Active Directory(AD)は、Windows Server 2000 から提供されるようになった、組織のユーザ情報を管理するための仕組みです。
ADサーバを導入することで組織の管理者がユーザを一元的に管理することができるようになります。
ADは社員数が数十名を超えたあたりの企業において、ユーザIDやパスワード管理の効率化のために導入検討することが多いでしょう。
今回はADサーバの機能について、ユーザ管理とWindowsパソコンの設定管理についての概要を解説していきます。
Active Directoryによるユーザ管理と認証
ADサーバを利用することで組織内で使用するパソコンなどのユーザIDとパスワードを一元管理することができます。
ADは社内など限られたエリア(ドメイン)を作成し、そのドメイン内でグループやユーザ、パスワードといったアカウント情報を管理します。
たとえばユーザAは営業部グループに所属させ、別のユーザBは総務部グループに所属させるなど、社員のユーザIDをADサーバ側で管理することができます。
AD上で作成したユーザは、ドメイン内の認証に利用することができます。
社内で使用するパソコンをADのドメインにあらかじめ参加させておくことで、そのパソコンへはAD上のユーザ情報を使用しログインできるようになります。
AD上のユーザ情報を利用することで、仮に社員がパスワードを忘れてしまったとしても、AD側で対象ユーザのパスワードをリセットできるなど、アカウントの管理がしやすくなります。
また、ファイルサーバなどユーザやグループごとにアクセス権を設定するような場合にも、ファイルサーバとAD連携しておくことで、AD上のユーザ情報を利用することができます。
Active DirectoryによるWindowsパソコンの設定管理
ADサーバを導入した場合、社内の管理対象のパソコンはADドメインに参加させることになります。
ADではグループポリシーというものを設定することができ、ドメインに参加しているパソコンにポリシーに沿ったWindowsの設定を反映させることができます。
USBなどの外部メモリの利用、パスワードなどのセキュリティポリシーなど、企業のポリシーに沿った設定を反映させることで、社内パソコンの設定統一が可能となります。
新しくパソコンを導入する場合であっても、ADドメインに参加することでポリシーに沿った設定をすることができるため、管理者の作業負担を減らすことが期待できます。
Active Directory 利用の注意点
ADの機能を利用することで、社内のパソコン管理を効率化することができます。
しかし、社員が自分のユーザIDでパソコンにログインする際にもADサーバの認証が必要になるため、仮にADサーバが障害などで利用できない状態になってしまうと、パソコンにログインできなくなるなど、業務に大きな影響を与える恐れがあります。
そのため、ADサーバは二台で冗長化構成とし、一台が故障してしまったとしても、もう一台のADサーバを利用できるようにしておく構成で導入される場合も多いです。
サーバが停止した際の業務への影響が大きいため、ADサーバ導入の際には構成についても十分に検討する必要があるでしょう。