Active Directoryとは?アカウント管理やアクセス権設定をするための重要な機能
- Active Directory(アクティブディレクトリ)は、ユーザーアカウントを管理するための重要な機能です。ドメインと呼ばれるグループの中に、ユーザーアカウントやグループを作成し、組織内のアカウントを整理することができます。
- Active Directoryのドメインは、ウェブサイトのドメインとは異なります。ウェブサイトのドメインはURLなどで使用されるものですが、Active Directoryのドメインはアカウントを管理するためのものです。
- また、Active Directoryにはアカウント管理以外にも機能があります。例えば、組織内のフォルダへのアクセス権の設定や、認証を受け付けるドメインコントローラの役割もあります。ドメインコントローラは、ユーザーがログオンする際の認証を行うコンピュータのことです。
- ベストアンサー
アクティブディレクトリやDCが良く分かりません
タイトルの通りなのですが ActiveDirectoryというのは、ユーザーアカウントを管理するもの、という認識でいいのでしょうか? 以前ちょっとだけ触れたことがあるのですがいまいち良く分かっていませんでした。 ドメインというグループのようなものを作り、そこに所属するグループ?のようなものを作り(OU?) さらにそこに所属するユーザーアカウントを作る・・・って認識で良いでしょうか? 例えば abc.com ├soumubu │ ├tanaka │ └yamada └jinjibu ├satou └suzuki こんな風に、abc.comというドメインの中に、総務部と人事部のグループがあり そこに所属している、田中さんや山田さんのアカウントがある・・・というようなイメージなのでしょうか? また、ここでいう「ドメイン」とは、よくURLなどに表示されているwww.yahoo.co.jpといったドメインとは 全く別物なのでしょうか? メールアドレスなどのドメインは業者から借りて使用していると聞きましたが ActiveDirectoryで作成するドメインはURLやメアドで使用するものではなく あくまでアカウントを管理するためのもの・・・という認識でよいのでしょうか。 ドメインコントローラーというもの、いまいちはっきりとしないのですが >Active Directoryでは、こうした情報を扱い、ユーザーがログオンする際の認証を受け付けるコンピ>ュータのことを、ドメイン・コントローラと呼んでいる。 という説明をWebで見かけました。 ActiveDirectoryってそもそも何なのか、ソフトウェア?それともサーバが持つ機能の一つ? どうもアカウント管理だけではなく、フォルダへのアクセス権を組織単位で設定できたりもするようですが それ以外にもいろいろと機能があって、その一部がアカウントを管理する機能=その機能をもった コンピュータをドメコンという、ということなのでしょうか? というか、ActiveDirectory機能を有したコンピピューター=ドメコンではないのですか? ドメイン管理の機能だけを別のコンピュータに持たせることができるから、このような説明なのでしょうか? うまく疑問がまとめられず分かりにくくて申し訳ありません。 なにとぞご教授ください。
- occhan774
- お礼率85% (6/7)
- その他(ITシステム運用・管理)
- 回答数3
- ありがとう数7
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
>ドメインというグループのようなものを作り、そこに所属するグループ?のようなものを作り(OU?) >さらにそこに所属するユーザーアカウントを作る・・・って認識で良いでしょうか? 惜しい。ちょっと違う。 ドメインの中に、グループはグループ、ユーザーアカウントはユーザーアカウントで、個々に作成する。 で、グループの中に、所属メンバーのリストを作成する。 なので「所属メンバーが誰も居ないグループ」や「複数のグループに同時に所属するユーザー」などが出来る。 例えば「代表取締役社長」のアカウント「shacho_president」は、すべてのグループに所属させる事によって、特定のグループしかアクセス出来ないファイルなども、すべて閲覧可能にしたりする。 個々のグループ毎に社長アカウントが作成されている訳じゃなく、社長は一人だけ。「社長アカウント」は1個しか無い。 で、ドメインは「グループ企業体の個々の会社名」みたいなモノ。 グループ企業だと、個々の会社に社長が居るし、個々の会社に同じ名前の部署があったりする。 ユーザー名やグループ名が同じ名前であっても、ドメインが違えば、別物として扱う。 「社長!」と呼びかけた時に、A社社長とB社社長のどっちなのか区別できないと困るからね。 で、グループ企業体の全体情報を管理しているのが「ドメインコントローラ」なのですよ。 そして、ドメインコントローラは、普通、メインとサブの2台置く。 ActiveDirectory機能の中には、ログイン管理、ドメイン管理、グループ管理、アカウント管理の他、メインとサブの2台の情報の同期や、メインが死んだ時にサブをメインに昇格させる機能とか、色々な物を含む。
