この記事では、Microsoft®ActiveDirectory®(AD)グループポリシー機能について説明します。
ADグループポリシー
グループポリシーは、コンピューターの設定とネットワークの集中管理を提供するため、各コンピューターを個別に選択して構成する必要はありません。次のADサービスをグループポリシーとして構成できます。
-
ドメインサービス: ドメインサービスを使用すると、ADドメインを管理できます。それらは、認証機能と他のそのようなサービスのためのフレームワークを提供します。 ADは、ネットワークオブジェクトを含むライトウェイトディレクトリアクセスプロトコル(LDAP)データベースを使用します。
-
証明書サービス: 証明書サービスは、デジタル証明書を管理するためのMicrosoftツールであり、公開鍵インフラストラクチャ(PKI)をサポートします。証明書サービスは、外部またはローカルで鍵を生成するのではなく、公開鍵のクレデンシャルを保存、検証、作成、および取り消すことができます。
-
フェデレーションサービス: フェデレーションサービスは、複数の組織で使用するためのWebベースのシングルサインオン認証を提供します。これにより、請負業者は自分のネットワークにログオンし、一元化されたシステムでクライアントのネットワーク上のリソースにアクセスすることを許可されます。
-
軽量ディレクトリサービス: 軽量ディレクトリサービスは、いくつかの複雑さと高度な機能を取り除き、基本的なディレクトリサービス機能のみを提供します。軽量ディレクトリサービスでは、スケールダウンされた環境でドメインコントローラ、フォレスト、またはドメインを使用する必要はありません。
-
権利管理サービス: Rights Management Servicesは、ユーザーの許可を超えて承認を分解します。権利と制限は、ユーザーではなくドキュメントに添付されます。 ADは通常、これらの権利を使用して、ドキュメントの印刷、コピー、またはスクリーンショットの撮影を防止します。
AD構造
ADには次のコンポーネントが含まれています:
-
森: フォレストは、組織階層の最上位レベルです。フォレストを使用すると、単一の環境内で委任権限を分離できます。この分離により、管理者は特定のリソースセットのみに完全なアクセス権と権限を付与されます。 ADは、フォレスト内のすべてのドメインのすべてのドメインコントローラーにフォレスト情報を保存します。
-
ツリー: ツリーはドメインのグループです。ツリー内のドメインは、同じルート名前空間を共有します。ツリーは名前空間を共有しますが、ツリーはセキュリティやレプリケーションの制限ではありません。
-
ドメイン: 各フォレストにはルートドメインが含まれています。追加のドメインを使用して、フォレスト内にさらにパーティションを作成できます。ドメインは、ディレクトリを小さな部分に分割して、レプリケーションを制御します。ドメインは、ADレプリケーションを同じドメイン内の他のドメインコントローラーのみに制限します。
ドメイン内の各ドメインコントローラーには、そのドメインのADデータベースの同一のコピーがあります。レプリケーションにより、コピーが最新の状態に保たれます。
-
組織単位(OU): 組織単位は、ドメイン内のリソースのサブセットに対する権限のグループ化を提供します。 OUは、昇格された特権と承認にセキュリティ境界を提供し、ADオブジェクトの複製を制限しません。
OUを使用して、グループ間のセキュリティと役割を実装および制限し、ドメインを使用してレプリケーションを制御します。
-
ドメインコントローラー: ドメインコントローラーは、ADデータベースを含み、認証や承認などのAD関連の機能を実行するWindows®サーバーです。
各ドメインコントローラーは、同じドメイン内のオブジェクトの情報を含むADデータベースのコピーを格納します。さらに、各ドメインコントローラーには、フォレスト全体のスキーマと、フォレストに関するすべての情報が格納されます。
ドメインコントローラーは、同じネットワーク上にある場合でも、別のフォレストからのスキーマまたはフォレスト情報のコピーを保存しません。
-
特殊なドメインコントローラーの役割: 特殊なドメインコントローラーの役割を使用して、標準のドメインコントローラーでは通常使用できない特定の機能を実行します。 ADは、これらのマスターの役割を各フォレストまたはドメインで作成された最初のドメインコントローラーに割り当てますが、手動で役割を再割り当てできます。
-
スキーママスター: フォレストごとに1つのスキーママスターのみが存在します。これには、他のすべてのドメインコントローラーで使用されるスキーマのマスターコピーが含まれています。マスターコピーにより、すべてのオブジェクトが同じように定義されます。
-
