Active Directory (AD) について:主な機能と利点

投稿者

• ラーフル・アワティ
• ウェスリー・チャイ
• Alexander S. Gillis、テクニカル ライター兼編集者

発行日:2025 年 4 月 11 日

Active Directory (AD) は、ネットワーク管理者がユーザー、権限、ネットワーク リソースへのアクセスを管理できるようにする Microsoft 独自のディレクトリ サービスです。これは Windows Server 上で実行され、企業ネットワーク上の共有ネットワーク リソースなどのオブジェクトに関する情報を論理的な階層形式で保存します。これにより、管理者はこれらのリソースだけでなく、作業を行うためにそれらのリソースにアクセスする必要があるユーザーも管理できるようになります。

AD サービスを実行するにはドメイン コントローラーが必要です。ドメイン コントローラーは、Active Directory ドメイン サービス (AD DS) がインストールされているバージョンの Windows Server オペレーティング システムを実行しているサーバーです。 AD DS をインストールすると、管理者はドメイン コントローラーの役割など、コンピューターに特定のサーバーの役割を構成できます。

Active Directory の役割とその用途は何ですか?

Active Directory は、ネットワーク上のすべてのオブジェクトに関するデータを保存します。オブジェクトは、ユーザー、グループ、アプリケーション、またはサーバーやプリンターなどの共有デバイスなどの単一の要素です。オブジェクトは通常、プリンタやコンピュータなどのリソース、またはユーザーやグループなどのセキュリティ プリンシパルとして定義されます。

Active Directory は、スキーマと呼ばれる一連のルールを使用して、オブジェクト クラスとその属性を定義します。スキーマは各オブジェクトの名前の形式も決定します。 AD には、すべてのオブジェクトに関する情報を含むグローバル カタログも含まれています。スキーマとグローバル カタログにより、ネットワーク管理者はオブジェクトを簡単に識別して管理できます。また、AD は、名前やパスワードなど、ネットワーク上のユーザー アカウントに関する関連情報を保存することにより、そのネットワーク上の他の承認されたユーザーや管理者がこの情報にアクセスできるようにします。

AD を使用すると、管理者、ユーザー、アプリケーションがオブジェクトとオブジェクトのプロパティを公開したり、検索したりできるようになります。これは、AD のクエリとインデックスのメカニズムを介して実行できます。さらに、AD は 2 つの役割を持つレプリケーション サービスを提供します。これにより、ネットワーク内のすべてのドメイン コントローラーに、そのドメインのすべてのディレクトリ情報の完全なコピーが含まれるようになり、ディレクトリ内のデータに対する変更がドメイン内のすべてのドメイン コントローラーに複製されるようになります。レプリケーション サービスは、すべてのドメイン コントローラ上でディレクトリ データのレプリカを維持することで、ディレクトリの可用性を確保し、すべてのユーザーのパフォーマンスを最適化します。

Microsoft Active Directory は、ネットワーク セキュリティを管理し、アプリケーションやその他のリソースへのアクセスを制御するためのさまざまなサービスを提供します。

Active Directory ドメイン サービスとは何ですか?

Windows Server の古いバージョン (Windows 2000 Server および Windows Server 2003) では、ディレクトリ サービスの名前は Active Directory でした。ただし、Windows Server 2008 R2 および Windows Server 2008 以降、Microsoft はディレクトリ サービスの名前を Active Directory ドメイン サービスに変更しました。

AD DS には、ユーザー アカウントに関する情報を含むディレクトリ情報が保存されます。これは、ディレクトリと呼ばれる構造化データ ストアを使用して行われます。このディレクトリにより、ディレクトリ情報を論理的および階層形式で編成できます。また、AD DS は、承認されたネットワーク ユーザーと管理者がディレクトリ データを利用できるようにし、必要に応じてアクセスできるようにします。

AD と同様に、AD DS には、ドメイン コントローラーであるグローバル カタログ サーバーを自動的に構築および更新するレプリケーション システムが含まれています。このカタログには、ドメイン内のすべてのオブジェクトとその属性の書き込み可能な完全なレプリカと、フォレスト内の他のすべてのドメインの読み取り専用の部分的なレプリカが保存されます。このような属性のレプリケーションにより、ユーザーや管理者は AD DS 内のオブジェクトを簡単に検索できるようになります。

