マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

一般

ドメイン、ドメイン・コントローラ、ドメイン・ツリー、フォレスト

ドメイン

ドメイン コントローラ(DC)

ドメイン ツリー

フォレスト

スキーマと信頼関係、オブジェクトと組織単位(OU)

スキーマ

信頼関係

オブジェクト

  • Active Directoryで管理される情報の最小単位のことである。
  • ユーザやグループ、コンピュータなどがオブジェクトとして管理される。
  • オブジェクトの中には、ユーザやコンピュータとは異なり、オブジェクトの内部に、さらに別のオブジェクトを含むことができるものがある。これを「コンテナ・オブジェクト」と呼ぶ。
  • 「コンテナ・オブジェクト」には2種類あり、
    • 非コンテナ・オブジェクトのみを含むことができる「コンテナ・オブジェクト」と、
    • 別の「コンテナ・オブジェクト」も含むことができる「コンテナ・オブジェクト」がある。
  • 管理者がActive Directory導入後に作成できるコンテナ・オブジェクトは、コンテナ・オブジェクトを含むことができる「組織単位(OU)」だけである。
  • コンテナ・オブジェクトを含むことができないコンテナ・オブジェクトには、デフォルトで作成される「Computers」や「Users」といったコンテナがあるが、管理者がこれらを作成することはできない(デフォルトで作成されるコンテナ内にオブジェクトを追加することはできる)。

組織単位(OU)

  • Active Directoryで新たに採用された管理単位
  • 管理者がActive Directory導入後に作成できる唯一のコンテナ・オブジェクト
  • 管理者が容易にドメインを管理できるようにすることを目的とする。
    • 内部にさらに別のOUを含むことができる。オブジェクトを組織化するために利用される。
    • OUは地域別のオブジェクトや組織別オブジェクトなどを管理者が任意に格納できる。
  • 組織化する主な目的は以下の3つである。
    • OU単位で管理者を割り当てるために管理範囲をまとめる。
    • グループ・ポリシーを使い、OUの単位でコンピュータの利用環境の原則を定める。
    • 管理者が分かりやすいようにオブジェクトを分類する。
  • ユーザ・アカウント以外の共有リソースを管理することもできる。
    • コンピュータアカウント用OU
    • プリンター専用OU
    • 共有フォルダ専用OU

1つしか無い系

操作マスタ

グローバル カタログ

サイト

機能一覧で説明済み

モード

Active Directory関連用語集(後編) - @IT
第4回 2.Active Directoryのドメイン・モード、DNSのゾーン・モード
http://www.atmarkit.co.jp/fwin2k/operation/adprimer004/adprimer004_02.html

Active Directoryのドメイン・モード

Active Directoryドメインには、「ネイティブ・モード(native mode)」と「混在モード(mixed mode)」という2種類のドメインの動作モードがある。

  • ネイティブ・モード
    ドメインに参加しているドメイン・コントローラが、すべてWindows 2000のドメイン・コントローラで構成されたドメインの場合に設定できる(逆にいえば、NTドメインのドメイン・コントローラが存在する場合は、このモードにすることはできない)。ネイティブ・モードではActive Directoryのすべての機能がサポートされる。
  • 混在モード
    機能の一部に制限がある代わりに、Windows NT 4.0のBDC(バックアップ・ドメイン・コントローラ)の混在をサポートする。これにより、NTドメインからActive Directoryドメインに移行した場合でも、いままで使っていたBDCをそのまま利用できる。ドメイン内のドメイン・コントローラに1台以上のNT BDCが存在する場合は、混在モードで運用しなければならない。混在モードの場合、Active Directoryのドメイン・コントローラは、NT BDCにもディレクトリ・データベースの内容を複製する必要がある(NT BDCもドメインのユーザ認証処理を担うため、データベース上にユーザ情報が必要である)。そのため複製データには、NT BDCが理解できるものしか含めることができない。

DNSのゾーン・モード

「Active Directory統合ゾーン」は、Windows 2000のDNSサーバにおけるゾーンの管理タイプの一種である。Active Directory統合ゾーンは、ドメイン・コントローラとDNSサーバを同一のコンピュータで構成することにより提供される機能である。つまりゾーンの管理タイプの一種ではあるが、Active Directoryを構築していないと利用できない。Windows 2000のDNSサービスでは、3つのゾーン・タイプがサポートされている。1つは「標準プライマリ・ゾーン」であり、マスタのゾーン・ファイルを管理する役割になる。2つ目が「標準セカンダリ・ゾーン」である。これはプライマリ・ゾーンからのゾーン・ファイルの複製を保持する。セカンダリ・ゾーンはフォールト・トレランス(耐障害性)や負荷分散を実現するために構成する。ただし、セカンダリ・ゾーンではレコードの追加や編集はできない。

  • 標準プライマリ・ゾーン、標準セカンダリ・ゾーン 標準プライマリと標準セカンダリで構成されたDNSゾーンの管理は必ず標準プライマリ・ゾーンに対して行う必要がある。
  • Active Directory統合ゾーン
    では、ゾーン情報をActive Directoryデータベースのオブジェクトとして保持する。Active Directoryデータベースはすべてのドメイン・コントローラで登録、編集が可能であるためプライマリ・ゾーンが複数存在するのと同じ構成となる。また、ゾーン転送もActive Directoryの複製処理に任せることができる。Active Directory統合ゾーンでは、ゾーンに対する動的更新をセキュリティで保護することもできる。ただし、DNSサーバがActive Directoryデータベースを保持するドメイン・コントローラでないと「Active Directory統合」は選択できない。Active Directory統合ゾーンを構成したい場合には、ドメイン・コントローラがDNSサーバになる必要がある。

