こんにちは。GWの予定は特にないのでお勉強週間です。
思わず眠くなりそうなので温泉に行って合宿したい。
社内管理に携わらず会社でActive Directory触れずに育ったら、彼らの実態を大して知らぬままこんな歳になってしまいました。
とはいえ、Windowsシステムを利用する企業が多い中Active Directoryは切っても切れぬ関係だと思い直し、泣く泣く勉強したメモを書き連ねます。

Active Directoryの一般的な話をざざざっと

Active Directoryとは

• ディレクトリ・サービスと呼ばれるネットワーク・サービスをWindows 2000上で実装したもの
  • ディレクトリ：電話帳、住所録、名鑑とか
    • ディレクトリとは｜directory｜ディレクトリー - 意味/定義 ： IT用語辞典
  • ディレクトリ・サービス：住所録を基に案内してくれるサービス
• ADは恐れずとも、インターネットの標準技術を採用している
  • DNS(名前解決)
  • LDAP(情報検索用プロトコル)
  • Kerberos(認証用プロトコル)
• ドメインで管理している
  • 1つのドメイン内にユーザー、コンピュータ、グループ、サービス
• ドメイン内のユーザー、グループをさらに細かく管理する「OU(Organization Unit、組織単位)」を使う
• ユーザー数、拠点数が多ければ複数のドメインを作る。その階層構造を「ドメイン・ツリー」と呼ぶ
• ドメイン・ツリーを分けても同じ組織に所属する構成にすることを「ドメイン・ツリー同士で信頼関係を結ぶ」という
• 信頼関係を結ぶことを「フォレスト」と呼ぶ

Active Directory用語がたくさん

Active Directoryが提供する役割

Active Directoryが提供する役割はざっと5つ

1. Active Directory ドメインサービス(AD DS)
   • ドメインの機能
   • ドメインサービスを提供するサーバーをドメインコントローラーと呼ぶ
   • ドメインコントローラーの役割は下記3つ
     • ディレクトリデータベース
     • 認証と承認
     • グループポリシーによるユーザー/コンピュータを制御
2. Active Directory フェデレーションサービス(ADFS)
   • 組織間のシングルサインオンの機能
3. Active Directory 証明書サービス(AD CS)
   • 社内認証局としての機能
4. Active Directory ライトウェイトディレクトリサービス(AD LDS)
   • ディレクトリデータベースの機能
5. Active Directory Rights Managementサービス(AD RMS)
   • 特定のファイルに対する暗号化とアクセス制御の機能

ドメインコントローラーの役割のくだりに気になる用語があったので詳細↓↓

ディレクトリデータベース

• LDAPを採用
• 保存されるデータはオブジェクトと呼ぶ
  • ユーザーを作成すればユーザーという種類のオブジェクトを作成したこと
• オブジェクトの付随する項目をプロパティ(属性)と呼ぶ

認証と承認

• Kerberosを採用
• ユーザー名に対しパスワードが正しいことを確認する作業を認証
  • ドメインコントローラーに問合せて認証されればチケットをもらう
• ユーザーがアクセスできる範囲を確認する
  • 認証でもらったチケットを元にドメインコントローラーに問合せて、特定のサーバー、環境にアクセスできるチケットをもらう
• 基本はドメインの中だけの認証/承認となる
• クラウドサービスを利用する場合
  • SAMLというプロトコルを使ってKerberosで認証したIDをそのまま使うID連携ができる
  • SAMLで利用可能なトークンはADFSからもらう
  • そのためクラウドサービスとID連携するにはドメインコントローラー→ADFS→クラウドサービスで認証する

グループポリシーによるユーザー/コンピュータを制御

• グループポリシーはユーザーやコンピュータの設定を統一できるもの
• グループポリシーを設定すれば各クライアントに設定しなくても自動的に割り当てられる
• ユーザーがドメインコントローラーに接続することで設定をもってくる

突然出てきたFSMO

同じドメイン内のドメインコントローラーはすべて同じデータベース情報をもっていますが、ただ、1台のドメインコントローラーだけには特別な役割を処理しています
その特別な役割が
＼ふぃずも／＼FSMO／＼Flexible Single Master Operation／

• FSMOの役割

Active Directoryを移行するときは、FSMOの役割を移行先のドメインコントローラーに引き継がないとやばす

AWS上ならどうするの

源太さんのためになる資料

これも源太さんだった！

AWS Solutions Architect ブログ: AD ConnectorをつかったオンプレミスのActive DirectoryからAWSへの接続方法

AWSに接続するためのフェデレーションはAD Connector使えるなら使おうぜっていう
ADFSとSAMLの認証は諸々大変だし、AD Connectorならマネージドで運用しやすいよっていう

まとめ

Active Directoryのつらみを知ったので今度は運用のことを考える

参考資料

• 管理者のためのActive Directory入門：第1回 Active Directoryとは何か？ (1/4) - ＠IT
• AD FS の概要
• 基礎から分かるActive Directory再入門（2）：Active Directoryドメインって何ですか - ＠IT
• 基礎から分かるActive Directory再入門（3）：ドメインコントローラーの役割とは - ＠IT
• Tech TIPS：Active DirectoryのFSMO役割のサーバをntdsutil.exeコマンドで調査する（Windowsコマンドプロンプト編） - ＠IT
• Deployment Active Directory
• 操作マスタの役割