AD DS は、組み込みのサインイン認証およびアクセス制御メカニズムを通じてセキュリティを提供します。これらのメカニズムにより、承認されたユーザーがネットワーク リソースにアクセスできるようになり、管理者は単一のネットワーク ユーザー名とパスワードを使用してネットワーク全体のディレクトリ データと組織を簡単に管理できるようになります。

ネットワーク管理者をさらにサポートするために、AD DS はポリシーベースの管理を提供します。これにより、管理者は複雑なネットワークでも簡単に管理できるようになります。

Active Directory のモード、プロトコル、およびサービス

Active Directory を構成するさまざまなサービスがいくつかあります。主要なサービスはドメイン サービスですが、Active Directory には次の他のサービスもあります。

• Active Directory ライトウェイト ディレクトリ サービス (AD LDS) は AD の独立モードです。つまり、AD ドメインまたはフォレストから独立して動作し、AD に影響を与えることなくインストールできます。データ ストアなどのアプリケーション用のディレクトリ サービスを提供し、標準のアプリケーション プログラミング インターフェイス (API) を使用してアプリケーション データにアクセスします。ただし、AD のインフラストラクチャ機能は含まれていません。
• 軽量ディレクトリ アクセス プロトコル (LDAP) は、ネットワーク上でディレクトリにアクセスし、管理するために使用されるディレクトリ サービス プロトコルです。クライアント/サーバー モデルに基づいて、LDAP は TCP/IP スタックの上の層で実行されます。 LDAP を使用してディレクトリを作成したり、ディレクトリ サービスの動作方法を指定したりすることはできません。その主な機能は、ディレクトリ管理を支援することです。
• Active Directory 証明書サービス (AD CS) 公開キーインフラストラクチャ証明書を生成、管理、共有するために使用されます。証明書は暗号化を使用して、ユーザーが公開キーを使用してインターネット上で情報を安全に交換できるようにします。これらの証明書は暗号化を通じて機密性を提供します。ネットワーク上のコンピュータ、ユーザー、デバイス アカウントを認証します。デジタル署名を通じてデジタル ドキュメントの整合性を維持するのに役立ちます。
• Active Directory フェデレーション サービス (AD FS) シングル サインオン (SSO) を使用して、複数のアプリケーションへのユーザー アクセス (異なるネットワーク上であっても) を認証します。名前が示すように、SSO では、サービスごとに複数の専用の認証キーを使用するのではなく、ユーザーは 1 回サインオンするだけで済みます。 AD FS は、セキュリティや企業の境界を越えてデジタル ID と権利を安全に共有できるようにすることで、インターネットに接続されたアプリケーションにアクセスする際のユーザー エクスペリエンスの合理化に役立ちます。
• Active Directory Rights Management サービス (AD RMS) 組織は Information Rights Management (IRM) を使用してドキュメントを保護できます。 AD RMS を使用すると、機密情報にアクセスできるユーザーを指定する IRM ポリシーを作成できるため、権限のないユーザーによる機密情報の使用や悪用を防ぐことができます。

AD および AD DS 論理モデルの主な機能

Active Directory ドメイン サービスは、フォレスト、ドメイン、組織単位 (OU) で構成される論理モデルを使用します。このモデルは、次のことを行う方法を提供するため重要です。

• ネットワーク リソースに関する情報を保存および管理する
• ディレクトリ対応アプリケーションからのアプリケーション固有のデータを保存および管理する
• 管理者がユーザー、コンピュータ、デバイス、その他のネットワーク要素を階層的な格納構造に整理できるようにする

同じデータベースを共有するユーザーやデバイスなどの異なるオブジェクトは、同じドメイン上にあります。ツリーは、階層的な信頼関係によってグループ化された 1 つ以上のドメインです。フォレストは複数の木のグループです。フォレストはセキュリティ境界を提供し、共通のデータベースを共有するドメインは認証や暗号化などの設定を管理できます。これらのさまざまな要素には次の機能があります。

