Active Directoryフォレストとドメインのガイド

Active Directoryは、Microsoftシステムのユーザーの認証方法における重要な要素です。また、ネットワークに接続されたコンピューターとデバイスの検証を管理し、ファイル許可システムの一部として展開することもできます。.

マイクロソフトは、Active Directoryシステムに依存して、さまざまな製品のユーザーアカウント管理をますます強化しています。例えば, ADは、Exchange Serverのユーザー認証方法の中核です.

以下に紹介するツールについて詳しく説明しますが、要約の時間だけがある場合は、5つのリストをご覧ください。 Active Directoryフォレストおよびドメインを管理するための最適なツール：

1. SolarWinds Access Rights Manager（無料トライアル） Windows、SharePoint、Exchange Server、およびWindowsファイル共有のAD実装を監視します.
2. Active DirectoryのSolarWinds管理バンドル（無料ツール） ADのアクセス権の管理に役立つ3つの無料ツール.
3. ManageEngine ADManager Plus（無料トライアル） Office 365、G-Suite、Exchange、Skypeへのアクセス許可と標準のWindowsユーティリティアクセス権を管理するActive Directoryの魅力的なフロントエンド.
4. PRTGを使用したPaessler Active Directoryモニタリング ネットワーク、サーバー、およびアプリケーションをカバーするスリーインワンのシステム監視ツール。 ADレプリケーションを管理するADモニターが含まれています.
5. Microsoft Active Directoryトポロジ図表 Visioを介して解釈するために、AD構造のレイアウトを生成する便利な無料ツール.

ドメイン、樹木、および森林

ドメインの概念は、一般にネットワーキングコミュニティによって理解されています。 Webサイトはドメインであり、World Wide Webではドメイン名によって識別されます。この用語の別の用途は、すべてのコンピューターが同じアドレス空間内にあるネットワーク上のアドレス指定、または「範囲.』

Active Directoryの用語では、ドメインは1つの認証データベースでカバーされるネットワークの領域です。そのデータベースのストアは ドメインコントローラー.

誰もが現実の世界で森林が何であるかを知っています-それは木で覆われたエリアです。 Active Directoryのツリーはどこにありますか?

複数のドメインを一緒にリンクできます ツリー構造. だから、あなたが持つことができます 親ドメイン と 子ドメイン それにリンク。子ドメインは親のアドレス空間を継承するため、子はサブドメインです。ツリー構造の最上部は ルートドメイン. 親と子の関係のグループ全体がツリーを形成します。 1つのドメインの子は、他のドメインの親になることもできます.

したがって、ツリーと同じルートドメインアドレスを共有するドメインのグループを考えてください。木を見ることができたら、森が何であるかを知ることができます： それは木のコレクションです.

配布と複製

フォレストの概念は、ユニークなツリーのコレクションであるという事実により、やや複雑です。大規模なネットワークでは、一般的な方法です ドメインコントローラーを複製する システムの異なるサーバーに複数のコピーを作成します—これによりアクセスが高速化されます.

マルチサイトWANを運用している場合、組織全体に共通のネットワークアクセスシステムが必要です。ドメインコントローラーの場所には、 パフォーマンスへの深刻な影響, 遠隔地のユーザーは、ネットワークにログインするまでに長い時間待たなければなりません。ドメインコントローラーのコピーをローカルに保持すると、この問題を回避できます。.

異なる場所に同じドメインコントローラーの複数のコピーがある場合、フォレストはありません。.

Active Directoryの中央管理モジュール すべてのコピーを調整する必要があります すべてのデータベースが正確に同じであることを確認します。これには複製のプロセスが必要です。 Active Directoryの権限データベースはネットワーク全体に分散されていますが、公式に「分散データベース.’分散データベースでは、レコードのコレクションは複数のサーバーに分割されます。そのため、データベース全体を収集するには、各サーバーにアクセスする必要があります。 Active Directoryの場合はそうではありません。各サーバー（ドメインコントローラー）には データベースの正確で完全なコピー.

