❤️ プロジェクトを支援する
JA
EN English UK Українська PL Polski ES Español DE Deutsch FR Français PT Português TR Türkçe JA 日本語 KO 한국어 RU Русский

Active Directory

Active Directory (AD) は、MicrosoftがWindowsドメインネットワーク向けに開発したディレクトリサービスであり、ネットワーク内のユーザー、コンピューター、その他のリソースの集中管理を提供します。

🌐 用語 他の言語で:
English Deutsch Español Français 日本語 한국어 Polski Português Русский Türkçe Українська

Microsoft Active Directory (AD) は、Microsoft が Windows ドメインネットワーク向けに開発したディレクトリサービスです。ほとんどのエンタープライズ IT インフラストラクチャの基本的なコンポーネントであり、ネットワークリソースの一元的な管理と編成を提供します。AD は、ユーザー、コンピューター、グループ、プリンター、アプリケーションなどのオブジェクトに関する情報を格納し、その情報をユーザーや管理者が利用できるようにします。AD の中核機能は、ネットワークオブジェクトの論理的なグループであるドメインという概念を中心に展開します。ドメイン内では、AD はセキュリティポリシーを強制し、ユーザー認証と認可を管理し、リソースへのアクセスを制御します。階層構造を利用し、通常はツリーとフォレストに編成され、スケーラビリティと大規模で分散された組織の管理を可能にします。AD が使用する主要なプロトコルには、ディレクトリ情報の照会と変更のための LDAP (Lightweight Directory Access Protocol)、認証のための Kerberos、ドメインコントローラーやその他のネットワークリソースの特定のための DNS (Domain Name System) が含まれます。AD Domain Services (AD DS) は、ディレクトリデータベース、認証、および認可サービスを提供する主要な役割です。その他の関連サービスには、公開鍵インフラストラクチャのための Active Directory Certificate Services (AD CS)、異なる組織間でのシングルサインオンのための Active Directory Federation Services (AD FS)、データ保護のための Active Directory Rights Management Services (AD RMS) があります。主なトレードオフは、セットアップとメンテナンスの複雑さであり、専門的な知識が必要であり、適切に構成および管理されていない場合の潜在的なセキュリティリスク(パス・ザ・ハッシュ攻撃やKerberoastingへの脆弱性など)です。

        graph LR
  Center["Active Directory"]:::main
  Pre_dns["dns"]:::pre --> Center
  click Pre_dns "/terms/dns"
  Pre_authentication["authentication"]:::pre --> Center
  click Pre_authentication "/terms/authentication"
  Pre_authorization["authorization"]:::pre --> Center
  click Pre_authorization "/terms/authorization"
  Rel_ldap["ldap"]:::related -.-> Center
  click Rel_ldap "/terms/ldap"
  Rel_kerberos["kerberos"]:::related -.-> Center
  click Rel_kerberos "/terms/kerberos"
  Rel_group_policy["group-policy"]:::related -.-> Center
  click Rel_group_policy "/terms/group-policy"
  classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
  classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
  classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
  classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
  linkStyle default stroke:#4b5563,stroke-width:2px;
🕸️ Open in Universe

🧒 5歳でもわかるように説明

Active Directory は、大企業のオフィスのようなもので、全員の名前タグ、デスクの場所、入室が許可されている部屋を管理し、正しい人だけが正しい場所にアクセスできるようにしています。

🤓 Expert Deep Dive

Active Directory Domain Services (AD DS) は、ユーザー、コンピューター、グループ、ポリシーなどのネットワーク内のオブジェクトに関する情報を格納する、分散型の階層データベースを実装しています。認証には Kerberos プロトコル (RFC 4120) を、ディレクトリ情報の照会と変更には LDAP (Lightweight Directory Access Protocol, RFC 4511) を利用します。AD DS は、ドメイン、ツリー、フォレストに編成され、リソース管理のための論理構造を形成します。各ドメインは独自のセキュリティ境界を持ち、ディレクトリデータをレプリケートする 1 つ以上のドメインコントローラー (DC) を含みます。レプリケーションは単方向または双方向で、通常はマルチマスターレプリケーションモデルを使用します。主要なアーキテクチャコンポーネントには、NTDS.DIT ファイル (JET Blue データベース)、グループポリシーオブジェクト (GPO) およびログオンスクリプト用の SYSVOL シェア、そしてドメイン境界を越えた高速検索のためのフォレスト内のすべてのオブジェクトの部分的レプリカを提供するグローバルカタログ (GC) が含まれます。認証には、DC 上の認証サービス (AS) からチケット付与チケット (TGT) を取得し、それを特定のサービスへのサービスチケット (ST) の要求に使用することが含まれます。認可は、ユーザーとグループのセキュリティ識別子 (SID) を参照する、オブジェクトに適用されるアクセス制御リスト (ACL) を通じて管理されます。

ldap
# ユーザーを検索するための LDAP クエリ例
(objectClass=user)(sAMAccountName=johndoe)

🔗 関連用語

前提知識:

📚 出典