アクティブディレクトリやDCが良く分かりません

タイトルの通りなのですが
ActiveDirectoryというのは、ユーザーアカウントを管理するもの、という認識でいいのでしょうか？
以前ちょっとだけ触れたことがあるのですがいまいち良く分かっていませんでした。
ドメインというグループのようなものを作り、そこに所属するグループ？のようなものを作り（OU?)
さらにそこに所属するユーザーアカウントを作る・・・って認識で良いでしょうか？
例えば

abc.com
　　├soumubu
　　│　├tanaka
　　│　└yamada
　　└jinjibu
　　　　　├satou
　　　　　└suzuki

こんな風に、abc.comというドメインの中に、総務部と人事部のグループがあり
そこに所属している、田中さんや山田さんのアカウントがある・・・というようなイメージなのでしょうか？

また、ここでいう「ドメイン」とは、よくURLなどに表示されているwww.yahoo.co.jpといったドメインとは
全く別物なのでしょうか？
メールアドレスなどのドメインは業者から借りて使用していると聞きましたが
ActiveDirectoryで作成するドメインはURLやメアドで使用するものではなく
あくまでアカウントを管理するためのもの・・・という認識でよいのでしょうか。

ドメインコントローラーというもの、いまいちはっきりとしないのですが

＞Active Directoryでは、こうした情報を扱い、ユーザーがログオンする際の認証を受け付けるコンピ＞ュータのことを、ドメイン・コントローラと呼んでいる。

という説明をWebで見かけました。
ActiveDirectoryってそもそも何なのか、ソフトウェア？それともサーバが持つ機能の一つ？
どうもアカウント管理だけではなく、フォルダへのアクセス権を組織単位で設定できたりもするようですが
それ以外にもいろいろと機能があって、その一部がアカウントを管理する機能＝その機能をもった
コンピュータをドメコンという、ということなのでしょうか？
というか、ActiveDirectorｙ機能を有したコンピピューター＝ドメコンではないのですか？
ドメイン管理の機能だけを別のコンピュータに持たせることができるから、このような説明なのでしょうか？


うまく疑問がまとめられず分かりにくくて申し訳ありません。
なにとぞご教授ください。

No.1 回答者： EF_510 回答日時： 2012/03/27 02:04

ActiveDirectoryは「ディレクトリサービス」と呼ばれるソフトウェアの一種です。

Windowsサーバの「役割」として実装されていて、Windowsで本格的なネットワークを組む際にはほぼ必須と言って良いものです。
ただ、ここで解説できるほど小さいものではないのでそれをまとめた書籍などをご覧になることを勧めます。

・「ドメイン」に関して
　ActiveDirectoryの場合は両方あります。
　WindowsPCの群れで「ドメイン」を作りますが、その際にyahoo.co.jpのようなドメインを必要とします。
　PCの群れのドメインはActiveDirectory以前から使用していた名称をそのまま使っています。
　PCの群れ、というのはあまり正確な言い方ではないのですが…

・ドメインコントローラーに関して
　群れの方を統括するためにドメインコントローラーの役割を担うサーバーが最低１台必要です。ActiveDirectoryの役割が有効でも「ドメインコントローラーではない」場合があります。１台のサーバのみで構成するとそのサーバが停まってしまったらネットワークに問題が発生するため、通常は２台以上のサーバにActiveDirectoryの役割を設定します。（最初の１台目で設定を行えば残りのサーバはそれを複製して機能します）

＞Active Directoryでは、こうした情報を扱い、ユーザーがログオンする際の認証を受け付ける
＞コンピュータのことを、ドメイン・コントローラと呼んでいる。
この説明はちょっと足りない感じです。

この回答へのお礼

回答ありがとうございます
なるほど、ActiveDirectoryの機能を有していても
ドメコンであるとは限らないのですね。
複数台用意するのは冗長構成というやつですね。

お礼日時：2012/03/28 21:15

No.2 ベストアンサー 回答者： chie65535 回答日時： 2012/03/27 15:49

＞ドメインというグループのようなものを作り、そこに所属するグループ？のようなものを作り（OU?)

