Active Directory は、ユーザー、グループ、コンピューター、OU、権限情報などをディレクトリとして保持しています。その中核にあるのが LDAP です。
Active Directory は Microsoft 独自のスキーマや拡張を持っていますが、基本的には LDAP ディレクトリとして参照できます。ユーザーの DN、所属グループ、sAMAccountName、objectSid などを確認したい場合、LDAP として見ると構造を理解しやすくなります。
この記事では、Windows Server 2019 Active Directory で LDAP の情報を確認する考え方を整理します。
Active Directory と LDAP の関係
Active Directory は、単なる LDAP サーバーではありません。Kerberos、DNS、グループポリシー、ドメイン参加、レプリケーションなどを含む Windows の認証基盤です。
ただし、ディレクトリ情報の参照という観点では LDAP として扱えます。たとえば、ユーザーの DN やグループ所属を確認する時、LDAP の見方を知っていると AD の構造が読みやすくなります。
| 項目 | 意味 |
|---|---|
| LDAP | ディレクトリ情報を参照・検索するためのプロトコル |
| Active Directory | LDAP を含む Windows の認証・ディレクトリ基盤 |
| DN | ディレクトリ上のオブジェクトの位置を示す識別名 |
| LDIF | LDAP のエントリをテキストで表現する形式 |
ldifde で LDAP 情報をエクスポートする
Windows Server では、ldifde コマンドを使って Active Directory の情報を LDIF 形式でエクスポートできます。
ldifde -f export.ldfldifde は、Linux の ldapsearch のように標準出力へそのまま表示するというより、ファイルへエクスポートして確認する使い方になります。
必要な属性だけをざっと確認したい場合は、エクスポート後に検索します。
findstr /i "CN=Administrator distinguishedName memberOf sAMAccountName objectSid" export.ldfDN と属性を見る
エクスポートされた LDIF を見ると、ユーザーやグループが LDAP エントリとして表現されていることが分かります。たとえば Administrator の DN は次のような形になります。
dn: CN=Administrator,CN=Users,DC=si1230,DC=com
objectClass: user
cn: Administrator
distinguishedName: CN=Administrator,CN=Users,DC=si1230,DC=com
memberOf: CN=Domain Admins,CN=Users,DC=si1230,DC=com
sAMAccountName: Administrator
objectSid:: AQUAAAAAAAUVAAAAql6LqbcnVHuq3HY79AEAAA==別の LDAP 連携や SSSD、アプリケーション認証連携を行う場合、DN、ベース DN、ユーザー検索属性、グループ属性を正しく把握することが重要です。
一方で、パスワードなどの機密属性は簡単に出力されるものではありません。AD の LDAP 情報を読む時は、参照できる属性と、セキュリティ上保護される属性を分けて考える必要があります。
LDAP と LDAPS の違い
Active Directory の LDAP は、通常 389/tcp を使います。LDAPS は、TLS で保護された LDAP で、通常 636/tcp を使います。
| 項目 | ポート | 用途 |
|---|---|---|
| LDAP | 389/tcp | 通常の LDAP 接続 |
| LDAPS | 636/tcp | TLS で保護された LDAP 接続 |
アプリケーションや Linux サーバーから Active Directory を参照する場合、認証情報や属性情報を扱うため、LDAPS を使う設計にすることが多いです。
Test-NetConnection ad01.si1230.com -Port 389
Test-NetConnection ad01.si1230.com -Port 636ただし、ポートが開いていることと、証明書を含めて正しく LDAPS 接続できることは別です。LDAPS は証明書配置や信頼チェーンの確認も必要になります。
AD の LDAP を見る時の注意点
Active Directory の情報は LDAP として参照できますが、Linux の LDAP サーバーと完全に同じ感覚で直接編集するべきではありません。
AD は Windows の認証基盤であり、GUI、PowerShell、管理ツール、グループポリシー、レプリケーションと密接に関係します。LDAP の構造を理解することは重要ですが、直接変更する場合は Microsoft のサポート範囲や運用設計を確認する必要があります。
特に、認証連携の確認では、LDAP を「編集する対象」として見るより、まずは「構造と属性を確認する対象」として見る方が安全です。
参考書籍
Windows Server / Active Directory 関連書籍
Active Directory、LDAP / LDAPS、Windows Server の認証基盤を確認したい場合の参考リンクです。価格や在庫はリンク先で確認してください。
Amazon で見るこのリンクは Amazon アソシエイトリンクです。
関連する記事
関連記事
Windows Server 2019 Active Directory の構築手順 – AD DS とドメイン コントローラー昇格
Windows Server 2019 Active Directory で LDAPS を有効化する手順 – AD CS と証明書要件
Windows のコンピューター一覧と WINS の関係 – NetBIOS 名と DNS を分けて考える
Windows 10 の hosts を編集する方法 – 名前解決を一時的に固定する確認手順
Windows 10 でスタティックルートを設定する方法 – route add と永続ルートの確認
Windows 10 で OneDrive からローカルフォルダーへ戻せない場合の対処 – リダイレクトエラーを整理する
Windows で iCloud と連携すると要確認になる場合の対処 – Apple ID と同期状態を切り分ける
Windows 7 ディスプレイドライバの応答停止と回復