ドメイン名マスター: フォレストごとに存在するドメイン名マスターは1つだけです。ドメインマスターは、すべてのオブジェクトの名前が一意であり、他のディレクトリに保存されているオブジェクトを相互参照する可能性があることを確認します。
-
インフラストラクチャマスター: ドメインごとに1つのインフラストラクチャマスターがあります。インフラストラクチャマスターは、削除されたオブジェクトのリストを保持し、他のドメイン上のオブジェクトの参照を追跡します。
-
相対識別子マスター: ドメインごとに1つの相対識別子マスターがあります。ドメイン全体で一意のセキュリティ識別子(SID)の作成と割り当てを追跡します。
-
プライマリドメインコントローラーエミュレーター: ドメインごとにプライマリドメインコントローラー(PDC)エミュレーターは1つだけです。これにより、古いWindowsNTベースのドメインシステムとの下位互換性が提供されます。
-
データストア: データストアは、任意のドメインコントローラーでのデータの保存と取得を処理します。データストアには次の3つの層があります。-データベースおよびサービスコンポーネント(ディレクトリシステムエージェント(DSA)および拡張ストレージエンジン(ESE))-ディレクトリストアサービス(LDAP)-レプリケーションインターフェイス、メッセージングAPI(MAPI)、およびセキュリティアカウントマネージャー(SAM)
ADには、データベースに保存されているオブジェクトの位置情報が含まれています。ただし、ADはドメインネームシステム(DNS)を使用してドメインコントローラーを検索します。
AD内では、すべてのドメインにDNSドメイン名があり、参加しているすべてのコンピューターには同じドメイン内のDNS名があります。
ADはすべてをオブジェクトとして保存し、データベースに保存されているオブジェクトの位置情報を含みます。ただし、ADはドメインネームシステム(DNS)を使用してドメインコントローラーを検索します。オブジェクトのクラスは、オブジェクトの属性を定義します。
ディレクトリにデータを保存する前に、スキーマにオブジェクト定義が含まれている必要があります。定義されると、ADはデータを個別のオブジェクトとして保存します。すべてのオブジェクトは一意である必要があり、ユーザー、コンピューター、または要素の一意のグループ(たとえば、ユーザーグループ)などの単一のものを表す必要があります。
オブジェクトには、次の主要なタイプのオブジェクトがあります。
-
SIDを持つセキュリティプリンシパル
-
SIDを持たないリソース
ADは、負荷分散やフォールトトレランスなど、さまざまな理由で複数のドメインコントローラーを使用します。これが機能するには、各ドメインコントローラーがそのドメイン自体のADデータベースの完全なコピーを持っている必要があります。レプリケーションにより、各コントローラーにデータベースの現在のコピーがあることが保証されます。
ドメインはレプリケーションを制限します。異なるドメイン上のドメインコントローラーは、同じフォレスト内であっても、相互に複製されません。すべてのドメインコントローラーは同等です。以前のバージョンのWindowsにはプライマリドメインコントローラーとセカンダリドメインコントローラーがありましたが、ADにはそのようなものはありません。混乱は、名前ドメインコントローラーの継続に起因します。 古い信頼ベースのシステムからADへ。
レプリケーションはプルシステムで機能します。これは、各ドメインコントローラーが他のドメインコントローラーにデータを送信またはプッシュするのではなく、ドメインコントローラーが別のドメインコントローラーから情報を要求またはプルすることを意味します。デフォルトでは、ドメインコントローラーは15秒ごとにレプリケーションデータを要求します。特定の高セキュリティイベントは、アカウントのロックアウトなどの即時複製イベントをトリガーします。
変更のみが複製されます。マルチマスターシステム全体の忠実度を確保するために、各ドメインコントローラーは変更を追跡し、最後のレプリケーション以降の更新のみを要求します。変更はストアアンドフォワードメカニズムを使用してドメイン全体に複製されるため、変更がレプリケーション要求に応答するドメインコントローラーで発生しなかった場合でも、要求されたときに変更が複製されます。
このプロセスにより、過剰なトラフィックが防止され、各ドメインコントローラーが最も望ましいサーバーからレプリケーションデータを要求するようにADを構成できます。たとえば、ドメインコントローラーを使用して他のサイトへの高速接続と低速接続が1つずつあるリモートロケーションでは、接続ごとにコストを設定できます。そうすることで、ADはより高速な接続を介してレプリケーション要求を行います。
委任された承認と効率的なレプリケーションがAD構造の鍵です。