＞さらにそこに所属するユーザーアカウントを作る・・・って認識で良いでしょうか？

惜しい。ちょっと違う。

ドメインの中に、グループはグループ、ユーザーアカウントはユーザーアカウントで、個々に作成する。

で、グループの中に、所属メンバーのリストを作成する。

なので「所属メンバーが誰も居ないグループ」や「複数のグループに同時に所属するユーザー」などが出来る。

例えば「代表取締役社長」のアカウント「shacho_president」は、すべてのグループに所属させる事によって、特定のグループしかアクセス出来ないファイルなども、すべて閲覧可能にしたりする。

個々のグループ毎に社長アカウントが作成されている訳じゃなく、社長は一人だけ。「社長アカウント」は１個しか無い。

で、ドメインは「グループ企業体の個々の会社名」みたいなモノ。

グループ企業だと、個々の会社に社長が居るし、個々の会社に同じ名前の部署があったりする。

ユーザー名やグループ名が同じ名前であっても、ドメインが違えば、別物として扱う。

「社長！」と呼びかけた時に、Ａ社社長とＢ社社長のどっちなのか区別できないと困るからね。

で、グループ企業体の全体情報を管理しているのが「ドメインコントローラ」なのですよ。

そして、ドメインコントローラは、普通、メインとサブの２台置く。

ActiveDirectorｙ機能の中には、ログイン管理、ドメイン管理、グループ管理、アカウント管理の他、メインとサブの２台の情報の同期や、メインが死んだ時にサブをメインに昇格させる機能とか、色々な物を含む。

この回答への補足

回答ありがとうございます。
なるほど！グループ内にアカウントを作るのではなく
作ったグループにアカウントを所属させる、って事なんですね。
ということは、一人のユーザーが複数のグループに属することもできる、と。
ActiveDirectoryは、ドメコンを管理するもの、って事でいいのかな・・・。
ドメコンが基本的に冗長構成で2台必要だとしたら、それ以外にActiveDirectory用のサーバも必要で、計3台はサーバーが必要ということでよいでしょうか？
もちろん大企業を前提としてですけど＾＾；
ActiveDirectoryのサーバがそのままドメコンとして機能させる事も可能ですよね？

補足日時：2012/03/28 21:26

No.3 回答者： EF_510 回答日時： 2012/03/28 23:57

>ActiveDirectoryは、ドメコンを管理するもの、って事でいいのかな・・・。

ドメインコントローラー「も」管理します。

>ドメコンが基本的に冗長構成で2台必要だとしたら、それ以外にActiveDirectory用のサーバも必要で、計3台はサーバーが必要ということでよいでしょうか？
>もちろん大企業を前提としてですけど＾＾；
>ActiveDirectoryのサーバがそのままドメコンとして機能させる事も可能ですよね？
ADの役割を担うサーバが「ドメインコントローラー」になりますので２台で十分です。
他の機能をインストールしても構いませんが、SQL Serverの用にあまりおすすめできないものもあります。
ファイルサーバ程度でしたら全然問題ありません。

>なるほど、ActiveDirectoryの機能を有していても
>ドメコンであるとは限らないのですね。
>複数台用意するのは冗長構成というやつですね。
すべてのクライアントが同一の場所（LAN)内にいるのであれば良いのですが、離れた場所にあるときはパフォーマンスを確保するために２カ所以上の場所に置く場合があります。
ネットワーク的につながっているのであれば本部にメインのサーバ、拠点Ａにサブサーバといった形で配置することができます。(通常は本部２，拠点に１台などの配置をしますが…)

また、組織単位(ＯＵ）と（セキュリティ）グループは関係ないので違う組織単位のメンバー（人やコンピュータなど）が同じグループに所属することが可能です。複数のＯＵに所属することはできません。

この回答へのお礼

回答ありがとうございます。

ううむ、複数のOUには所属できないんですね・・・。
しっかり理解するには相当な勉強が必要そうですね＾＾；
ありがとうございました。

お礼日時：2012/04/01 15:43