その他の回答 (2)
- EF_510
- ベストアンサー率50% (306/604)
>ActiveDirectoryは、ドメコンを管理するもの、って事でいいのかな・・・。 ドメインコントローラー「も」管理します。 >ドメコンが基本的に冗長構成で2台必要だとしたら、それ以外にActiveDirectory用のサーバも必要で、計3台はサーバーが必要ということでよいでしょうか? >もちろん大企業を前提としてですけど^^; >ActiveDirectoryのサーバがそのままドメコンとして機能させる事も可能ですよね? ADの役割を担うサーバが「ドメインコントローラー」になりますので2台で十分です。 他の機能をインストールしても構いませんが、SQL Serverの用にあまりおすすめできないものもあります。 ファイルサーバ程度でしたら全然問題ありません。 >なるほど、ActiveDirectoryの機能を有していても >ドメコンであるとは限らないのですね。 >複数台用意するのは冗長構成というやつですね。 すべてのクライアントが同一の場所(LAN)内にいるのであれば良いのですが、離れた場所にあるときはパフォーマンスを確保するために2カ所以上の場所に置く場合があります。 ネットワーク的につながっているのであれば本部にメインのサーバ、拠点Aにサブサーバといった形で配置することができます。(通常は本部2,拠点に1台などの配置をしますが…) また、組織単位(OU)と(セキュリティ)グループは関係ないので違う組織単位のメンバー(人やコンピュータなど)が同じグループに所属することが可能です。複数のOUに所属することはできません。
お礼
回答ありがとうございます。 ううむ、複数のOUには所属できないんですね・・・。 しっかり理解するには相当な勉強が必要そうですね^^; ありがとうございました。
- EF_510
- ベストアンサー率50% (306/604)
ActiveDirectoryは「ディレクトリサービス」と呼ばれるソフトウェアの一種です。 Windowsサーバの「役割」として実装されていて、Windowsで本格的なネットワークを組む際にはほぼ必須と言って良いものです。 ただ、ここで解説できるほど小さいものではないのでそれをまとめた書籍などをご覧になることを勧めます。 ・「ドメイン」に関して ActiveDirectoryの場合は両方あります。 WindowsPCの群れで「ドメイン」を作りますが、その際にyahoo.co.jpのようなドメインを必要とします。 PCの群れのドメインはActiveDirectory以前から使用していた名称をそのまま使っています。 PCの群れ、というのはあまり正確な言い方ではないのですが… ・ドメインコントローラーに関して 群れの方を統括するためにドメインコントローラーの役割を担うサーバーが最低1台必要です。ActiveDirectoryの役割が有効でも「ドメインコントローラーではない」場合があります。1台のサーバのみで構成するとそのサーバが停まってしまったらネットワークに問題が発生するため、通常は2台以上のサーバにActiveDirectoryの役割を設定します。(最初の1台目で設定を行えば残りのサーバはそれを複製して機能します) >Active Directoryでは、こうした情報を扱い、ユーザーがログオンする際の認証を受け付ける >コンピュータのことを、ドメイン・コントローラと呼んでいる。 この説明はちょっと足りない感じです。
お礼
回答ありがとうございます なるほど、ActiveDirectoryの機能を有していても ドメコンであるとは限らないのですね。 複数台用意するのは冗長構成というやつですね。
関連するQ&A
- 「ドメインコントローラ」「Active Directory」
お世話になります。 ドメインコントローラとは、「ドメイン内で、ログオン認証を集中的に行うコンピュータのことで、認証のためにユーザデータベースを保持し、アカウント情報を管理している」サーバー。また、ActiveDirectoryは、ドメインや資源に階層構造を設けて管理することができるサーバー。 「ドメインコントローラ」「Active Directory」の定義は上記のとおり ですが、例えば、windowsクライアント2台で片方を共有すれば、共有 する方をドメインコントローラ/Active Directoryと呼べるのでしょうか? 宜しくお願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
- Windowsサーバの管理でユーザー画面を開くことができません。
