【どめいんこんとろーらー】

ドメインコントローラー とは?

最終更新:
💡 社内Windowsネットワークの「司令塔」、認証とポリシー管理を一手に担う
📌 このページのポイント
ドメインコントローラー(Active Directory) ドメインコントローラー ユーザー認証 ポリシー管理・アクセス制御 ユーザーA 営業部 ユーザーB 開発部 社内PC ポリシー適用 ファイルサーバー アクセス制御 プリンタ 権限管理 ログイン認証 一元管理 1台のDCでユーザー・PC・リソースをまとめて管理 グループポリシーで全社PCの設定を統一できる
ドメインコントローラーによる一元管理のイメージ
ひよこ ひよこ
ドメインコントローラーって何?
ペンギン先生 ペンギン先生
Windows Active Directoryを動かす中心サーバ。社員がPCにログインするとき「ID・パスワードが正しいか」を確認するのはドメインコントローラー(DC)。グループポリシーという「このPCはUSBを使えないように」などのルールを全社PCに配布するのも仕事。
ひよこ ひよこ
DCが止まったらどうなるの?
ペンギン先生 ペンギン先生
社員がログインできなくなる(認証できないため)、グループポリシーが適用されなくなる、などの問題が起きる。だから本番環境では最低2台のDCを置いて冗長化する。2台あれば1台が止まっても別のDCで認証できる。
ひよこ ひよこ
ADへの参加って何?
ペンギン先生 ペンギン先生
ドメイン参加」は会社のPCをActive Directoryの管理下に入れること。参加済みのPCは起動時にDCと通信してポリシーを取得し、社員が会社のアカウントでログインできるようになる。個人のMicrosoftアカウントとは別の概念で、企業ネットワーク専用。
ひよこ ひよこ
AzureADとの関係はどうなってるの?
ペンギン先生 ペンギン先生
オンプレミスのドメインコントローラーとAzure AD(現Entra ID)を連携させるのが「ハイブリッドAD」。Azure AD Connectというツールでオンプレのユーザー情報をクラウド同期する。これでMicrosoft 365やSaaSにもシングルサインオンできるようになるんだ。
ひよこ ひよこ
ドメインコントローラーのセキュリティで特に注意することってあるの?
ペンギン先生 ペンギン先生
DCは攻撃者にとって最大の標的だよ。DCの管理者権限を奪われたら全社のアカウントが乗っ取られる。Golden Ticket攻撃という手法では、DCのkrbtgtアカウントのハッシュを盗むだけで任意のユーザーに成りすませてしまう。だからDCは物理的にも論理的にも最重要資産として保護するのが鉄則なんだ。
ペンギン
まとめ:ざっくりこれだけ覚えればOK!
ドメインコントローラーって出てきたら「Active Directoryを動かすサーバ、社内ユーザー認証とグループポリシー管理の中心」と思えばOK!
📖 おまけ:英語の意味
「Domain Controller」 = ドメイン制御サーバ
💬 Windows NT 3.1(1993年)から存在する概念。当初はプライマリDC(PDC)とバックアップDC(BDC)の主従関係だったが、Active Directory(Windows 2000〜)でマルチマスタレプリケーションに変わった
← 用語集にもどる