複製の利点

複製されたドメインコントローラーには複数の セキュリティの追加の利点. 1つのドメインコントローラーが誤って破損した場合、別のサイトからデータベースをコピーすることにより、元のレコードをすべて置き換えることができます。ハッカーがネットワーク上のユーザーの1人から資格情報を取得した場合、ローカルドメインコントローラーに保持されているアクセス許可を変更して、高い特権、またはネットワーク上のリソースへの幅広いアクセスを取得しようとする可能性があります。これらの変更は、発見されるとロールバックできます.

ドメインコントローラデータベースでの一定の比較は、重要なセキュリティ対策を提供します。複製プロセスはまたあなたを助けることができます 侵害されたアカウントをシャットダウンする システム全体。ただし、元のデータベースの復元と更新されたレコードのロールアウトには、効果を上げるために非常に定期的なシステムスイープと整合性チェックが必要です。.

レプリケーションの管理は、Active Directoryを操作するネットワーク管理者にとって重要なタスクです。多くのローカルドメインコントローラーが存在する可能性があるという事実 侵入者がネットワークの一部をこっそり盗んでデータを盗んだり変更したりする機会を与えることができる 検出およびロックアウトされる前。ドメインコントローラのコピー間の調整は、すぐに非常に複雑で時間のかかるタスクになる可能性があります. 妥当な時間内に手動で実行することはできません. 自動化された方法を使用して、すべてのドメインコントローラーを頻繁にチェックし、含まれるアクセス許可が変更されたときにすべてのサーバーを更新する必要があります。.

フォレストを定義する

フォレストを作成するには、複数のドメインツリーが必要です。あなたがしたい場合、このシナリオが存在する可能性があります ネットワークのさまざまな領域に対するさまざまな権限. そのため、サイトごとに個別のドメインがある場合や、ネットワーク上の特定のリソースやサービスのアクセス許可を通常のネットワーク認証システムとは完全に分離したい場合があります。したがって、ドメインは地理的に重複する可能性があります.

会社のネットワークには 多くのドメインコントローラー それらの一部にはすべて同じデータベースが含まれ、他の一部には異なる権限が含まれます.

あなたの会社が独自のネットワークでユーザー向けのサービスを実行していて、 これらの権限を別々に保つ スタッフがアクセスするリソースから。 2つの別個のドメインが作成されます。会社のメールシステム用にExchange Serverも実行している場合、別のADドメインがあります。.

スタッフのメールシステムにはおそらくウェブサイトと同じドメイン名が付けられますが、同じツリーに同じドメインルートを持つすべてのドメインを保持する必要はありません。そのため、電子メールシステムには単一ドメインツリーを、ユーザーネットワークには個別の単一ドメインツリーを設定できます。したがって、このシナリオでは、フォレストを作成する3つの別個のドメインを扱っています。.

電子メールシステムの実際のサーバーは1つの場所にのみ存在し、1つの認証データベースにアクセスするだけでよいため、Exchangeドメインにはドメインコントローラーが1つしかありません。ユーザードメインは、ゲートウェイサーバー上の1つの場所にのみ必要な場合があります。しかしながら, 会社のサイトごとにスタッフドメインコントローラのインスタンスを実装できます. そのため、5つのスタッフドメイン、5つのスタッフドメイン、1つのユーザードメイン、および1つのメールドメインがあります。.

内部ネットワークをオフィス機能ごとにサブセクションに分割すると、相互運用性のないアカウントセクションとセールスセクションができます。これらは、親スタッフドメインの2つの子ドメインであり、ツリーを形成します.

スタッフネットワークをユーザーネットワークから分離する理由の1つは、セキュリティのためです。内部システムでのプライバシーの必要性は、さらには そのスタッフネットワーク用に個別のドメイン名を作成する, これを一般に知らせる必要はありません。 1つのツリーに異なるドメイン名を含めることはできないため、この移動により、別のツリーが強制的に作成されます。電子メールシステムとユーザーアクセスシステムにはそれぞれ1つのドメインしかありませんが、それぞれがツリーを表しています。同様に、新しいウェブサイトを作成することにした場合 別のドメイン名, ドメイン名が異なるため、これを最初のサイトの管理にマージできませんでした.