Windowsサーバの管理でユーザー画面を開くことができません。 Windows2000、富士通PRIMERGYを使っているのですが、マイコンピューター→管理→ユーザーを編集しようとすると「ローカルユーザーとグループ コンピューター×××はドメインコントローラーです。ドメインコントローラでこのスナップインは使用できません。ドメインアカウントはActive Directoryユーザーとコンピュータのスナップインで管理します。」と表示され、ユーザーに×印がついていて編集できません。特段なにか変更したわけでもアップデートしたわけでもないのですが変更できません。サーバはドメイン設定ですがクライアントはワークグループ環境で利用しています。 導入して約8年たつので故障かとも思いますが、対処方法ご存知でしたらお教えください。
- 締切済み
- ハードウェア・サーバー
- サブドメインでもログインできるアカウント
再びサブドメインに関する質問です。 WINDOWS2003serverSP2にてドメインを構築しています。 a.localというドメインがあり、対応するドメインコントローラAがあります。これに対してb.a.localというサブドメインを追加しました。 このドメインコントローラをBとします。 b.a.localのメンバーコンピュータはログイン先として「b」を選択しますが、その際使用するアカウントは、集中管理のため、a.localで作成したアカウントを使用したいと思っています。 試しに「test」というユーザをa.localで作成し、これをユニバーサルグループ「group1」というのを作成して所属させました。 ドメインのメンバーコンピュータから、ユーザを「test」、 ログイン先として「b」を指定しても、ユーザが不明ということでログインできません。もちろんログイン先として「a」を指定すればログインできます。 どうすればよろしいのかご教授ください。
- 締切済み
- Windows系OS
- ActiveDirectoryで一般ユーザーにadministrator権限を与えるには
ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、 いくつか方法があると思いますが、どれが一番良いのでしょうか? ・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。 以上、宜しくお願いします。
- ベストアンサー
- Windows系OS
- ユーザ状況の調査方法について
よろしくお願いします。 Windows 2000 server(SP2)についての質問です。 ActiveDirectoryを管理するコマンドはいくつかあるかと 思いますが、例えば各ユーザ(アカウント)がどのように登録 されているかを確認するコマンドはありますか? 知りたいのは、ユーザが所属するグループやOU、 各アカウントに設定されているパスワード長です。 どうぞよろしくお願い致します。
- 締切済み
- Windows系OS
- Active Directory
お世話になります。 ドメイン環境とWork Group環境の併用で、 ドメインコントローラで管理されているユーザアカウントと クライアントで新規作成したユーザアカウント両方を 一致させて、ドメイン環境の中、Workgroup環境のクライアントが ドメイン環境のリソース(基幹系ソフト等のアプリケーション)へ ログインすることは可能でしょうか。 書籍等では、ユーザアカウントを一致させることで、 ドメインと個々のコンピュータ間でワークグループ環境を 実現できると記載されていたのですが・・・。 精通されている方、ご教授をお願い致します。
- 締切済み
- その他(Windows)
- 「ローカルグループとユーザー」が見れない
WindowsServer2003を使用しています。 コンピュータの管理より「ローカルグループとユーザー」 でユーザー管理をしようと思ってコンピュータの管理を開 いたところ、「ローカルグループとユーザー」が見当たり ません。 現在のサーバーの構成は、ActiveDirectoryとDNS、TerminalServerです。
- ベストアンサー
- Windows系OS
- コンピュータアカウントをドメインからワークグループに変更したらログオンできなくなった
Windows 2000 Proを使用しています。 以前はコンピュータアカウントもドメイン、ユーザーアカウントもドメインでパソコンを使用していました。 自分のドメインユーザーアカウントをローカルのAdministratorsグループに追加していたので、元からあったローカルユーザーのAdministratorを削除していました。 この状態で、コンピュータ名等を変更するためにコンピュータアカウントをドメインからワークグループにしたら、再起動後にログオンできなくなってしまいました。(「ドメイン名\ユーザー名」でログオンできると勘違いしてました) どうかこのアホにログオンできるようにする方法を教えて下さい。よろしくお願いします。 ※コンピュータアカウントをドメインからワークグループに変更するとき、Administratorsグループにローカルユーザーアカウントがないかをチェックする仕組みを搭載して欲しかった・・・。>マイクロソフト