• フォレストは AD DS の最上位コンテナです。 1 つ以上の AD ドメインのグループを指します。これらのドメインに共通の論理構造を提供し、双方向の推移的な信頼関係で自動的にリンクします。これらの関係により、AD DS は複数のドメインまたはフォレスト全体にセキュリティを提供できます。また、ドメインが独自のフォレスト外のドメインのユーザーに認証サービスを拡張できるようになります。
• ドメインは、フォレスト内のコンテナまたはパーティションです。ネットワーク全体のユーザー ID を提供するため、ユーザー ID を作成する必要があるのは 1 回だけです。これが完了すると、そのドメインが存在するフォレストに参加している任意のコンピューター上でそれらを参照できるようになります。ドメインは 1 つ以上のドメイン コントローラーを使用してユーザー アカウントとユーザー資格情報を保存し、ユーザーに認証サービスを提供し、ネットワーク リソースへのアクセスを制御します。特定のドメインのドメイン コントローラーには、それが配置されているドメイン全体のディレクトリのコピーがあります。
• OU は、AD DS 論理モデルの最小の要素です。 OU は、ドメイン内のコンテナの階層を形成します。管理者は通常、グループ ポリシーの適用などの管理タスクを簡素化するために OU を使用します。 OU は権限の委任にも役立ちます。これにより、所有者は、オブジェクトの管理を簡素化するために、オブジェクトに対する管理制御を完全または限定的に他のユーザーまたはグループに譲渡できます。

AD DS のドメイン-フォレスト-OU モデルは、ネットワーク トポロジや各ドメイン内で必要なドメイン コントローラーの数に関係なく適用されます。

Microsoft は、ツリーとフォレストの配置を使用して Active Directory で階層を作成し、ネットワーク資産とネットワーク リソースへのユーザー アクセスを管理します。

AD および Active Directory ドメイン サービスの主な機能

AD と AD DS の主な機能の 1 つは、構造化された階層データ ストアを使用して、ディレクトリ情報 (AD DS ディレクトリに格納されているオブジェクトに関する情報) を論理的に整理して公開することです。これらのオブジェクトには次のものが含まれる場合があります:

• ユーザー。
• グループ。
• コンピュータ。
• ドメイン。
• OU。
• セキュリティ ポリシー。

標準化されたスキーマは、オブジェクト クラス、属性、名前、およびこれらのオブジェクトのインスタンスに対する制約と制限を定義するために使用されます。 AD のデフォルト スキーマは、国際標準化機構 X.500 シリーズのディレクトリ サービス標準をモデルにしています。また、拡張可能であるため、必要に応じてクラスや属性を追加したり、変更したりすることができます。 AD スキーマはスキーマ ディレクトリ パーティションに保存され、フォレスト内のすべてのドメイン コントローラに複製されます。

AD のもう 1 つの重要な機能は、4 つのディレクトリ パーティション タイプを使用して、ドメインのドメイン コントローラ上の Ntds.dit ファイルにさまざまな種類のデータを保存およびコピーすることです。ユーザーと管理者は、ドメイン全体でこの情報にアクセスできます。通常、ディレクトリ パーティションには、ドメイン、構成、スキーマ、アプリケーションに関するデータが含まれます。

AD と AD DS は、クエリとインデックスのメカニズムを備えています。このメカニズムにより、ネットワーク ユーザーまたはアプリケーションは、AD に保存されているオブジェクトとそのプロパティを検索できるようになります。最後に、AD のレプリケーション サービスは、ディレクトリ データをネットワーク全体に分散します。 AD には、ソース ドメイン コントローラーから宛先ドメイン コントローラーへのレプリケーション接続を自動的に作成し、AD フォレストのレプリケーション トポロジを生成する知識整合性チェッカーが含まれています。