スタッフドメインを分割して子ドメインを作成するには、より多くのドメインコントローラーが必要です。スタッフネットワークのサイトごとに1つのドメインコントローラーではなく、サイトごとに3つがあり、合計で5つ以上のサイトが15になります。.

これらの15のスタッフドメインコントローラーを複製し、5つのサイトのそれぞれに保存されている3つの元のドメイン間のツリー構造関係と調整する必要があります。他の2つのドメインコントローラーはそれぞれ別個のものであり、 複製手順の一部にはなりません スタッフドメインの。サイトには3つのツリーと1つのフォレストがあります.

この比較的単純な例からわかるように、ドメイン、ツリー、およびフォレストの管理の複雑さは、包括的な監視ツールなしではすぐに管理不能になる可能性があります.

グローバルカタログ

リソースをドメイン、サブドメイン、およびツリーに分離するとセキュリティが強化されますが、ネットワーク内のリソースの可視性が自動的に排除されるわけではありません。というシステム グローバルカタログ （GC）フォレスト内のすべてのリソースを一覧表示し、そのフォレストのメンバーであるすべてのドメインコントローラーに複製されます.

GCを支えるプロトコルは、「推移的信頼階層.』これは、システムのすべての要素が真正であり、ネットワーク全体のセキュリティに有害ではないと想定されることを意味します。したがって、あるドメインに入力された認証レコードは、別のドメインに登録されているリソースへのアクセスを許可するために信頼できます。.

1つのドメイン内のリソースへのアクセス許可を与えられたユーザーは、同じドメイン内であっても、すべてのリソースへのアクセスを自動的に取得しません。リソースを可視化するGC機能 すべては、すべてのユーザーが同じフォレストのすべてのドメイン内のすべてのリソースにアクセスできることを意味しません. そのGCリストは、フォレスト内のすべてのオブジェクトの名前です。他のドメインのメンバーは、他のツリーやドメイン内のオブジェクトの属性でさえクエリすることはできません.

複数のフォレスト

フォレストは、同じ管理グループによって実行されるすべてのツリーの単なる説明ではなく、フォレストレベルで保持されるすべてのドメインに共通の要素があります。これらの一般的な機能は、「スキーマ.』スキーマには、フォレストの設計と、フォレスト内のすべてのドメインコントローラーデータベースが含まれます。これには統一効果があり、これは同じフォレスト内のすべてのコントローラーに複製される共通GCで表現されます.

維持する必要があるいくつかのシナリオがあります 複数の森 あなたのビジネスのために。 GCのために、ドメインのメンバーから完全に秘密にしたいリソースがある場合、それらのために別個のフォレストを作成する必要があります.

別のフォレストをセットアップする必要があるもう1つの理由は、AD管理ソフトウェアをインストールする場合です。 ADシステムのサンドボックスコピーを作成して、新しいソフトウェアの構成を試してから、実際のシステムでそれを解放することをお勧めします。.

企業がネットワーク上で既にActive Directoryを運営している別のビジネスを買収した場合、多くのオプションに直面することになります。あなたのビジネスが新しい会社と取引する方法は、その新しい部門のネットワークをどのように運営するかを決定します。新しい会社の事業が組織に引き継がれ、その会社の名前とアイデンティティが廃止される場合、 取得したビジネスのすべてのユーザーとリソースを既存のドメイン、ツリー、フォレストに移行する必要があります.

買収した会社が既存の名前で取引を続ける場合、 現在のドメイン名で継続されます, 既存のドメインやツリーに統合することはできません。この新しい部門のツリーを既存のフォレストに移植できます。ただし、より簡単な方法は、取得したネットワークをそのままにして、フォレストをリンクすることです。可能です 2つの独立したフォレスト間に推移的な信頼機関を作成する. このアクションは手動で実行する必要があり、リソースのアクセス可能性と可視​​性を拡張して、2つのフォレストが論理レベルで効果的にマージされるようにします。 2つのフォレストを個別に維持することができ、その信頼リンクが相互アクセス性を処理します.

