△　図をクリックすると拡大されます 図2●ディレクトリ・サービスの応用

管理者，開発者，利用者の3者から見たディレクトリ・サービスのメリット
　そうなるとディレクトリ・サービスの定義は，どのような利点があるかという観点からまとめたほうがよさそうだ。まず，ディレクトリ・サービスを使うと，ネットワーク上のあらゆるオブジェクト（もの）を統一管理できるという利点がある。これが「ディレクトリ中心システム」である。ディレクトリ中心システムは，管理者にとっても開発者にとっても，また，コンピュータの利用者にとってもメリットがある（図2）。以下，個別に説明しよう。

●管理者
　システム管理者は，自分が管理すべき情報をすべてディレクトリ・サービス上に置ける。例えば，ユーザーのアカウント名（ユーザー名），氏名，所属部署などはもちろん，共有フォルダやプリンタ，あるいはネットワーク機器までも管理できる。管理者はこれら管理対象をディレクトリ・サービスに追加したり削除したり，検索機能で対象を絞り込んでから，設定変更や動作監視ができる。

●開発者
　企業内の業務アプリケーションの開発者は，情報管理をディレクトリ・サービスに任せられる。業務アプリケーションを新規に作成する場合でも，ユーザー管理の部分を改めて作成する必要はない。その結果，ユーザー管理部分が簡素化され，プログラムのサイズを小さくできる。これは開発期間の短縮とバグの減少になり，保守性の向上につながる。

●利用者
　利用者にとってもディレクトリ・サービスの利点は大きい。ディレクトリ・サービスでユーザー情報を一元管理することで，あらゆる環境でのシングル・ログオンを実現できる。つまり，ドメインへログオンするだけで，あらゆるネットワーク・リソースにアクセスできる。逆説的なことであるが，それだけ，ディレクトリ・サービスがあることを意識しなくなるというわけだ。利用者が積極的にネットワーク・リソースを検索すれば，両面印刷できるプリンタを探したり，カラー・プリンタを探したりといったこともできる。

　ただし，こうしたメリットは，すべてのプログラムが同じディレクトリ・サービスを参照している場合にのみ享受できる。ディレクトリ・サービスが複数存在したのではかえって面倒になるだけだ。

△　図をクリックすると拡大されます 図3●Active Directoryユーザーとコンピュータ

Active Directoryが管理するのは主に3つ
　ディレクトリ・サービスの大まかな役割を理解していただけただろうか。次は，Active Directoryに則して，具体的に何が管理できるかを紹介しよう。それは大きく分けて，（1）ユーザー，グループ，コンピュータ，（2）サイト，（3）ドメインの信頼関係――の3つである。もちろん，他にも多くの情報を管理しているし，内部ではもっと多くのプログラムが使っている。システム管理者はActive Directoryの管理項目を拡張することも可能である。しかし，表面的に見える部分はこの3つである。

　これら3種類の情報は，標準で利用可能な以下の管理ツールに対応している。
（1）Active Directoryユーザーとコンピュータ（図3）
　「ユーザー」「グループ」「コンピュータ」，そしてドメイン内で階層管理を実現するための「組織単位（OU）」を管理する。Windows NTでいうと，サーバー・マネージャの一部の機能とドメイン・ユーザー・マネージャの機能を合わせたツールである。

△　図をクリックすると拡大されます 図4●Active Directoryサイトとサービス

（2）Active Directoryサイトとサービス（図4）
　「サイト」と呼ばれる物理的なネットワークを管理する。サイトを使って高速に通信できるかどうかを判定し，最適なネットワークを構築する。Windows NTには対応するツールも概念もない。

（3）Active Directoryドメインと信頼関係（図5）
　複数の「ドメイン」を管理するときに利用する。Windows NTでいうと，ドメイン・ユーザー・マネージャから，信頼関係に関連した機能を抜き出したツールである。

　Active Directoryで今すぐに使えるのは，この3種類である。特に重要なのが「Active Directoryユーザーとコンピュータ」である。サイトは新しい拠点ができない限り大きく変化することはないし，信頼関係も新しいドメインができたときだけ再構成が必要になる。しかし，ユーザー・アカウントやコンピュータは日々変化する。管理者にとって最も重要で，最も使用頻度の高いツールである。

△　図をクリックすると拡大されます 図5●Active Directoryドメインと信頼関係

　Active Directoryへの移行を短期間で完了したところの多くは，単にWindows NTドメインの置き換えとしてしか使っていない。いきなり高度なことを期待するのでなく，最初は，最小限の機能を使って移行し，後から高度な機能を利用するのが成功の秘けつである。とりあえずは簡単なところからはじめよう。

Active Directoryは標準プロトコルを使用する
　次回から，本格的にActive Directoryドメインを構築するが，その前にActive Directoryが使うプロトコルを挙げておこう。Active Directoryは，複数のサービスの集合体なので，個別の構成要素は，次のような業界標準プロトコルを使う。
（1）コンピュータ名とサービスの照会: DNS
（2）認証: Kerberos
（3）照会: LDAP
（4）更新: LDAP

　これらは，業界標準なので，Windows以外のOSからでも利用可能だ。実際，多くのインターネット・メール・クライアントは，LDAPを使ったメール・アドレスの検索機能を備えている。例えば，ユーザーがログオンする場合，DNSのSRVレコードを使って，認証を行うコンピュータ（ドメイン・コントローラ）を検索する。次に，Kerberosプロトコルを使って認証を行う。他のユーザーやコンピュータの情報が必要な場合はLDAPを使う。また，Active Directoryの管理ツールは，LDAPを使ってディレクトリ・サービスの登録情報を変更する（図6）。

△　図をクリックすると拡大されます 図6●Active Directoryで使うプロトコル