早いもので、2000年にWindows 2000 ServerとともにActive Directoryが世に出てから、すでに8年以上の年月が経過した。筆者自身も、書籍、あるいは雑誌やWeb記事といった形で、Active Directoryについて多くの記事を書いてきている。そうした経験を基にして、依然として根強い需要があるActive Directoryの解説記事を、マイコミジャーナルの連載という形でお届けすることになった。末永くお付き合いいただければ幸いだ。
なお、本連載は原則としてWindows Server 2008をベースとして記述する。ただし必要に応じて、Windows Server 2008とWindows Server 2003で操作手順や機能に違いがある場合には、Windows Server 2003に関する記述も取り入れていく予定だ。
まず、連載の始まりに相応しく、Active Directoryとは何か、というところから復習していくことにしよう。
Active Directoryとは「ディレクトリ・サービス」である
オフィスビルなどのエントランスには、入居しているテナントの一覧を掲示した看板があることが多い。これをディレクトリという。PC利用歴が長い方なら、ファイル・システムのフォルダに相当する機能のことを、MS-DOSではディレクトリと呼んでいたことを覚えておられるだろう。しかし本来、ディレクトリとは「住所氏名録」という意味の言葉だ。だから、テナント一覧のことをディレクトリと呼ぶ使い方の方が、本来の意味に近い。
そして、ITの世界でいうところのディレクトリ・サービスとは、ネットワークを組んで動作するサーバと、そのサーバで動作するさまざまなアプリケーション・ソフトが利用する「住所氏名録」のことだ。その中でも中核となる機能が、ユーザー・アカウントの集中管理機能になる。
かつて、PCで動作するサーバOS(昔はNOS : Network Operating Systemと呼んでいた)は、個々のサーバごとにユーザー情報を管理していた。サーバの台数が1台しかなければ、それで何も問題はない。しかしサーバの台数が多くなってくると、すべてのサーバでバラバラにユーザー情報を保持することになるため、それを維持・管理するのは煩雑にすぎる。そのため、すべてのサーバが共通して利用できる、ユーザー情報の集中管理システムが必要とされるようになった。
そこで、マイクロソフトはLAN Manager 2.0で「ドメイン」の考え方を取り入れて、この要望に対応した。NOS製品「NetWare」で大きなシェアを持っていた米ノベル社も、「NetWare 4.0」から「NDS(Novell Directory Service)」を導入した。
マイクロソフトのドメインは、OS/2で動作するLAN Managerから、OSにネットワーク機能を一体化したWindows NT Serverに切り替わった後もそのまま引き継いで使用していた。しかし、ネットワークの大規模化に伴って仕様的な限界が生じてきたため、Windows 2000 Serverへのバージョンアップに合わせてActive Directoryに進化して現在に至っている。
ディレクトリ・サービスの特徴
こうしたディレクトリ・サービスに共通する特徴は、以下の点だろう。
・ユーザー・アカウントの集中管理を行い、サーバ、あるいはサーバ上で動作するアプリケーション・ソフトは、ディレクトリ・サービスが持つユーザー情報を参照しながら動作する ・ネットワークを利用するユーザーは、ディレクトリ・サービスに対してログオン操作を行い、認証を受ける必要がある。 ・ユーザー情報の管理や認証の作業を行うために、ディレクトリ・サービス用のサーバを設置する(ただし、そのサーバが他の用途を兼ねていてもよい) ・さまざまなサーバ・アプリケーションに対応できるように、ディレクトリ・サービスはユーザー・アカウントに対してさまざまな属性情報を設定できるほか、ユーザー・アカウント以外のオブジェクトを扱うこともできる。
最後の点については解説が必要だろう。
マイクロソフトではActive Directoryに対応したサーバ・アプリケーション製品をいろいろリリースしているが、たとえばExchange Serverを利用するのであれば、電子メール・アドレスの情報は必須だ。また、グループウェアの「住所氏名録」として使用することを考えると、住所や電話番号などの所在地情報、所属している部署や肩書、上司(レポーティングの相手、と言い換えてもよい)といった情報も必要になる。
そのため、ディレクトリ・サービスは単にユーザー名とパスワードの情報だけ持っていれば良い、というわけにはいかない。NTドメインではこの点が貧弱だったが、Active Directoryでは、ユーザー・アカウントをはじめとする各種のオブジェクトごとに、広範な属性情報を取り扱えるようにした。さらに、取り扱える属性情報について規定する「スキーマ」という考え方を取り入れており、スキーマの拡張によって、取り扱うことができる属性情報を増やすこともできる。
Active Directoryでは、こうした情報を扱い、ユーザーがログオンする際の認証を受け付けるコンピュータのことを、ドメイン・コントローラと呼んでいる。この言葉自体はLAN Manager 2.0の頃から受け継がれてきている用語だ。そして、Active Directoryを構成・運用するには、ドメイン・コントローラの機能を実現できるOSが必要という話になる。