Active Directoryフェデレーションサービス

Active Directoryは多くのサービスを実行します システムのさまざまな側面を認証する またはドメイン間の結合を支援します。サービスの一例は Active Directory証明書サービス （AD CS）Transport Layer Securityなどの暗号化システムの公開鍵証明書を制御します。ドメインとフォレストに関連するサービスは Active Directoryフェデレーションサービス （AD FS）.

AD FSはシングルサインオンシステムであり、ネットワークの認証を他の組織が実行するサービスに拡張します。このサービスに含めることができるシステムの例は、Google G-Suite機能およびOffice 365です.

の シングルサインオンシステム AD実装とリモートサービスの間で認証トークンを交換するため、ユーザーがネットワークにログインすると、参加しているSSOリモートサービスに再度ログインする必要はありません。.

ADフォレストとドメインの管理

Active Directoryの比較的単純な構造は、サブドメインと複数のフォレストの作成を開始するとすぐに管理不能になる可能性があります.

一般的に, ドメインをできるだけ少なくするようにエラーを起こした方が良い. リソースを異なるドメインとサブドメインに分けるとセキュリティ上の利点がありますが、複数インスタンスアーキテクチャの複雑さが増すと、侵入追跡が困難になる可能性があります.

新しいActive Directoryの実装をゼロから始める場合は、次のことをお勧めします。 1つのツリーの1つのドメインから始めます, すべてが1つのフォレストに含まれています。インストールを支援するAD管理ツールを選択します。選択したツールを使用してドメインを管理できるようになったら、ドメインをサブドメインに分割し、さらにツリーまたはフォレストを追加することを検討できます.

最高のActive Directory管理ツール

ツールを支援せずに認証システムを管理して取得しようとしないでください。専門ツールなしでやろうとすると、すぐに圧倒されます。幸運なことに, 多くのActive Directory管理および監視ツールは無料です, 予算の問題がないので、試してみることはできません。.

現在、市場には多くのADツールがあります。そのため、すべてをプレビューしようとすると、ソフトウェアの評価に多くの時間を費やすことになります。検索エンジンの結果ページに表示される最初のツールを選択するだけでも間違いです。クエストを楽にするために, ADの推奨ツールのリストをまとめました.

関連：これらのオプションの詳細については、このガイドの次のセクションをご覧ください。 ADソフトウェアの詳細なリストについては、12のベストActive Directoryツールとソフトウェアをご覧ください.

1. SolarWinds Access Rights Manager（無料トライアル）

の 行頭ツール AD管理のために SolarWinds Access Rights Manager. このツールは、すべてのバージョンにインストールされます Windowsサーバー. このActive Directory管理ツールは、次の目的で動作するAD実装を監視できます。 共有ポイント, Exchange Server, そして Windowsファイル共有 一般的なオペレーティングシステムアクセスと同様に.

このツールには、少ない労力で標準タスクを完了するのに役立つ多くの自動化が含まれています。このカテゴリのタスクには、 ユーザー作成 そしてまたあります セルフサービスポータル 既存のユーザーが自分のパスワードを変更できるようにする.

Access Rights Managerは、ユーザーアクティビティとリソースアクセスを24時間追跡します。 ロギングシステム. これにより、営業時間外やデスクから離れている場合でも侵入を発見できます。.

ユーティリティには 分析機能 ADの実装を最適化する方法を決定するのに役立ちます。 Access Rights Managerは非アクティブなアカウントを強調表示し、放棄されたユーザーアカウントを除外することでドメインコントローラーを整理します。.

Access Rights Managerのレポートツールは、データセキュリティ標準化団体の要件に合わせて調整されているため、このADアシスタントを通じてルールを実施し、コンプライアンスを実証できます。.

Access Rights Managerの30日間の無料試用版を入手できます。ツールのカットダウンバージョンは無料で利用できます。これは Active Directory用SolarWinds Permissions Analyzer.

