【知っておきたい！】『Active Directory』を徹底解説！そのメリットから運用時の注意点まで解説します。

Active Directoryとは

 

 

Active Directoryとは、「ユーザーの認証を行うシステム」です。

「AD」とも呼ばれており、2000年にMicrosoftが提供したWindows Server2000で提供されたシステムです。

社内など限られたエリアのPCを「アカウント」と「パスワード」で一元管理するために利用されます。

現在では、認証に使えるキーは「アカウント・パスワード」以外にも、指紋認証やセキュリティカードを利用した認証もあり、また、クラウドサービスと連携した機能も実装されています。

ADを導入した後に「Active Directory サーバー」を止めることは、業務を止めることと同等の影響を及ぼすため、管理する場合にも細心の注意が必要です。

 

Active Directoryでできること

 

 

Active Directoryは多機能で、実現できる管理機能はさまざまですが、主に以下のような利用方法があります。

 

 

Active Directory（AD）を導入することで、ネットワークに接続されるすべての機器をコントロール・管理でき、セキュリティ面での強化に役立ちます。

 

ユーザーのアクセス制限

 

社内には複数の社員がいて、さまざまな部署にわかれて業務を行なっていますよね。

たとえばIT企業ならば、経理部とシステム開発部など、業務としては直接連携しない部署もあります。

経理部が使用するファイルサーバーには、システム開発部がアクセスする機会もありませんし、企業の重要なデータを扱う経理部のサーバーにだれもがアクセスできるという事態は、セキュリティ上も好ましくありません。

そこで、Active Directoryを導入することで、経理部として認証しなければアクセスできない場所（ドメイン）を制限し、経理部のPCで、かつ許可されたユーザーのみが経理部のファイルサーバーへアクセスできる、という環境を作ることができるのです。

 

PCおよび機器の接続制限

 

Active Directoryを導入することで、ADが構築する制限範囲（ドメイン）に接続する機器を制限することが可能です。

たとえば、外部から持ち込んだPCを社内ネットワークに接続しても、ファイルサーバーなどにアクセスすることはできませんし、そもそも社内ネットワークに接続することを防ぐこともできます。

ADサーバーが管理する制限範囲（ドメイン）には、ADサーバーが許可した機器しか接続はできないのです。

 

接続機器の一括管理

 

PCのWindows Updateやセキュリティソフトの更新を、Active Directoryに接続されているPCに対して一括で行うことができます。

また、開発に必要なツールがあれば、Active Directoryサーバーから一斉配布（インストール）を行うことも可能です。

つまり、すべての業務PCを常に同じ環境に整えておくことができ、一部のPCのソフトだけがバージョン不一致を起こすような環境エラーをなくすことができるということです。

 

Active Directoryのメリット

 

 

PCや周辺機器のアクセスを管理できるActive Directoryには、大きなメリットがあります。

 

 

ユーザーの一元管理

 

Active Directoryを利用する最大のメリットと言えるのが、ユーザーの一元管理です。

社内やプロジェクトに関係する社員や部署を、ドメインを分けた状態で一元管理をすることで、業務に最適なPC環境を提供できます。

社員やメンバーの増減があった場合にも、アクセス権の付与や剥奪をActive Directoryサーバーで権限操作するだけです。

 

情報アクセスのセキュリティ強化

 

だれがどこの情報にアクセスするかを、権限別に制限できます。先の例でも示した通り、システム開発部のユーザーが経理部のファイルサーバーへアクセスできない、というルールなど、Active Directoryだけで操作が可能です。

また、外部からの持ち込みPCに、一時的に権限を付与する際にも、細かなアクセス制限を施せますので、セキュリティ面の強化には最適です。

 

業務環境がすぐに作れる

 

新しいプロジェクトメンバーが入った場合でも、開発環境などの業務に必要なPC環境がすぐに整います。

本来ならば、PCを立ち上げ、セットアップし、開発ツールなどをひとつずつインストールする作業が必要ですが、これが不要になります。

Active Directoryサーバーへユーザーを登録することで、その他のメンバーと同じ環境をすぐに構築できるのです。

 

Active Directoryのデメリット

 

 

Active Directoryは管理上非常に便利なシステムですが、もちろんデメリットも存在します。

 

 

サーバーが停止すると全ての業務が止まる

 

Active Directoryは、すべてのPCおよび機器を一括で管理するサーバーです。メンバーがPCを立ち上げたら、まずドメイン（ADのグループ）に接続することでデスクトップ画面が立ち上がります。

ここで表示されるデスクトップ画面は、イメージとしては、目の前にあるPCのデスクトップではなく、ADが管理しているデスクトップ画面だと認識する必要があります。

つまり、Active Directoryサーバーが停止してしまうと、デスクトップ画面にすらアクセスできません。

サーバーが停止してしまうことは、すべての業務が止まってしまうということに等しいのです。

もちろん、ADサーバーは「プライマリー」と「セカンダリー」で、二重化した運用を基本としますが、サーバーが止まるだけで業務がストップしてしまうことは、大きなデメリットにもなり得ます。

 

Active Directoryを理解した管理者が必須

 

Active Directoryの管理には、仕組みとオペレーションを深く理解した管理者が必須です。管理者のオペレーションミスは、ユーザーの業務に大きな影響を与えるからです。

万が一、管理者が間違えてAさんのアカウントを削除すると、Aさんが構築した開発環境や、デスクトップに保存していたデータも、すべて失われてしまうのです。

また、サーバートラブルが起こった場合の切り戻しなど、理解していなければ解決できないトラブルもADには比較的多い印象があります。

ADを導入する場合には、専門知識のあるエンジニアを管理者として配置することが大切です。

 

運用時の注意

 

 

Active Directoryを運用するということは、業務のすべてを一元管理することと、同等である意識を持つ必要があります。

以下の点には特に注意しましょう。

 

 

管理方法は徹底する

 

 

Active Directoryを導入する際には、最初から管理方法を仕様としてまとめておくことをおすすめします。

運用当初から一定のルール、あるいは改変するたびに最新の状態にしておくことで、たとえ管理者が変わる場合でも、のちの混乱を防ぐことができます。

 

Active Directoryサーバーは多重化する

 

Active Directoryサーバーは多重化しておくことが基本です。「プライマリー」と「セカンダリー」に分けることで、どちらかがストップしても自動的に切り替わる仕組みを設定しておきましょう。

一台のADサーバーしか用意していない場合には、ストップした瞬間にすべての業務が停止する事態を招きます。

 

UPSなどの電源バックアップも用意する

 

Active Directoryサーバーを多重化していても、電源トラブルでサーバーが停止してしまう可能性も十分に考えられます。

ADサーバーには、UPSなどの電源バックアップを必ず適用し、万が一、一部の電源供給にトラブルが発生した場合でも、ADサーバーだけは止まらない状況を構築しておくことは重要なことです。

 

まとめ

 

 

Active Directoryは、ユーザーやPC、機器接続の管理に非常に有用なシステムです。特に、社内で利用するPCがWindowsで統一されている場合には、管理が楽になります。

ただし、ADサーバーの管理は意外と繊細な部分もあり、オペレーションミスはもちろん、サーバー構成や外的要因（電源トラブルや故障）が起きた場合には、迅速に復旧する手段を用意しておくことが必須です。

Active Directoryをしっかりと理解し、管理者としてのスキルを身につければ、とても需要があるポジションですので、インフラエンジニアとしても大きなスキルとなるでしょう。