- 締切済み
- Windows系OS
- Active directoryユーザ権限
Active directoryのローカルコンピューターの権限について Windows2008R2でADを構築し以下の様にユーザーを作成し、ドメインにクライアントPCでログインしたのですが、 クライアントPCでソフトウゥアのインストールができません。インストール等の権限がないようです。 設定した項目(設定値) ■Server側の設定 Active directoryのコンピューターとユーザーのUsersコンテナに「山田太郎」というユーザーを作成。 以下入力値 姓:山田 名:太郎 表示名:山田 太郎 ユーザーログオン名:yamada@test.local パスワード:A123456% 所属するグループ:Domain Users(デフォルト) ■クライアントPC側設定(windows7) コンピューター名:YAMADA-PC ドメイン名:test.local ※クライアントPC上では、コントロールパネルや、[コンピューター]-[管理]から山田太郎というアカウントは 作成していません。ただ、デフォルトのコンピューター名を変更し、Admin権限で、コンピュータを ドメインに参加させただけです。 ドメインに参加できたことを確認し、(ADServerのComputersコンテナにYAMADA-PCが出現)一旦ログオフし Server上で作成した山田太郎でログイン。 ログインすると、クライアントPCのWindowsのスタートボタンを押すと「山田 太郎」と表示されている。 そして、Officeをインストールしようとすると、権限がありませんというようなメッセージが表示され、 インストールできません。 やはり、この場合は、クライアントPC側で、Admin権限で山田太郎というアカウントと作成し、山田太郎 というローカルのユーザに対しても、ローカルPC上でAdmin権限を設定するのでしょうか? サーバー上では、ローカルPCのユーザにローカルPCのadmin権限を与えることはできないのでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- 一般ユーザにローカルPCの管理者権限を与えたい
よろしくお願いします。 Windows2003Serverにて、ActiveDirectory(単一のドメイン)でサーバー運用しております。 遠隔地にある(ドメイン参加済の)クライアントパソコン約100台に対して、 一時的にではありますが、 各クライアントパソコンのAdministratorsグループに、 そのパソコンを使用するドメインユーザを追加したい と思っています。 この場合、以下の方法が考えられると思います。 方法1) (1)管理ツール→コンピュータの管理から、[別のコンピュータへ接続]で対象となるパソコンに接続。 (2)ローカルユーザーとグループからAdministratorsグループを選択し、 ドメインの特定のユーザーを追加。 ⇒一台ずつ行うのが面倒。 ⇒電源が入っていないと作業が出来ない。 方法2) (1)ドメインサーバーから、新しいグループポリシーを作成。 (2)コンピュータの構成→Windowsの設定→セキュリティの設定→制限されたグループ ここに[Admnistrator]を追加。 ⇒クライアントパソコン上の既存のAdmnistratorグループ所属メンバが全て上書きされる。 各方法は、【⇒】に書いた問題(?)がある為、採用したくありません。 そこで、 グループポリシーの[スタートアップスクリプト]あるいは[ログオンスクリプト] を利用し、自動でユーザー追加作業を行えるのかなと思ったのですが、 スクリプトをドメイン管理者の権限で実行する方法が分かりません。 何か上記を実現する方法はありますでしょうか? ※psexec、runasaといったツールは使えるのでしょうか?? 使える場合、どのような方法になるのでしょうか?ヒントだけでも欲しいです。
- ベストアンサー
- その他(ITシステム運用・管理)
補足
回答ありがとうございます。 なるほど!グループ内にアカウントを作るのではなく 作ったグループにアカウントを所属させる、って事なんですね。 ということは、一人のユーザーが複数のグループに属することもできる、と。 ActiveDirectoryは、ドメコンを管理するもの、って事でいいのかな・・・。 ドメコンが基本的に冗長構成で2台必要だとしたら、それ以外にActiveDirectory用のサーバも必要で、計3台はサーバーが必要ということでよいでしょうか? もちろん大企業を前提としてですけど^^; ActiveDirectoryのサーバがそのままドメコンとして機能させる事も可能ですよね?