ドメイン

Active Directoryによって許可されたユーザーがアクセスできる範囲（＝コンピュータグループ単位）のことです。

ちなみにADDSで管理されていない環境をWorkGroup(ワークグループ）***と言います。

※例　パソコンやサーバーなどの「モノ」
　　　企業・組織に関わる「ヒト」
　　　プロジェクトにかかる費用などの「コスト」
　　　パソコンや周辺機器の「性能」
　　　ファイルやフォルダなどの「データ」

ドメインコントローラー

ドメインコントローラーとはADのデータベースを保持するサーバのことです。

ドメインに関するありとあらゆる情報が入っているサーバーです。

※例　誰がどの部署にいるのか
　　　誰がどのパソコンを使用して良いのか
　　　どの部署や人がどのデータにアクセスして良いのか

シングルサインオン

一度ログインするだけで信頼関係を結んだドメインのリソースにアクセスできるようになります。

この仕組みを「シングルサインオン」と呼びます。

この特性によって、ユーザはシステムごとにユーザIDとパスワードの組を入力する必要がなくなります。

フェデレーション

外部のクラウドサービスやウェブサービスにおいてシングルサインオンができる関係性は「フェデレーション」と呼びます。

ドメインに参加するだけで別にIDとパスワードを入力することなしに「Office 365」や「Microsoft Azure」に接続できるようになっています。

各ユーザーのアクセス権限管理と認証も行えます。

ユーザーごとやグループごとに、閲覧可、データ編集可といったアクセス権限を付与し、そのリストに基づいて認証を行います。

Active Directoryの管理機能は、ユーザーのみではなく、ネットワーク上（同一ドメイン上）に接続されているパソコンやプリンター、USBメモリといった機器類や、Windows OSやセキュリティソフトアプリケーションなどのソフトウェア、ファイルやフォルダも対象としており、これらの管理も行えます。

このため、ソフトウェアのアップデートを管理者側で一括で行ったり、USBメモリへの書き込みを不可能にしたり、プリンターのドライバーを一斉に配布したり、プリンターのIPアドレスの変更にActive Directory側の設定のみで対応したりということが可能です。

PCのWindows Updateやセキュリティソフトの更新を、Active Directoryに接続されているPCに対して一括で行うことができます。

また、開発に必要なツールがあれば、Active Directoryサーバーから一斉配布（インストール）を行うことも可能です。

つまり、すべての業務PCを常に同じ環境に整えておくことができ、一部のPCのソフトだけがバージョン不一致を起こすような環境エラーをなくすことができるということです。

Active Directory上での操作にはログが残り、これを閲覧したり管理したりすることができます。

イベントログとして、ログインや特権の割り当て、チケット要求といった認証に関するログが記録されており、これらを確認することで、アカウントの悪用やサイバー攻撃を受けた場合に手がかりとなる情報を得られる可能性があります。

ただし、Active Directoryでは、個々のパソコンの操作ログは取得することができません。

ADにユーザーを新規追加する際に、Microsoft 365へもアカウントも同時作成し、権限を割り当てられます。

また、GUI上からMicrosoft 365の既存ユーザーの権限を設定し直すこともできます。

Active Directoryを利用する最大のメリットと言えるのが、ユーザーの一元管理です。

・PCやユーザーの管理負担を軽減

各PCの「WindowsUpdate」が可能です。

Windows Server には「WSUS(Windows Server UpdateServices)」という機能がありますが、ActiveDirectoryで全PCに対してWSUSへ接続し、自動的にWindowsUpdateを実施させることでPC及びユーザーの管理負担を軽減できます。

・PC設定やユーザーの権限をカスタマイズできる

特定の従業員のみアクセスを許可するシステムが実現可能です。

ユーザー権限については、一般ユーザーに対しては、各PCで管理者ユーザー権限でのインストールを必要となるソフトウェアがインストールできないよう、管理者権限を付与しないようにし、システム部門の管理者に対しては、管理者権限を付与する形で管理することが可能です。

・複数のPCに対して1つのアカウントでログインできる

ActiveDirectoryで管理しているPC(ドメイン参加しているPC)であり、ActiveDirectoryで作成したアカウントという条件を満たしていれば、どのPCに対しても1つのアカウントでログインすることが可能です。

外部からの持ち込みPCに、一時的に権限を付与する際にも、細かなアクセス制限を施せるので、セキュリティ面の強化には最適です。

新しいプロジェクトメンバーが入った場合でも、開発環境などの業務に必要なPC環境がすぐに整います。

PCを立ち上げ、セットアップし、開発ツールなどをひとつずつインストールする作業が不要になり、Active Directoryサーバーへユーザーを登録することで、その他のメンバーと同じ環境をすぐに構築できます。

・ユーザー側のメリット

シングルサインオンが利用できるようになるため、利用している複数のシステムやアプリケーションで毎回、異なるID/パスワードを入力せずに済むので、パスワード忘れによるログインができなくなる問題がなくなります。

また、アップロードを手動でするわずらわしさがなくなります。

・管理者側のメリット

一元管理によって、管理作業にかかる負荷の軽減で業務の効率化ができます。

グループ単位で権限設定できるので手間が少なくて済みます。

・企業側のメリット

ユーザー・管理者とも業務を効率化できることから余計は人件費が発生せず、コストを削減できます。

ユーザーに依存せず管理者によるアップデートが可能なため、既知の脆弱性を放置したことに付け込まれるNデイ攻撃も防ぐことができます。

こうした点から、セキュリティ対策の面でもメリットがあります。