Windows Active Directory ドメインとワークグループの違い
本文書では、Windowsにおけるユーザー管理の基本である「ワークグループ」と「ドメイン」の違いを説明します。
Windowsにおけるユーザー管理のしくみには、「ワーク グループ」と「ドメイン」の2種類があります。ワークグループとドメインには、以下のような違いがあります。
●ワークグループ
Windows Server 2008のインストール後は、ワークグループとして動作するよう構成されています。
デフォルトのワークグループ名は「WORKGROUP」です。ワークグループには以下の特徴があります。
- 各コンピューターはSAM(Security Account Manager)ファイルというユーザーアカウントデータベースを持ちます。
- SAMファイルは各コンピューターのローカルに存在します。
- ユーザーがコンピューターにログオンする場合、コンピューターのローカルSAMファイルに登録されているユーザー名とパスワードを入力する必要があります。
ログオン後、ネットワーク経由で他のコンピューターにアクセスするときは、アクセス先のSAMに登録されているユーザー名とパスワードの組み合わせで認証される必要があります。
- これらのことから、ワークグループ環境では、各ユーザーがログオン、またはネットワーク経由でアクセスする可能性のあるコンピューターのSAMにユーザーを事前に登録しておく必要があります。
- ローカルSAMが、他のコンピューターのSAMと同期することはありません。
このため、図のyamaguchiというユーザーがパスワードを変更する場合は、すべてのコンピューターのSAMに登録されているパスワードを手動で変更する必要があります。 - ワークグループ環境には、Windows Serverが必要ありません。
ネットワークでは、必然的にワークグループになります。
One Point ワークグループを使用するケース
ワークグループを選択する例は次の通りです。
- 小規模な環境でユーザーやコンピューターの集中管理が必要ではない場合
- Windows Vista/7/8などのクライアントOSだけしか存在しない場合
(Active Directoryドメインの構築には少なくとも1台はWindows Serverが必要です) - インターネットに公開するサーバーを構築する場合
● Active Directory ドメイン
ドメイン(Domain)には「範囲」という意味があります。Windows環境においては、Active Directoryに登録され、管理されている範囲のことを「Active Directory ドメイン(または「Windows ドメイン」や「ドメイン」)」と呼びます。
- ドメインのユーザーやグループ、コンピューターなどのアカウント情報は、ドメインコントローラーによって集中管理されます。
- ドメインに参加するコンピューターであれば、どのコンピューターでも Active Directory に登録されたユーザーでログオンできます。ログオン可能なコンピューターを制限することもできます。
- Windows Server に Active Directory ドメインサービスをインストールすると、ドメインコントローラーになります。Windows Vista/7/8などのクライアントOSは、ドメインコントローラーになることはできません。
- グループポリシーという機能を使用すると、ドメインに参加するすべてのWindowsコンピューターやユーザーに対するさまざまな設定を、ドメインコントローラーで集中管理できます。
これらの特徴から、一般的には企業におけるユーザー管理に Active Directory が広く使用されています。
One Point Active Directory ドメインとSAM
ドメインに参加するWindowsコンピューターは、Active Directory に登録されているユーザーだけでなく、ローカルSAMファイルに登録されているユーザーを利用することもできます。
ただし、ユーザー管理が分散するため推奨されていません。
解説トレーナー
Cisco / ネットワーク 担当 山口 希美
