WATARU
今回も引き続きADについてのアウトプットをしていこうと思います。
今回アウトプットする内容は
「ドメインコントローラー」ってなに?
結論から言うと、ドメインコントローラーとは
「Active Directoryドメインサービス」を提供するためのサーバー
とのことです。
そもそも、「AD=ドメインコントラー」じゃないの?
と疑問を持たれている方は、以下の記事で触れているのでぜひ読んでみてください。
【AD】ドメインってなんだろう?
では早速今回の内容に入っていきたいと思います。
ドメインコントローラーは何をしてくれるの?
大きく分けると以下の3つの役割があるとの事
・データベース
・アカウントの認証と承認
・グループポリシーによるユーザーとコンピューターを制御と管理
それぞれの役割の内容を見ていこう
■データベース
AD上のデータベースは「ディレクトリデータベース」(以下DDB)という名前で呼ばれている
重要:それらDDBは基本的に「ドメインで利用するユーザーID&PW」を管理している。
また、DDBに保存されるデータは「オブジェクト」という名前で呼ばれており
ユーザーの登録なども「オブジェクト(ユーザー)を登録した」ということになるそうだ
ふむふむ業界用語的なやつですかね?
さらに、オブジェクトの中身の細かい設定を
「プロパティ」または「属性」と呼び、それらの設定を細かくしていくことによって、管理を容易にしている。
※このデータベースの属性変更などについては、今回は細かくなってしまうので触れないでおきます。
■アカウントの認証と承認
認証:ユーザー名に対するパスワードが正しいことを確認する
承認:ユーザーがアクセスできる共有フォルダーなどの範囲を確認する
またADドメインサービスについては認証と承認の役割を「Kerberos」という機能で行っている
重要:Kerberosは以下の様に動く
①ドメインコントローラーとクライアントコンピューターの通信によって、入力されたユーザー名とパスワードの組み合わせが正しいかどうかを確認
②特定のサーバーへアクセスできることを確認
これらの動きを正常に行う為には、ドメインに参加しているクライアントPCがドメインコントローラー(以下ADサーバー)
と通信ができる状態でなくてはならない。
■グループポリシーによるユーザーとコンピューターを制御と管理
そもそもグループポリシー(以下GPO)とは何だろう?
GPO:ドメインに参加するコンピューターやユーザーにさまざまな設定を適用する機能
本来、クライアントコンピューター1台1台に行う設定であっても、
重要:ADサーバーで一度グループポリシーを設定するだけで、全てのクライアントコンピューターにその設定が自動的に割り当てられる
これは社内の端末担当であれば涙が出るほどのサービスだね!
グループポリシーの設定はADサーバーに保存されており、
クライアントコンピューターは起動時やドメインへのログオン時に、その設定を受け取って適用する。
※コマンドで確実に適応させる方法もあり
そのため、グループポリシーで新しい設定を行った場合、クライアントコンピューターはドメインコントローラーに接続しないと、新しい設定を受け取れないことになり、先ほども説明した通りクライアントPCとADサーバーの通信が通ってない事には、設定は適応されない。
まとめ
最近私も、いろいろ勉強しているのですが
社内のシステムを作り始める場合は基本的にはADサーバーを立ててから、クライアントや各サーバーを立てていくらしいです。
ということは、ADサーバーはすべてのPC達のボスになります。
なので、しっかりこの部分を理解して対応していこうと思いました。
①DDBは基本的に「ドメインで利用するユーザーID&PW」を管理している。
②認証と承認の役割を「Kerberos」という機能で行っている
③ADサーバーで一度グループポリシーを設定するだけで、全てのクライアントコンピューターにその設定が自動的に割り当てられる
ってことで今回もアウトプット完了です。
ぜひほかの記事も読んでみてください、まだまだADについて勉強していくので、次回もお楽しみに
LINE@では案件情報や
もくもく会情報など様々な情報を公開しております!
ぜひご登録ください
