ドメインコントローラ対Active Directory:包括的な比較

チュートリアル

ドメインコントローラーとActive Directoryは同じものだと思われがちですが、実際には非常に異なります。これらの違いを知ることで、両者がどのように連携しているかをより理解することができます。

Domain Controller vs Active Directory

Active Directoryには侵害されたパスワードがありますか?Specops Password Auditorをダウンロードして無料でスキャンしてみてください。

今回の記事では、Windows NTの用語に焦点を当てます。Linuxでも同様または類似の概念や用語が多くあります。ドメインコントローラーとActive Directoryのストーリーを説明するために、ナイトクラブに関する話を使います。

I hope this will relate the equivalent scenarios and differences between domain controllers vs Active Directory functionality better than simply regurgitating documentation.

Active Directoryの説明をお探しの場合、正しい場所に来ました。

関連記事:Active Directory FSMOロールの仕組みを解説

ドメインコントローラー

A bouncer named Ox is standing guard at the door of the nightclub dubbed Club BOFH. Ox’s job is to check names against a list before letting someone in line get into the club. Every hopeful club-goer in line wants to get in, but they have to be on the ‘A’ list.

リストに載っていない人は入ることができません。試みれば、追い出されます!バウンサーは、ナイトクラブのオーナーに重要なサービスを提供しています。オーナーは、クラブを運営していないときに、ITに関するトピックを説明するこのようなブログ記事を書いています。

ドメインコントローラー(バウンサーのOx)またはDCは、ナイトクラブのセキュリティサービスを提供しています。ドメインコントローラーは、認証要求(クラブに行く人がOxに名前を教えること)に使用されるデータベース(「A」リスト)をホストしています。

Oxがクラブに行く人を認証すると、彼らはベルベットの綱を外し、クラブに入ることを許可します。これがドメインのリソース(ドリンク、音楽、ナイトクラブ内のダンス)にアクセスする唯一の方法です。

Oxにはいくつかの友達(ドメインコントローラーまたはDCとして機能するメンバーサーバー)が手助けしています。彼らのうちの1人がクラブから追い出された怒った人に圧倒されても、他の誰かが代わりにセキュリティサービスを提供することができます。

Oxは冗長なセキュリティサービスを提供することができます。しかし、Oxと友達はClub BOFHに入場を許可されているクラブに行く人のリストをどのように入手しているのでしょうか?

Active Directory

Club BOFHはユニークです。場所は1つしかありません。ナイトクラブのオーナーであるロスコは、入場が許可され、会費を支払ったすべてのクラブに行く人のリストが記載された黒い本を持っています。

ビジネスが好調に続けば、ロスコは新しい場所をオープンする予定です。

Oxは毎晩セキュリティを提供する際にこの黒い本を使用します。ロスコもこの本を定期的に更新しています。クラブに入る人のリストは常に追加されたり削除されたりし、クラブにいる間にできることやできないことに関するメモも付けられています。

Oxの一番の友人であるハンツ(彼は毎日手伝っています)は、この黒い本のコピーを持っており、時々彼らのリストとOxのリストを比較します。ハンツの本に含まれていないOxの本のエントリは追加または削除されます。

時々、Oxは本を家に置いてきてしまいます。これは問題ではありません。Oxはまだハンツが記録して共有した内容を確認できます。

アクティブディレクトリ(Club BOFH)ドメインには、アクティブディレクトリサーバー(Roscoe)または「AD」サーバーとアクティブディレクトリサービス(リトルブラックブック)が含まれています。このサービスは、ユーザーやコンピューターアカウント情報などのオブジェクトを格納しています。

Oxとその仲間は、Roscoe(ディレクトリドメインコントローラー)によって雇用されており、すべてのドメインサービスを共有しています。彼らはすべてアクティブディレクトリドメインでのみ操作しています。

理解するための追加の用語

以下に、理解するために重要な情報がいくつかあります:

  • 「アイデンティティ」は、個々のユーザーやコンピューター、またはユーザーやコンピューターのグループのことを指します。Active Directory Users and Computers(ADUC)を見ると、ユーザー名やセキュリティグループ名が表示されます。これらがアイデンティティです。
  • A security principal is used to authenticate an identity and is what handles what permissions an identity has. It’s used to prove that an identity is genuine.
  • A security identifier is just a key that is associated with an identity that determines authority on the domain.
  • 「アカウント」は、ユーザーやコンピューターのいずれかです。ユーザーアカウントは、ユーザーのアイデンティティに関連する情報を格納し、ファイル共有などのネットワークリソースへのアクセスを検証するために使用されます。

    コンピューターアカウントには、ドメインにアカウントを認証する情報が含まれています。すべてのコンピューターアカウントには、一意のセキュリティ識別子(SID)が含まれています。

ドメインコントローラー対アクティブディレクトリだけではありません

Active Directoryでのコンプライアンス要件の強制、30億以上の侵害されたパスワードのブロック、およびダイナミックなエンドユーザーフィードバックを使用してより強力なパスワードを作成するユーザーのサポートについて、Specops Password Policyについて今日お問い合わせください!

先ほどのClub BOFHに関する例のシナリオを覚えておいてください。

コンピューターに座ってログインします。コンピューターは既にドメインのメンバーです。コンピューターには、SIDを使用して認証されたアカウントがあり、このコンピューターがネットワークリソースにアクセスできるようにしています。

これは、コンピューターとドメインコントローラーの間でセキュリティキーの交換を行うことによって行われます。

次に、ユーザー名を入力します。ユーザーアカウントに関連付けられた識別子であるユーザー名を入力します。アカウントにはSIDがあり、セキュリティプリンシパルがローカルログオンの権限を割り当てます。Microsoft Outlookプログラムは、すでに会社のExchangeサーバーを使用して構成されています。

これらの情報はどこに保存されているのでしょうか?それらはActive Directoryに割り当てられています。コンピューターアカウントには、場所や管理者などのデータも保存されている場合があります。

結論

Active Directoryとドメインコントローラーの違いは、プロセスを視覚化できれば難しい話ではありません。ドメインコントローラーは権限を認証し、Active Directoryはアイデンティティとセキュリティアクセスを処理します。

追加の学習リソース

さらに学びたいですか?以下は、WindowsおよびLinuxのいくつかのより深い技術的説明をカバーするいくつかのリソースです。

Source:
https://adamtheautomator.com/domain-controller-vs-active-directory/