Active Directory(AD)は、Microsoftが2000年2月17日のWindows 2000 Server出荷とともに導入した統合ディレクトリサービスです。それまでのNT4ドメインのフラット構造を捨て、LDAPv3、Kerberos v5、DNSを基盤に据えた階層型ドメイン構造を持ち込んだことで、企業内のユーザー・グループ・PC・サーバー・プリンタ・ポリシーを一元管理する標準基盤として定着しました。世界のFortune 1000企業のほぼ全てが導入しており、クラウド全盛の現在も社内認証の中核として、AzureのEntra IDと連携しながら現役で動き続けています。
この記事の目次
- ドメイン・OU・GPOの三層構造
- NT4ドメインからActive Directoryへ
- 企業ITで担う中心的役割
- Entra ID・FreeIPAとの比較
- まとめ
ドメイン・OU・GPOの三層構造
Active Directoryの最上位概念は「フォレスト」で、複数のドメインツリーをまとめる信頼境界です。その下に「ドメイン」(example.com、tokyo.example.comなど)が階層的に並び、各ドメインに「組織単位(OU)」を作ってユーザー・グループ・コンピュータを論理的にグルーピングします。ドメインコントローラ(DC)と呼ばれるサーバーがAD DBの実体を保持し、複数台でマルチマスター複製を行うため、単一障害点がない設計になっています。
管理者が日常的に使う重要機能が「グループポリシー(GPO:Group Policy Object)」です。OUやドメインに対して「パスワード長は12文字以上」「画面ロック5分」「特定ソフトをインストール」といったポリシーをXML形式で適用でき、傘下のクライアントPCが起動時とログオン時に自動で取り込みます。GPOにはローカルポリシー、サイトポリシー、ドメインポリシー、OUポリシーという優先順位があり、数千台規模の端末設定を一括制御できる強力さこそがADの真骨頂です。Windows Update、BitLocker、AppLockerなど主要なセキュリティ機能のすべてがGPOで制御可能になっています。
NT4ドメインからActive Directoryへ
Microsoftのドメイン管理は1993年のWindows NT 3.1から始まり、1996年のNT 4.0でPDC/BDC方式が完成しました。ただしNT4はフラットなドメイン構造で、複数ドメイン間の信頼関係を一つひとつ手動で設定する必要があり、大企業のスケールには耐えませんでした。MicrosoftはNovell Directory Services(NDS)などUnix系ディレクトリへの対抗からWindows 2000 Serverで全面的な作り直しを敢行し、2000年2月17日の正式リリースでActive Directoryを世に出しました。
以降、Windows Server 2003でフォレスト機能レベル、2008でRead-Only DC、2012でDynamic Access Control、2016でPrivileged Access Managementなど次々と機能拡張を続け、2022年リリースのWindows Server 2022まで20年以上にわたり進化を続けています。クラウド時代に対応するAzure Active Directory(2014年、2023年にEntra IDへ改名)は別アーキテクチャの新サービスですが、オンプレADとEntra Connectで双方向同期する形で連携できるよう設計されています。オンプレADを完全に廃止する企業は今も少数派で、ハイブリッド構成が現在の主流です。
企業ITで担う中心的役割
企業IT部門にとってADはあらゆる業務システムの認証ハブです。社員がPCにログオンするたびKerberosでTGTが発行され、ファイルサーバー、プリンタ、Exchange Server、SharePoint、Microsoft Teamsなどへシングルサインオンでアクセスできます。退職者の処理もADで利用者アカウントを無効化するだけで全システムへ波及し、ガバナンスとセキュリティを担保します。VPNやWi-FiのRADIUS認証もNPS(Network Policy Server)経由でADを参照し、本人確認の根拠とします。
クラウドアプリとの連携では、Azure AD Connect(現Entra Connect)がオンプレADの内容を1時間ごとにEntra IDへ同期し、Microsoft 365、Salesforce、Slack、Boxなど数千のSaaSへのSSOを実現します。「社内ファイルサーバーへのアクセスもMicrosoft 365へのログインも、社員IDとパスワードが1つで済む」体験の裏側には、ほぼ間違いなくActive Directoryが存在しています。Linux/macOSクライアントもSSSDやJamf Connectで参加でき、マルチプラットフォームの統合管理プラットフォームとしての価値も大きいです。
Entra ID・FreeIPAとの比較
クラウド時代の対抗馬筆頭はAzure Active Directory改めEntra IDです。OAuth 2.0、OpenID Connect、SAMLを話すクラウドネイティブIdPで、Conditional Access(条件付きアクセス)やIntuneによるMDM統合、Multi-Factor Authentication、Identity Protectionなどクラウド前提の機能が強みです。Microsoft自身もWindows 11ではAzure AD Join(Entra Join)を推奨し、オンプレADなしのクラウド完結型運用を提案しています。
Linux環境ではRed HatのFreeIPA(Identity Management)が、KerberosとLDAP(389 Directory Server)とDogtag PKIを統合したオープンソースのADクローンとして人気です。SaaSアプリ向けのIdPとしてはOkta、Auth0、Google Workspace、JumpCloudなどが「オンプレADを置き換える」セールスを展開していますが、Windows端末の細やかなGPO制御という観点ではADを完全に代替できる選択肢は今も存在しません。「オンプレAD+Entra ID」のハイブリッドが主流で、今後10年は劇的な変化が起きにくいと予想されています。
まとめ
Active Directoryは2000年の登場以来、Windows企業ITの認証・認可・端末管理の中核を担い続けてきた基盤です。Kerberos・LDAP・GPOを統合した完成度はクラウド時代でも比類なく、Entra IDとのハイブリッド構成のもとで、企業内ID基盤の主役の座を当面譲りそうにありません。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント