブツリーを介して割り当てることができます。 これは、ネットワークを介して権限を付与するためのはるかに効率的な方法です。
そのすべてのグローバルドメイン管理者権限を誰かに割り当てると、ユーザーには特定のサブツリー内でのみ権限を付与できます。 Active Directoryは継承をサポートしているため、新しいオブジェクトはすべてコンテナからACLを継承します。
「信頼関係」という用語
信頼関係という用語は引き続き使用されますが、信頼関係にはさまざまな機能があります。 一国間信託と二国間信託の区別はありません。すべてのActiveDirectoryの信頼は双方向です。 さらに、それらはすべて推移的です。 したがって、ドメインAがドメインBを信頼し、BがCを信頼する場合、ドメインAとドメインCの間には自動的に暗黙の信頼関係があります。
Active Directoryでの監査-簡単に言うと何ですか?これは、オブジェクトにアクセスしようとしているユーザーと、その試行がどの程度成功したかを判断できるセキュリティ機能です。
DNS(ドメインネームシステム)の使用
ドメインネームシステム(DNS)は、インターネットに接続しているすべての組織にとって不可欠です。 DNSは、mspress.microsoft.comなどの一般名とネットワーク層コンポーネントが通信に使用する生のIPアドレスとの間の名前解決を提供します。
Active Directoryは、DNSテクノロジを広範囲に使用してオブジェクトを検索します。 これはからの重要な変更ですNetBIOS名をIPアドレスで解決する必要があり、WINSまたはその他のNetBIOS名前解決手法に依存する以前のWindowsオペレーティングシステム。
Active Directoryは、Windows 2000DNSサーバーで使用すると最適に機能します。 Microsoftは、管理者がプロセスをガイドする移行ウィザードを提供することにより、管理者がWindows 2000DNSサーバーに簡単に移行できるようにしました。
他のDNSサーバーを使用できます。ただし、この場合、管理者はDNSデータベースの管理により多くの時間を費やす必要があります。ニュアンスは何ですか? Windows 2000 DNSサーバーを使用しないことを選択した場合は、DNSサーバーが新しいDNS動的更新プロトコルに準拠していることを確認する必要があります。 サーバーは、ドメインコントローラーを見つけるためにレコードを動的に更新することに依存しています。快適ではありません。結局のところ、e動的更新がサポートされていない場合は、データベースを手動で更新する必要があります。
Windowsドメインとインターネットドメインは完全に互換性があります。 たとえば、mspress.microsoft.comなどの名前は、ドメインを担当するActive Directoryドメインコントローラーを識別するため、DNSアクセスを持つすべてのクライアントがドメインコントローラーを見つけることができます。 Active Directoryサーバーは新しい動的更新機能を使用してDNS内のアドレスのリストを公開するため、顧客はDNS解決を使用して任意の数のサービスを検索できます。 このデータはドメインとして識別され、サービスリソースレコードを通じて公開されます。 SRVRRは次の形式に従います service.protocol.domain。
Active DirectoryサーバーはオブジェクトをホストするためのLDAPサービスを提供し、LDAPは基盤となるトランスポートプロトコルとしてTCPを使用します。 したがって、mspress.microsoft.comドメインでActive Directoryサーバーを探しているクライアントは、ldap.tcp.mspress.microsoft.comのDNSレコードを探します。
グローバルカタログ
Active Directoryは、グローバルカタログ(GC)と 組織のネットワーク内のオブジェクトを見つけるための単一のソースを提供します。
グローバルカタログは、ユーザーがアクセスを許可されたオブジェクトを検索できるようにするWindows 2000Serverのサービスです。 この機能は、以前のバージョンのWindowsに含まれているFindComputerアプリケーションの機能。結局のところ、ユーザーはActive Directory内の任意のオブジェクト(サーバー、プリンター、ユーザー、アプリケーション)を検索できます。