信頼できる用語

Active Directory は信頼を利用して認証を容易にし、複数のドメインまたはフォレスト全体にセキュリティを提供します。これらの信頼関係は、AD のドメインとフォレストの両方に適用されます。 AD 信頼は、すべてのリソースに、そのリソースが配置されているドメイン内のドメイン コントローラーへの直接の信頼パスがある場合にのみ適切に機能します。また、円滑化を可能にするために、Windows は、ユーザーまたはコンピュータによって要求されたドメインが、要求元のアカウントのドメインとすでに信頼関係を持っているかどうかを確認します。

AD で使用される最も重要な信頼関連の用語は次のとおりです。

• 一方向の信頼とは、最初のドメイン（ドメイン A）が 2 番目のドメイン（ドメイン B）のユーザーにアクセス権限を許可する場合です。ただし、ドメイン B はユーザーにドメイン A へのアクセスを許可しません。簡単に言うと、これはドメイン A とドメイン B の間の一方向の認証パスです。
• 双方向の信頼とは、2 つのドメインが相互に信頼することです。したがって、これらのドメイン間で認証リクエストを渡すことができます。つまり、各ドメインが他のドメインのユーザーにアクセスできるようになります。
• 信頼できるドメインは、ユーザーが別のドメイン（信頼するドメインと呼ばれる）にアクセスできるようにする単一のドメインです。フォレストは、信頼できるドメイン オブジェクトを使用して、パートナー フォレストで使用されるドメイン ツリー名、ユーザー プリンシパル名のサフィックス、サービス プリンシパル名のサフィックス、セキュリティ識別子の名前空間など、すべての信頼できる名前空間を保存しました。
• 推移的な信頼は 2 つのドメインを超えて拡張でき、フォレスト内の他の信頼できるドメインへのアクセスを許可できます。 AD では、フォレスト内の新しいドメインと親ドメインの間に双方向の推移的な信頼関係が自動的に確立されます。
• 非推移的な信頼は、2 つのドメインに限定される一方向の信頼です。通常、他のドメインとの信頼関係を拒否するために使用されます。
• フォレストの信頼により、複数の AD フォレスト間でシームレスな認証と認可が提供されるため、それらのフォレスト内のリソースやその他のオブジェクトへのアクセスが可能になります。一方向または双方向の推移的である可能性があります。

Active Directory の歴史と発展

Microsoft は 1999 年に Active Directory のプレビューを提供し、1 年後に Windows 2000 Server とともにリリースしました。 Microsoft は、Windows Server がリリースされるたびに新しい機能の開発を続けました。

Windows Server 2003 には、フォレストを追加する注目のアップデートと、フォレスト内のドメインの位置を編集および変更する機能が含まれています。 Windows 2000 Server 上のドメインは、Server 2003 で実行される新しい AD アップデートをサポートできませんでした。

Windows Server 2008 では AD FS が導入されました。さらに、Microsoft はドメイン管理用のディレクトリのブランド名を AD DS に変更し、AD は Microsoft がサポートするディレクトリ ベースのサービスを総称する用語になりました。 AD DS は、Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows Server 2025 を含む、Windows Server のすべての最新バージョンで利用できます。

Windows Server 2016 では AD DS が更新され、AD のセキュリティが向上し、AD 環境がクラウドまたはハイブリッド クラウド環境に移行されました。セキュリティ更新には、特権アクセス管理の追加が含まれていました。 PAM は、オブジェクトへのアクセス、付与されたアクセスの種類、およびユーザーが実行するアクションを監視します。 PAM は要塞 AD フォレストを追加して、追加の安全で隔離されたフォレスト環境を提供します。 Windows Server 2016 は、Windows Server 2003 上のデバイスのサポートを終了しました。

2016 年 12 月、Microsoft は、Azure AD (現在は Microsoft Entra ID) を使用してオンプレミスの Active Directory システムに参加するための Azure AD Connect (現在は Microsoft Entra Connect と呼ばれています) をリリースしました。この統合により、組織はローカル ネットワーク上のすべての ID とアクセス制御を Office 365 などの Microsoft のクラウド サービスに接続し、それらのサービスに対してユーザー フレンドリーな SSO を有効にすることができます。 Azure AD Connect は、Windows Server 2008、Windows Server 2012、Windows Server 2016、および Windows Server 2019 を実行しているシステムで動作しました。Azure AD Connect のすべての 1.x バージョンは、2022 年 8 月 31 日に廃止されました。

ドメインとワークグループ

ワークグループとは、ピアツーピア (P2P) ネットワークを介して接続された Windows マシンを表す Microsoft の用語です。ワークグループは、ネットワーク内の Windows コンピュータのもう 1 つの組織単位です。ワークグループを使用すると、これらのマシンがネットワーク上でファイル、インターネット アクセス、プリンタ、その他のリソースを共有できるようになります。 P2P ネットワーキングにより、認証用のサーバーが不要になります。ドメインとワークグループの間には、いくつかの違いがあります。

• ドメインは、ワークグループとは異なり、異なるローカル ネットワークのコンピュータをホストできます。
• ドメインは、ワークグループよりも多くのコンピュータをホストするために使用できます。ドメインには数千のコンピュータが含まれる場合があります。通常、ワークグループの上限は 20 近くです。
• ドメインでは、少なくとも 1 台のサーバーがコンピュータであり、ドメイン内のすべてのコンピュータの権限とセキュリティ機能を制御するために使用されます。ワークグループにはサーバーはなく、コンピュータはすべてピアです。
• ワークグループとは異なり、ドメイン ユーザーは通常、ログイン名やパスワードなどのセキュリティ識別子を必要とします。

Active Directory の主な競合企業

AD と同様の機能を提供する市場の他のディレクトリ サービスには、次のようなものがあります。

• Red Hat Directory Server は、Unix 環境の複数のシステムへのユーザー アクセスを管理する LDAP ベースのディレクトリです。ネットワーク ベースのレジストリを提供して ID 情報を一元管理し、ディレクトリ内のデータへのアクセスを制限するためのユーザー ID および証明書ベースの認証を備えています。さらに、システムやユーザーの数が増加した場合でも、ディレクトリに対する一元化されたきめ細かなアクセス制御と強化されたデータ保護が提供されます。
• Apache Directory は、Java 上で実行され、Windows、macOS、Linux 上のシステムを含む任意の LDAP サーバー上で動作するオープンソース プロジェクトです。 LDAP v3 準拠のディレクトリ サーバーと、Apache Directory Studio と呼ばれる Eclipse ベースのディレクトリ ツールを提供します。さらに、このソフトウェアには、あらゆるタイプの LDAP サーバーにアクセスする便利な方法を提供する Apache Directory LDAP API が含まれています。
• OpenLDAP は、AD に代わるもう 1 つのオープンソースです。具体的には、スタンドアロン LDAP ロード バランサ デーモンなどのモジュールを備えた LDAP のオープン ソース実装です。スタンドアロン LDAP デーモン (サーバー)。 LDAP を実装するためのさまざまなライブラリ、ツール、サンプル クライアント

IT 部門はデスクトップのさまざまなグループ ポリシーを注意深く管理し、正しいポリシーが確実に実装されるようにする必要があります。 AD ドメインに参加しているグループ ポリシーがローカルをオーバーライドする場合について説明します。

続きを読む Active Directory (AD) とは何ですか?

• ハイブリッド IAM で Azure AD Connect 同期を使用する方法

• 一般的な管理タスクに Microsoft AD Explorer を使用する

• Active Directory のきめ細かいパスワード ポリシーを有効にする方法

• Windows Server 2022 ドメイン コントローラーをセットアップする方法

• Windows Server 2025 に導入される新しい Active Directory 機能

Microsoft ID とアクセス管理について詳しく知る

• 

  ドメイン コントローラーの Windows Server 2025 への移行を計画する

  

  投稿者:ブライエン・ポージー

• 

  Active Directory ドメイン (AD ドメイン) とは何ですか?

  

  投稿者:ラーフル・アワティ

• 

  ディレクトリ サービス復元モード (DSRM)

  

  投稿者:ラーフル・アワティ

• 

  Active Directory の機能レベル

  

  著者:スティーブン・ビグロー