Active Directory(AD)のオブジェクトとは何ですか?
Active Directory(AD)におけるオブジェクトとは、ADネットワーク内に存在するリソースを表すエンティティです。これらのリソースには、ユーザー、コンピューター、プリンター、組織のベンダーとなる連絡先などが含まれます。ADオブジェクトは情報のセットで特徴付けられており、各情報はADオブジェクト属性と呼ばれます。たとえば、ADにおけるユーザーオブジェクトには、名、ミドルネーム、報告先のマネージャーなどの属性が含まれます。ADオブジェクトが保持する属性は、ADスキーマによって定義されます。スキーマはオブジェクトクラスを含むもので、ADオブジェクトのタイプと必須属性を定義します。ADオブジェクトクラスについての詳細はこちらで学ぶことができます。
ADオブジェクトの種類
ADネットワーク内に存在するオブジェクトには2種類あります:
- コンテナオブジェクト
- リーフオブジェクト
コンテナオブジェクト:
コンテナオブジェクトとは、他のADオブジェクトを含むことができるADオブジェクトのことです。組織単位(OU)やグループはコンテナオブジェクトに分類されます。
リーフオブジェクト:
リーフオブジェクトとは、他のオブジェクトを含むことができないADオブジェクトのことです。コンピューター、ユーザー、プリンターなどがリーフオブジェクトの例です。
ADオブジェクトリスト:
よく尋ねられる質問の一つに、「Active Directoryにはいくつのオブジェクトがありますか?」というものがあります。これは曖昧な質問ですが、意味には2つの可能性があります:
Active Directoryにはいくつの種類のオブジェクトがありますか?
ADネットワーク内にはどれくらいのADオブジェクトが存在できますか?
したがって、正しい質問は次のようになります:ADにはいくつの種類のオブジェクトがありますか?
その質問への答えは、Active Directoryには12種類のオブジェクトがあるというものです。以下がADオブジェクトの完全なリスト及びそれらADオブジェクトの特性です。
ADオブジェクトのリスト:
以下はActive Directoryに存在するオブジェクトのリストです
- ユーザーオブジェクト
- 連絡先オブジェクト
- プリンターオブジェクト
- コンピューターオブジェクト
- 共有フォルダ
- グループ
- 組織単位
- ドメイン
- ドメインコントローラ
- サイトオブジェクト
- 掲示板
- 外部セキュリティプリンシパル
ユーザーオブジェクト
ADでのユーザーオブジェクトは、組織のADネットワークの一部である実際のユーザーを表しています。これはリーフオブジェクトであり、それ自体内に他のADオブジェクトを含むことはできません。そのユーザーは、例えばマネージャーやHR担当者、または他のユーザーより一般的に高い権限を持っているIT管理者など、組織の従業員である可能性があります。ユーザーオブジェクトはセキュリティプリンシパルであり、セキュリティ識別子(SID)とは別にグローバルユニーク識別子(GUID)を有していることを意味します。ADのユーザーオブジェクトには、正式名称、名、ミドルネーム、姓、ログイン認証情報、電話番号、報告先のマネージャー、住所、部下に関する情報などを含む属性があります。
連絡先オブジェクト
AD内の連絡先オブジェクトは、組織の一部ではないが、それに関連する実在の連絡先の人物を表します。例えば、組織のサプライヤーやベンダーは組織には属していませんが、それでも連絡先の人物です。これはリーフオブジェクトと呼ばれ、自身の中に他のADオブジェクトを含むことはできません。ADの連絡先オブジェクトはセキュリティプリンシパルではないため、GUIDだけを持っています。AD内の連絡先オブジェクトには、名前、電子メールアドレス、電話番号などの情報を含む属性があります。これらの連絡先オブジェクトは通常、ADネットワークへのアクセスを必要としません。それらは単に、連絡カードとして連絡先の人物の情報を参照するために使用されるADオブジェクトのタイプです。
プリンターオブジェクト
AD内のプリンターオブジェクトは、ADネットワーク内の実際のプリンターを指し示すポインターです。これはリーフオブジェクトであるため、自身の中に他のADオブジェクトを含むことはできません。プリンターオブジェクトはセキュリティプリンシパルではないので、GUIDのみを持っています。AD内のプリンターオブジェクトには、プリンターの名前、ドライバーの名前、カラーモード、ポート番号などの情報を含む属性があります。
コンピューターオブジェクト
AD内のコンピューターオブジェクトは、組織のADネットワークの一部であるコンピューターを表します。そのユーザーは、組織内のどの従業員にも属している場合があります。これもリーフオブジェクトであり、自身の中に他のADオブジェクトを含むことはできません。AD内のコンピューターオブジェクトもセキュリティプリンシパルです。これは、ユーザーオブジェクトと同様です。したがって、コンピューターもGUIDに加えてSIDを持っています。AD内のコンピューターオブジェクトには、コンピューター名、コンピューター名(Windows 2000以前)、そのユニークID、DNS名、役割、説明、位置情報、コンピューターの管理者、使用しているオペレーティングシステムのバージョンなどの情報を含む属性があります。
共有フォルダ
AD内の共有フォルダオブジェクトは、そのフォルダが保存されているコンピュータの共有フォルダを指すポインタです。共有フォルダは、ADネットワークのメンバー間で共有されるフォルダであり、その内容を閲覧できるのは、ADネットワークのメンバーだけです。他のメンバーはアクセスが拒否されます。共有フォルダはリーフオブジェクトであり、自身の中に他のADオブジェクトを含むことはできません。AD内の共有フォルダオブジェクトはセキュリティプリンシパルではありませんので、GUIDのみを有しています。AD内の共有フォルダオブジェクトには、フォルダの名前、場所、アクセス権限などの情報を含む属性があります。
グループ
ADのグループオブジェクトは他のグループ、ユーザー、コンピューターなど、他のADオブジェクトを含むことのできるオブジェクトです。したがって、グループオブジェクトはコンテナオブジェクトであるとも言えます。AD内のグループオブジェクトはユーザーオブジェクトやコンピューターオブジェクトと同様に、セキュリティ保持者(principal)でもあります。そのため、グループオブジェクトにはGUIDに加えてSIDもあります。グループオブジェクトはグループ内のメンバーADオブジェクトに対する権限を共有するために使用されます。ADのグループオブジェクトには、グループ名、グループ内のメンバーオブジェクト、その他の情報を含む属性があります。
組織単位
AD内の組織単位(OU)は、他のグループ、ユーザー、コンピューターなどのADオブジェクトを含むことができるオブジェクトです。したがって、グループのように、OUもコンテナオブジェクトです。AD内のOUは、ユーザー、コンピューター、グループオブジェクトと同様に、セキュリティプリンシパルでもあります。従って、OUにはGUIDに加えてSIDも有しています。OUはグループ内のメンバーADオブジェクトにロールを委任するために使用されます。AD内のOUには、その名前、OU内のメンバーオブジェクト、その他の情報を含む属性があります。
ドメイン
AD(アクティブ・ディレクトリ)におけるドメインは、ADネットワークの構造的なコンポーネントです。ドメインは、ユーザー、プリンター、コンピュータ、連絡先などのADオブジェクトを含み、これらはOU(組織単位)やグループに整理されることがあります。各ドメインには独自のデータベースがあり、ドメイン内のすべてのADオブジェクトに適用される一連の定義済みポリシーも持っています。
ドメインコントローラー
AD内のドメインコントローラー(DC)オブジェクトは、配置されたドメインのドメインコントローラーとして機能するサーバーに対応します。DCはポリシーの維持、ADユーザーの認証を行い、また、ドメイン内のすべてのDCが担うべき役割も管理します。
サイトオブジェクト
ADのサイトオブジェクトは、レプリケーションプロセスを管理し容易にするためにActive Directoryネットワークで実装されています。
ビルトイン
ビルトインオブジェクト、例えばグループやOUなどのコンテナオブジェクトが含まれます。ビルトインには、ADネットワークの作成中に事前に定義されているローカルグループが含まれます。
外部セキュリティプリンシパル
外部セキュリティプリンシパルオブジェクトはコンテナオブジェクトです。これらのオブジェクトは、特定のADネットワーク内でドメインが他のドメインと持っている信頼関係を示します。
