以前何も分からず社内SEとして働いていた時にITベンダーの方が「ADで制御かけます」とか「ADの更改が必要ですね〜」とか、やたらとADという単語が飛び交っていましたが、当時の私は何の事なのか分かりませんでした。その会社ではITの管理を完全にITベンダーさんへ丸投げしていたので、知る必要性が無かったのですが、知らない事で損をしていたのも事実ですし、簡単な概念なので勉強すれば良かったなと今にしてみて思います。
ただ、概要だけ知る事のできる教材が無かったので、当時の私の様な立場で働いている方でも分かるような説明をしてみたいと思います。
ADサーバとは?
まずADサーバの単体に焦点をあてます。
正式名称はActive Directory といいます。略してADと呼ぶ事が多いですね。
Windows Server で構築されています。Windows Server というのは、店頭て販売しているPCに入っているWindows 10 等と操作性はほぼ変わりません。マイドキュメントはあるし、デスクトップもあります。ただしサーバとしての機能を持っていますので、価格がザックリ10倍する高価なものなのです。また、サーバといっても、業務用の大きなものをイメージする方もいるかもしれませんが、普通の端末にインストールする事も可能です。評価版等あるので、とりあえず触ってみたい方は余剰PC等にインストールして遊んでみるのも手かもしれません。
ADサーバは認証をしている
会社のPCへログインする場合、IDとパスワードを入力します。実はこの認証をADサーバが行っているのです。
事前にADサーバに認証するPCの登録と、ログインユーザを入力しておきます。
ログインの時に、毎回ADサーバに許可をしにいっているのです。そしてADサーバに登録してあるパスワードが正しければ、Windowsにログインできます。
ローカルのPCの中にユーザを作成する事も可能ですが、管理するPCが多いと大変ですよね?
ADで認証すれば、異なる端末からもWindowsへログインできるので便利です。例えば、経理部の太郎君が総務部へ異動となった場合、パソコンを持って行かなくても総務部のPCでログインが可能となるわけです。ローカルにユーザを作成した場合は、できませんね。
ADサーバは2台構成となっている
ADがWindows端末の認証をしている事が分かったと思います。
さて、ADサーバが故障した場合はどうなるでしょうか?
そうです、Windowsへログインできなくなりますね。
それは大変な事になるので、ADサーバは通常2台構成が一般的になっています。(大きな組織は3台以上の構成)
2台でデータを常にやり取りしているので、AD1サーバとAD2サーバには同じデータが入っている事になります。
片方が故障しても、問題ないというわけです。同時に2台故障するって事は考えられないので2台あれば十分ですね。
Windows端末のコントール
ADサーバの大きな機能として、認証の他にWindowsの設定を強制的に制御する事ができます。
ADサーバにグループポリシーというのがあり、そこへ設定を入れていくといった感じです。
GPOの具体的な構築や運用手順については、別記事を参考にしていただければと思います。
「グループポリシー(GPO) の作成と適用手順」Active Directory(AD) をフル活用して端末を完全制御しちゃおう!!
グループポリシーでできる事の例としては
・ショートカットの配布
・右クリックを制限する
・背景画像を指定する
・IEのホームを指定する
・コントロールパネル非表示にする
・USBを利用不可にする
・各種Windows設定を指定して、変更不可にする
てな感じで、できない事がないくらう沢山の機能があり、運用負荷の軽減と統制をとる事が可能となります。
ADについてもう少し詳しく知りたい
ADをもう少しまじめに理解したい方は下記の記事をご参照ください。
コメント