Active Directory

Active Directoryを構築する案件が舞い込んできそうです。
そういえば、Active Directoryてどんな機能を有しているか勉強しようと思いました。

Active Directory（AD）はMicrosoftが提供するディレクトリサービスで、Windows Serverに標準搭載されています。主に「ユーザー認証」「リソース管理」「セキュリティポリシー適用」を一元化する企業向けソリューションです。
2000年以降、NTドメインに代わる次世代管理システムとして普及し、現在ではAzure AD（クラウド版）との連携も一般的です。

5つの主要サービス構成

1. AD DS（ドメインサービス）
   ユーザー/コンピュータ認証の中核機能。ドメイン単位でリソースを管理し、グループポリシーによる一括設定が可能。
2. AD LDS（ライトウェイトディレクトリサービス）
   認証機能を持たない軽量版AD。アプリケーション固有のディレクトリ管理に活用。
3. AD FS（フェデレーションサービス）
   異なる組織間でのシングルサインオン（SSO）を実現。
4. AD CS（証明書サービス）
   デジタル証明書の発行・管理機能。
5. AD RMS（権利管理サービス）
   文書のアクセス権限を暗号化管理。

導入する4つのメリット

1. シングルサインオンの実現
   複数システムのID/パスワードを一元管理。
2. セキュリティ強化
   グループポリシーでパスワードポリシー/ソフトウェア制限を一括適用。
3. 運用効率化
   ユーザーアカウント作成/削除をGUIで簡易操作。
4. コンプライアンス対応
   操作ログの集中管理で監査対応が容易。

基本構成要素

• ドメイン：管理の基本単位（例：sales.company.local）
• フォレスト：複数ドメインを束ねる最上位コンテナ
• OU（組織単位）：部署別など論理的なグループ分け
• サイト：物理的な拠点単位のネットワーク設計

構築時のポイント

1. DNSサーバーの事前設定
   ADはDNSに依存するため、逆引きゾーンの整備が必須。
2. サイト間レプリケーション設計
   拠点間の通信帯域を考慮したスケジュール設定。
3. フェールオーバー構成
   最低2台のドメインコントローラーで冗長化。
4. Azure連携
   ハイブリッド構成でオンプレミスとクラウドを統合管理。

運用で注意すべき3つのリスク

1. 管理者アカウントの乗っ取り
   特権アカウントは多要素認証が必須。
2. レプリケーション遅延
   サイトリンクのコスト値を適切に設定。
3. スキーマ変更の影響
   一度変更するとロールバック不可のため慎重な検討が必要。

Azure ADとのハイブリッド管理が主流となりつつある現在、オンプレミスADの役割も変化しています。
今後は「条件付きアクセス」や「デバイスコンプライアンスポリシー」を組み合わせたゼロトラストモデルへの対応は必須となりそうです。