SolarWinds Access Rights Manager30日間の無料トライアルをダウンロード

Active Directory用SolarWinds Permissions Analyzerダウンロード100％無料ツール

2. Active Directory用のSolarWinds管理バンドル（無料ツール）

SolarWindsは、別のActive Directory監視オプションを作成します。 Active Directoryの管理バンドル. このツールパックには以下が含まれます。

• 非アクティブなユーザーアカウント削除ツール
• 非アクティブなコンピューターアカウント削除ツール
• ユーザーインポートツール

ユーザーインポートツールを使用すると、次のことができます。 ユーザーアカウントを一括作成する CSVファイルから。非アクティブユーザーアカウント削除ユーティリティは、次のことに役立ちます。 未使用のユーザーアカウントを特定して閉鎖する. 非アクティブなコンピューターアカウント削除ツールを使用すると、次のことができます。 無効なデバイスレコードを識別する Active Directoryドメインコントローラーで。この 無料ツール バンドルが実行されます Windowsサーバー.

Active Directory用SolarWinds Adminバンドル100％無料のツールバンドルをダウンロード

3. ManageEngine ADManager Plus（無料トライアル）

ManageEngineはリソース監視システムを生産し、この包括的なAD管理ツールは会社の高い水準に合わせて作成されています。 Active Directoryの実装を管理して、次の権限を管理できます。 Office 365, Gスイート, 両替, そして スカイプ ネットワークアクセス権と同様に.

ADManager PlusはWebベースのインターフェースを備えているため、どのオペレーティングシステムでも実行できます。一括操作など、ドメインコントローラーからオブジェクトを作成、編集、削除できます. ツールはアカウントの使用状況を監視します 死んだアカウントを見つけることができ、ユーティリティを介して多くのAD管理ツールを自動化できます.

ADManager Plusの監査およびレポート機能は、コンプライアンスの実証に役立ちます SOX そして HIPAA およびその他のデータセキュリティ標準.

このシステムは、StandardおよびProfessionalエディションで利用できます。このツールの30日間の無料試用版を入手できます。試用期間の終了後に購入しないことにした場合、ソフトウェアは制限付きの無料版として機能し続けます.

ManageEngine ADManagerPlus30日間無料トライアルをダウンロード

4. PRTGによるPaessler Active Directoryモニタリング（無料トライアル）

ペスラーのPRTG ツールのバンドルです。各ツールは「センサー.’このユーティリティには、AD実装の監視に役立つActive Directoryセンサーが含まれています。 PRTGが実行されます Windowsサーバー そして、次のことができます 無料で使用する 100個のセンサーのみをアクティブにする場合。有料ツールの価格は、アクティブにするセンサーの数によって異なります.

PRTGのADセンサーは、Active Directoryのレプリケーションシステムを追跡します。これにより、完全なデータベースがネットワークの周りにあるすべてのドメインコントローラーバージョンに確実にコピーされます。また、このツールはユーザーアクティビティをログに記録して、非アクティブなユーザーアカウントの検出に役立ちます。無制限のセンサーを備えたシステム全体の30日間無料トライアルを取得できます.

Paessler Active Directory Monitoring PRTG30日間無料トライアルをダウンロード

5. Microsoft Active Directoryトポロジ図

マイクロソフトのこのマッピングツールは、複雑なAD実装を管理している場合に非常に便利な無料のアシスタントです。マップを作成します ヴィジオ これは、すべてのドメイン、ツリー、およびフォレスト間の関係を示しています。残念ながら、インストールできるWindowsの最新バージョンは Windows 7 およびの最新バージョン Windowsサーバー ツールを実行できるのは Windows Server 2008 R2. このツールを使用するには、Visioもインストールする必要があります。.

Active Directory管理

Active Directory構成の基本を理解したので、実装の管理に役立つツールの使用を検討する必要があります。うまくいけば、ガイドがADをより効果的に実行するための道を設定してくれることを願っています.

Active Directoryを管理するためのツールを使用していますか？リストにあるツールを使用していますか？にメッセージを残す コメント 以下のセクションであなたの経験をコミュニティと共有してください.