Contents初めに
Active directoryについて、これまで曖昧だった知識を整理する意味合いで備忘録的にドメイン、ドメインツリー、フォレストの違いについて、解説していこうと思います。
同じようなお悩みの方で本記事を通して、少しでもActive directoryに関する理解が深まれば幸いです。
それぞれの用語を押さえよう
ドメイン(Domain)
各単語の違いを解説する前に、まずは1つ1つの用語から確認していきましょう。
ドメインは、Active directoryサービスにおける基本的な管理単位を指し示します。WindowsにおけるPCの区分として、以下通り分けることができます。
- WORKGROUP
- ドメイン
WORKGROUPは、皆さんがお使いのWindows PCのように管理者が利用者本人であり、Windowsに関するセキュリティの設定やそのほかの設定も利用者本人が自由に行える独立した状態のイメージになります。

実際のPC(Windows 11 pro)を確認してみるとWORKGROUPに所属していることが確認できます。
ちなみにドメインに参加させたい場合は、詳しい手順は省きますが、所属するグループ欄内のドメインにチェックボタンを押下し、ドメイン名を入力すると参加させることが可能です。

一方、ドメイン環境に所属しているWindows PCは、必ずしも「管理者 = 利用者」ではなく、特定の管理者(例えば、情報システム部門)がドメイン環境に所属しているPCを一元管理するイメージになります。
一元管理とは、まとめて管理することを言います。
他にWORKGROUPのPCと判別する方法として、ログインする際に以下画像の通り、ユーザー名の前に「ドメイン名 + \」が入る点も挙げられます。
もし、皆さんがWindows PCにログインする際はご自宅と会社でログイン画面に注目してみるのも面白いかもしれません。

ここまでWORKGROUPとドメインの違いについて説明してきましたので、もう少しドメインについて補足説明してきたいと思います。
Active directoryでは具体的に何を管理するのかもう少し詳しく説明していきたいと思います。
Active directoryの世界では、Windowsのクライアント端末、クライアント端末にログインするユーザー情報、プリンターなどのネットワークに属する情報を管理します。
WORKGROUPのPCはPCにログインするユーザーなどを利用者本人が作成することができますが、ドメインに所属しているPCにログインするユーザーは特定の権限を持った人しか作れません。
このようなイメージで特定のPCはそもそもログインできないようにするなどといった管理も行えたりします。
ちなみにユーザーやコンピューターなどActive directoryにおいて管理対象の情報は「オブジェクト」と言います。
例えば、Active directory上では以下のようなオブジェクトがあります。
- ログインユーザーに関する情報:ユーザーオブジェクト
- コンピューターに関する情報:コンピューターオブジェクト
以上のようなオブジェクトをActive directory上の親となるサーバーであるドメインコントローラーにて一元的に管理します。
これまで説明した情報を学校を例に補足説明していきたいと思います。
ドメインをクラスルームとして考えてみてください。
クラス(ドメイン)の中には、教科書、ロッカー、机など様々のモノ(オブジェクト)であふれかえっています。加えて生徒もそのクラスルーム内には数十名といます。

この中で、クラス全体を指導するのが先生(ドメインコントローラー)になります。
先生は、生徒に対して指示もできますし、モノの管理の運用についても決めることができます。
Active directory上でもこの先生と同じようにグループポリシーという機能を用いれば、クライアント端末の設定も一元的に変えることもできますし、オブジェクトの管理もOUという「箱」のようなものを作成すれば、その中にオブジェクトを入れて管理しやすいように運用することもできます。
ドメインツリー(Domain Tree)

Active directoryでは、管理目的によって、大元となるドメインを細分化してその異なるドメインを作成して運用することもできます。このような、親ドメインの配下に子ドメインが連なっているまとまりのことをドメインツリーと言います。
ポイントは、子ドメインは親ドメイン名を含む形になる点です。
例えば、学校の「6年生」という学級は、細かく見ていくと以下のように細分化することができます。
- 学級:「6年生」
- クラス「6年1組」
- クラス「6年2組」
- クラス「6年3組」
クラスには必ず「6年」が必ず含まれていますよね。

Active directoryも同じようにドメイン名が仮に「fruits.com」であれば、子ドメインを「apple.fruits.com」や「orange.fruits.com」のようにサブドメイン化することでドメインツリーを形成することが可能です。
実際に検証環境を用いて、fruits.comにてActive directoryを構築する画面を共有したいと思います。
下記がActive directoryサービスを構築中の画面になります。A
ctive directoryを初めて構築する際は、必ずドメインコントローラーを立てる必要があり、下記画像はドメインコントローラーの設定を行っている際の画面になります。

この後に諸々ポチポチしていくと、設定が完了し再起動が入ります。
最終的に再起動が終わり、問題なくデスクトップが立ち上がれば、ドメインコントローラーの昇格は完了になります。
実際にActive directoryを構築した後の環境を確認するとドメイン環境へ設定が反映されていることを確認できます。

フォレスト(Forest)
フォレストは、Active directoryサービスにおける最大の管理単位を指示します。先ほどの例でいくと、学校全体そのものを指し示すイメージになります。

名前の通り、フォレスト(森)ですのでドメインツリー(木)全体で見た際の最大単位としてとらえることもできます。
補足になりますが、初めてActive directoryを構築する際にドメイン名を決めるのですが、そのドメインは最上位のドメインを指し示すドメインとして、フォレストルートドメインと呼びます。

ここまで、説明してきた内容を一度表にしてまとめました。
構造 | たとえ | ポイント |
---|---|---|
ドメイン | クラス単位 | 基本的なクラス単位 |
ドメインツリー | 学級単位 | 学級単位にも細かく見ると1組、2組のようにクラス単位で分けることができる |
フォレスト | 学校全体の単位 | 学級をすべて含めた全体の1番大きい単位 |
Active directoryの理解を深めるおすすめ記事
Active directoryは、本ブログでは紹介しきれない多数の機能を持ったサービスになります。本記事で基礎的な概念は把握することができますが、それ以外の知識も身に着けるとよりActive directoryに対する理解も深まると個人的には思います。
本ブログでは、Active directory以外にもWindowsに関する知識などもご紹介しているのでそちらも合わせて読んで頂けると嬉しいです。
- ユーザープロファイルの基礎を知りたいなら
👉 「【Windows】10分で分かるユーザープロファイルとは…」で、プロファイルとドメインログオンの関係性がつかめます。
- ログオンスクリプトを簡単に設定したいなら
👉 「【2024年完全版】画像付き初心者ガイド: Active Directory グループポリシーを使ったログオンスクリプト簡単作成」をチェック。ドメインポリシーとの連携例を図解しています。
まとめ──学校に置き換えるとわかりやすい
ここまでのまとめになります。Active directoryに登場する、ドメイン、ドメインツリー、フォレストはすべてActive directoryの管理単位を指し示す用語になります。
管理単位の順番としては、以下の通り1番小さい単位がドメインであり、一1番大きい単位がフォレストになります。
- ドメイン=クラスルーム単位
- ドメインツリー=学級単位(クラス単位が何個かある1フロアのイメージ)
- フォレスト=学校全体
OUやセキュリティグループも管理に関して登場する用語にはなりますが、あくまでもドメイン内でオブジェクトを管理する際に用いられる用語になります。
いろいろ知識を詰め込んでわからなくなったら、私が解説した本記事を参考に情報の整理を頂けたら嬉しいです。
コメント