Win2000 Active Directoryの基盤

WIN2Kシステムの最大のブレークスルーと成功の1つは、新しく導入されたActive Directoryサービスであり、これによってWIN2Kシステムとインターネット上のさまざまなサービスおよびプロトコルが可能になります。ディレクトリの命名は「ドメイン名」の命名と首尾一貫していて、DNSによって解析され、インターネット上でWINSが解析するのと同じ効果が得られるため、より密接に関連しています。 Active Directoryはまた、Microsoftがネットワークアーキテクチャを戦略的に移行させたことを示しており、NT時代にはActive Directoryに似たサービスを提供している製品もありますが、Active Directoryは新しい統合サービスです。 WIN2Kの誕生後に来ました。 Active DirectoryはWIN2Kシステムの至る所に存在しているようです。しかし、Active Directoryのすべての側面を実際に理解するのは簡単で、いくつかの章でいくつかの一般的な説明を通してActive Directoryの主要な側面について詳細に分析したいと思います。心理学の新参者は機会についての包括的な理解をしています。

まず、Active Directoryの由来

Active Directoryの最も興味深い点は、DOSでは "ディレクトリ"、Windows9X /MEでは "パス"と "フォルダ"です。そのときの「ディレクトリ」や「フォルダ」はディスク上のファイルの位置と階層関係を表すだけで、ファイルが生成された後はそのファイルのディレクトリは比較的固定されています。これらは、つまり、その性質は比較的固定されており、静的であるということです。このディレクトリは、このディレクトリ内の全ファイルの格納場所と全ファイルの合計サイズを表すことしかできず、他の関連情報を取得できないため、ディレクトリ全体の使用効率に影響を与え、システム全体の効率に影響を与えます。システム全体の管理を複雑にします。相関がないため、異なるアプリケーションで同じオブジェクトを複数回構成する必要があります。これは管理が非常に複雑で、システムリソースの効率に影響します。この非効率な関係を変更し、インターネット上の関連プロトコルとの関係を強化するために、MicrosoftはActive Directoryの概念を導入することであるWIN2Kで包括的に改革することを決めました。 Active Directoryを理解するための秘訣は「activity」という単語ですが、「activity」という単語を削除して「ディレクトリ」から理解するだけでは、元の名前をそのままにすることはできません。 DOS下のディレクトリまたはWindows 9x下のフォルダは、このディレクトリがアクティブなので動的であり、サービス機能を含むディレクトリであり、「関連付けとマッピング」を行うことができます。ユーザー名を見つけたら、そのアカウント番号、出生情報、電子メール、電話番号などに関するすべての基本情報を関連付けることができますが、この情報を構成するファイルは1つにはなっていない場合もあります。同時に、異なるアプリケーション間で異なる情報を共有できるため、システム開発リソースの浪費が減り、システムリソースの利用効率が向上します。

Active Directoryは、ディレクトリとディレクトリ関連のサービスという2つの要素で構成されています。ディレクトリとは、さまざまなオブジェクトを格納するための物理的なコンテナのことで、静的な観点から見ると、これまでに説明した「ディレクトリ」や「フォルダ」と本質的な違いはありません。ディレクトリサービスはディレクトリ内のすべての情報とリソースを機能させるサービスで、Active Directoryは分散ディレクトリサービスであり、複数のコンピュータが同じ情報を持っているため、迅速なアクセスを保証するために情報を分散できます。したがって、情報に対する強力な制御があるため、ユーザーのアクセス先や情報の場所に関係なく、これが当てはまり、ユーザーの統一されたビューが提供されます。

2番目に関連する用語

Active Directoryで使用されているテクノロジの多くは他のソフトウェア製品にも登場していますが、総合的なネットワークソリューションとしてはまだデビューしていますが、その多くは名詞や用語は前例がない場合があるため、Active Directory内の関連する名詞や用語を詳しく調べる必要があります。

1.名前空間：本質的に、Active Directoryは名前空間であり、名前空間は任意の名前の解決境界として理解することができます。マップされているすべての情報の範囲。素人の言葉で言うと、ユーザーなどのオブジェクトを検索することで、サーバー上で見つけることができるすべての関連情報を合計します（ユーザー名、ユーザーパスワード、作業単位、連絡先、電話番号など）。自宅の住所など、上記の合計は、 "user"という名前の名前空間として広く理解されています。これは、上記のすべての情報を見つけるためにユーザー名しか見つけることができないためです。名前解決は、名前をオブジェクトまたは名前によって表される情報に変換するプロセスです。たとえば、電話帳が形成されているディレクトリでは、名前が名前、番号が番号、水平方向に連絡できないのではなく、各電話アカウントの名前を対応する電話番号に解決できます。 Ｗｉｎｄｏｗｓ（登録商標）オペレーティングシステムのファイルシステムもネームスペースを形成し、各ファイル名は（それが有するべき全ての情報を含む）ファイル自体に解析することができる。