その他

  • ドメイン NetBIOS名
  • デフォルトでは、割り当てたActive Directoryドメイン名の先頭のピリオドまでがNetBIOSドメイン名として利用されるため、
    既存のネットワーク環境で先頭のピリオドまでの名前が一意かどうかを確認しておく必要がある(「○○○.△△△.co.jp」なら「○○○」の部分)。
  • また、NetBIOS名の文字数は最長で15文字までしか割り当てられないため、制限の範囲内にとどめるように名前を付けるべきである。
  • もしどうしてもNTのドメイン名と重複する場合は、Active Directoryのドメイン名とは別に、NetBIOSドメイン名を割り当てることもできる。

高度

格納フォルダ

Active Directoryの導入 - @IT
第7回 2.ウィザード(2)― 格納フォルダの選択
http://www.atmarkit.co.jp/fwin2k/operation/adprimer007/adprimer007_02.html

NTDS

  • Active Directoryのディレクトリサービス等が使用するデータベース。
  • データベースの格納場所の指定
    Active Directoryデータベースとログファイル(ディレクトリ・サービスに対するトランザクション・ログ)の格納領域を指定する。デフォルトではシステムがインストールされているフォルダ(%SystemRoot?%)の中に「NTDS」というフォルダが作成され、これが利用される。データベース・ファイルとログファイルのドライブを別の物理ディスクに指定することにより、システムのパフォーマンスを上げることができる。

SYSVOL

  • ドメイン・コントローラ間で共有されるファイルを格納するSYSVOL共有フォルダ
  • SYSVOL共有フォルダの場所の指定
    次は、ドメイン・コントローラ間で共有されるファイルを格納するSYSVOL共有フォルダの場所を指定する。システムがインストールされているフォルダ(%SystemRoot?%)の中に「SYSVOL」というフォルダが作成され、利用される。特別な理由がなければ、混乱を避ける意味でも変更する必要はないだろう。ここで指定した共有フォルダは、FRS(File Replication Service。ファイル複製サービス)によって、ドメイン内のほかのドメイン・コントローラが保持するシステム共有(ほかのドメイン・コントローラのSYSVOLフォルダ)と双方向の複製が自動的に行われる。

    この共有フォルダには、グループ・ポリシー・ファイルなどが配置され、ほかのドメイン・コントローラにも複製されるようになっている。またNTドメインで共有フォルダとして利用されていたNETLOGON共有(ログオン時のスクリプトなどが置かれているフォルダ)もこのSYSVOLフォルダ内で共有されるため、下位互換のログオン・スクリプトやシステム・ポリシー・ファイルも自動的にほかのドメイン・コントローラに複製される。NT BDC(Backup Domain Controller)には複製されないので、混在モードの場合には別途BDCに複製される仕組みを実装しなければならない。

パーティションとレプリケーション・スコープ

パーティション

Active Directoryのパーティションとレプリケーションスコープ WindowsServer?管理者への道
http://ebi.dyndns.biz/windowsadmin/2009/03/16/active-directory%E3%81%AE%E3%83%91%E3%83%BC%E3%83%86%E3%82%A3%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%A8%E3%83%AC%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%82%B9%E3%82%B3%E3%83%BC/

  • 比較表
    パーティション名格納されている情報レプリケーションスコープ(複製範囲)
    スキーマ・パーティションActive Directoryに存在するクラス、オブジェクトの設計情報フォレスト・ワイド
    構成パーティション● フォレスト、ドメインの構成情報
    ● Active Directory対応アプリケーションの構成情報
    フォレスト・ワイド
    ドメイン・パーティションドメインに存在するオブジェクトの情報ドメイン・ワイド
    アプリケーション・パーティション※2003から新規導入 Active Directoryに情報を格納する用に設計されているアプリケーションの情報色々
  • 説明
    • ADSIEditで参照可能。
  • スキーマ・パーティション
    • ディレクトリ・サービスのスキーマ情報
    • 例えばActive DirectoryにExchange Serverを導入するときには、メール関連のクラスや属性が追加されます。
    • それはスキーマ・パーティションへの変更(スキーマ拡張)であるため、Active Directory全体に影響が及びます。
    • 例:CN=Schema,CN=Configuration,DC=test,DC=local → Active Directory スキーマ
  • 構成パーティション
    • Active Directory自身の構成情報
    • Active Directory対応のアプリケーションの情報
    • 例1:CN=Sites,CN=Configuration,DC=test,DC=local → サイトとサービス
    • 例2:CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=test,DC=local → Exchangeシステムマネージャー
  • ドメイン・パーティション
    • ドメイン内のユーザー、グループ、コンピューターなどの情報
    • 例:DC=test,DC=local → Active Directory ユーザーとコンピューター

レプリケーション・スコープ

  • ドメイン・ワイド(ドメイン単位の情報)
  • フォレスト・ワイド(ドメイン単位ではなく、Active Directory全体にかかわる情報)

内部パラメタ

  • USN
  • RID

Tags: :Active Directory, :認証基盤


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-05-30 (水) 09:11:00 (175d)