皆さんこんにちは胡田です。今日は雨が降っていてちょっと残念な土曜日の午前です。30分ほど時間が空いたので少しブログエントリを更新します。
このサイトではフォーラムも設置していますが、投稿はほぼ皆無です。一方、1対1のチャットを設置してみたところ多数質問を頂いています。やはり皆さんプライベートなもののほうが質問しやすい、ということなのでしょうかね。
頂いた質問のうち複数人から質問されていて他の人にも有用そうなものをいくつかピックアップして、解説記事としても公開しておこうと思います。質問者が特定されないようにそのあたりはちょっと気を使って書いています。
ドメイン参加すると何が嬉しいのか?
こちらの質問は姉妹サイトの「ドメイン参加 | Windowsインフラ管理者への道」エントリからの質問として多くいただきました。
ドメイン参加をすると何が嬉しいのかという事に関してはまた別エントリにして、ここでは、ドメイン参加時の設定の意味や良くあるトラブル等に関しての話をします。
と、書いておきながら10年近く記事を書いておらず申し訳ありません…。
ドメイン参加して何が嬉しいのか、ユーザーの立場と管理者の立場で簡単に解説したいと思います。これはActive Directoryのドメインに参加したときの話ですね。
ユーザーの立場からは
- どのPCも同じIDとパスワードで利用できる
という点が一番便利な点だと個人的に思います。例えばPCが複数台席に設置されていて、好きなところに座って使うような計算機室のような環境ですと、新しいPCを使うときには都度新しいアカウントをそのPCで作ってもらわないと使えない…というのは不便ですよね。このようなときにはPCをドメインに参加させてActive Directory上のユーザーアカウントを共通で利用できるようにしておくと大変便利です。
この時ファイルはどうするの?別のPCに入った時に前回の作業の続きをしたいときには?という疑問が出てくるかと思いますが、そのあたりも処理するために「移動プロファイル」というものもあります。個人の設定、個人のファイル(デスクトップ上のファイルやMyDocumentのファイル)もどのPCであっても使えるようにする仕組みがあります。
便利ですね。
実はこのあたりはもっと深い話が多数ありますが…今回はこの程度にとどめておきましょう。
一方管理者の立場からは
- ドメイン参加したPCを一括で管理できる
という嬉しい点があります。ユーザーアカウントのお話はすでに述べましたが、ユーザーを作成して、グループを作成して、グループのメンバシップを管理して…ということを個別のPCで1台づつ行うなんて悪夢ですよね。Active Directoryを使えばそれは一箇所で行えばドメイン参加した全てのPCで利用可能になります。
他にも、PCにたいして共通のセキュリティポリシーを一括で設定したいような時には「グループポリシー」という仕組みが使えます。
IDを一元管理できる。PCを一元管理できる。それがドメインに参加させることの大きなメリットです。
が、これって実はWindows NTドメイン~Active Directoryのお話です。今でももちろん現役であり多くの組織がここで書いた管理手法をとっているのですが、Microsoft 365時代にはこの常識は変化します。
Active Directoryを使わずに、Azure ADにWindows10を参加させ、Intuneでデバイスを管理し、Azure AD上のユーザーとグループを使わせながらIDもデバイスも守っていくことができます。クラウドネイティブなしくみでの管理ですね。クラウド時代にはこちらが主流になります。
これから勉強するならActive Directoryへのドメイン参加の概念は理解しつつも、是非クラウドサービスを使った管理手法を学んでいただくことを強くおすすめします。