2、object：ObjectはActive Directory内の情報エンティティです。これは通常「属性」ですが、属性の集まりであり、ユーザーアカウントなどの具体的なエンティティを表すことがよくあります。ファイル名などオブジェクトは、その基本的な特性を属性で記述したもので、たとえば、ユーザーアカウントの属性には、ユーザーの名前、電話番号、電子メールアドレス、自宅の住所などがあります。

3.コンテナ：コンテナはActive Directory名前空間の一部であり、ディレクトリオブジェクトと同様にプロパティも持っていますが、ディレクトリオブジェクトとは異なり、具体的なエンティティを表すのではなく、オブジェクトが格納されるスペースを表します。オブジェクトが格納されているスペースを表すだけなので、名前空間よりも小さくなります。たとえば、ユーザーはオブジェクトですが、このオブジェクトのコンテナーは、ユーザー名、ユーザーパスワードのみを提供できるなど、オブジェクト自体から提供できる情報スペースに制限されています。作業単位、連絡先番号、自宅住所などのその他のものは、このオブジェクトのコンテナの一部ではありません。

4、ディレクトリツリー：どの名前空間においても、ディレクトリツリーはコンテナとオブジェクトの階層を指します。ツリーの葉とノードはオブジェクトであることが多く、ツリーの葉以外のノードはコンテナです。ディレクトリツリーは、オブジェクトがどのように接続されているかを表し、あるオブジェクトから別のオブジェクトへのパスも示します。 Active Directoryでは、ディレクトリツリーが基本構造であり、各コンテナから開始点としてサブツリーを作成できます。単純なディレクトリでツリーを形成することも、コンピュータネットワークまたはドメインでツリーを構成することもできます。私達が最初にコンピュータを学んだとき、それはDOSの下でパス概念の包括的な理解に基づいて始めましたか？実際、あなたがDOSを理解するならば、この「ディレクトリツリー」は一種の「パス関係」でもあります「パス」は、この「ディレクトリツリー」を理解しても問題ないと考えています。

5.ドメイン：ドメインはWIN2Kネットワークシステムのセキュリティ境界です。コンピュータネットワークの最も基本的な単位は「ドメイン」であることはわかっていますが、これはWIN2Kに固有のものではありませんが、Active Directoryは1つ以上のドメインを介して実行できます。スタンドアロンコンピュータでは、ドメインはコンピュータ自体を指し、ドメインは複数の物理的な場所に分散させることができ、同時に物理的な場所は異なるネットワークセグメントを異なるドメインに分割することができます。他のドメインの信頼関係信頼関係を介して複数のドメインが接続された後は、Active Directoryを複数の信頼ドメインドメインで共有できます。
<組織単位：ドメインで特に有用なディレクトリオブジェクトの種類は組織単位です。組織単位は、ユーザー、グループ、コンピュータ、およびその他の単位をActive Directoryに入れるコンテナです。組織単位には、他のドメインのオブジェクトを含めることはできません。組織単位は、グループポリシー設定または委任管理権限を割り当てることができる最小の行動単位です。組織単位を使用すると、組織単位の論理階層を表すドメインにコンテナを作成できるため、組織モデルに基づいてアカウント、リソース構成、および使用状況を管理でき、組織単位を使用してあらゆる規模のスケーラブルな管理を作成できます。モデルユーザーは、ドメイン内のすべての組織単位または個々の組織単位に対する管理権限を付与できます組織単位の管理者は、ドメイン内の他の組織単位の管理権限を持っている必要はありません。行政権はこのようにして理解することができます。

7、ドメインツリー：ドメインツリーは複数のドメインから構成され、これらのドメインは同じテーブル構造と構成を共有し、連続的な名前空間を形成します。ツリー内のドメインは信頼関係によって接続されており、Active Directoryには1つ以上のドメインツリーが含まれています。ドメインツリーのドメイン階層が深いほど、レベルは低くなります。たとえば、ドメインの子.Microsoft.comは、2つの階層関係があるため、Microsoft.comドメインよりも低くなります。 1レベルドメインGrandchild.Child.Microsoft.comは、同じ理由でChild.Microsoft.comレベルよりも低くなります。

ドメインツリー内のドメインは、双方向の推移的信頼関係によって接続されています。これらの信頼関係は双方向で推移的なので、ドメインツリーまたはフォレスト内に新しく作成されたドメインは、ドメインツリーまたはフォレスト内の他のすべてのドメインと直ちに信頼を確立できます。これらの信頼関係により、シングルサインオンプロセスでドメインツリーまたはフォレスト内のすべてのドメインのユーザーを認証できますが、これは必ずしも認証されたユーザーがドメインツリーのすべてのドメインで同じ権限とアクセス許可を持つことを意味しません。ドメインはセキュリティの境界であるため、ユーザーにはドメインごとに適切な権限とアクセス許可を割り当てる必要があります。

8.ドメインフォレスト：ドメインフォレストは、連続した名前空間を形成しない1つまたは複数のドメインツリーで構成されていますドメインドメインツリーと前述のドメインツリーの最も明らかな違いは、これらのドメインツリー間にドメインがないことです。連続した名前空間が形成され、ドメインツリーは連続した名前空間を持つドメインで構成されます。ただし、ドメインフォレスト内のすべてのドメインツリーは、依然として同じテーブル構造、構成、およびグローバルカタログを共有しています。ドメインフォレスト内のすべてのドメインツリーはKerberosの信頼関係を通じて確立されるため、各ドメインツリーはKerberosの信頼関係を認識しており、異なるドメインツリーは他のドメインツリー内のオブジェクトを相互参照できます。ドメインフォレストにはルートドメインがあり、ドメインフォレストのルートドメインはドメインフォレスト内で最初に作成されたドメインであり、ドメインフォレスト内のすべてのドメインツリーのルートドメインはドメインフォレストのルートドメインと推移的な信頼関係を確立します。

9.サイト：サイトはActive Directoryドメインサーバーを含むネットワーク上の場所で、通常はTCP /IPで接続された1つ以上のサブネットです。サイト内のサブネットは、信頼性の高い高速ネットワークを介して接続されています。サイトを分割することで、管理者はActive Directoryの複雑な構造を簡単に構成し、ネットワーク通信を最適化するために物理ネットワーク機能をより有効に活用できます。ユーザーがネットワークにログインすると、Active Directoryクライアントは同じサイト内のActive Directoryドメインサーバーを検出します同じサイト内のネットワーク通信は信頼性が高く、高速で効率的であるため、ユーザーにとって最速になる可能性があります。時間内にネットワークシステムにログインします。サイトはサブネットにバインドされているため、Active Directoryはログイン時にユーザーがいるサイトを簡単に見つけてから、Active Directoryドメインサーバーを見つけてログインを完了させることができます。

10、ドメインコントローラー：ドメインコントローラーは、Active Directoryのインストールウィザードを使用して構成されたWIN2Kサーバーのコンピューターです。 Active Directoryインストールウィザードは、ネットワークユーザーにActive Directoryサービスを提供し、ユーザーが選択できるようにコンピュータを提供するコンポーネントをインストールして構成します。ドメインコントローラはディレクトリデータを格納し、ユーザーのログイン手順、認証、ディレクトリ検索などのユーザードメインのやり取りを管理します。高可用性とフォールトトレランスのために、単一のローカルエリアネットワーク（LAN）を使用している小さなユニットは、2つのドメインコントローラを持つ1つのドメインしか必要としないかもしれません。複数のネットワークロケーションを持つ大企業は、高可用性とフォールトトレランスを提供するために各ロケーションに1つ以上のドメインコントローラを必要とします。

WIN2KサーバードメインコントローラーはWINNTサーバー4.0ドメインコントローラーが提供する機能を拡張し、WIN2Kサーバーマルチホームレプリケーションは各ドメインコントローラーのディレクトリデータを同期して時間の経過を保証します。この情報はまだ一貫性があり、つまり動的であり、これがActive Directoryの動作です。マルチホームレプリケーションは、WINNT Server 4.0で使用されているプラ​​イマリドメインコントローラとバックアップドメインコントローラのモデルの発展形で、WINNT Server 4.0には、ディレクトリの読み書き可能なコピーを持つプライマリドメインコントローラが1つだけ存在します。