AD LDSとは

AD LDS （Active Directory Lightweight Directory Service）はあまり使われそうにないサービスである。

 

（質問）

AD LDSとは何ですか？

 

こんにちは。現在MCPの勉強をしているのですが、また質問させてください。
Active Directory Lightweight Directory Serviceとは何なのでしょうか？

MCPの赤本によると、
「特定のアプリケーションに特化したディレクトリサービス」
とあり、図解されていました。
しかし、まったくイメージすることが出来ませんでした。

【01】
まず、「特定のアプリケーション」というとWordやExcelをイメージすれば良いのでしょうか？
例えば、限定的に例を挙げると「Wordに特化したディレクトリサービス」と解釈し、
AD LDSを使用すると、AD LDSで許可したオブジェクトのみがWordを使用することが出来るようになり、
他のユーザはWordが使用できなくなるとイメージすれば良いのでしょうか？
（この例の場合、AD LDSの役割を追加したサーバにWordやExcelをインストールしている必要があると認識しています。）

しかし、そうなるとドメインの集中管理と同じで、AD LDSを使用するクライアントは、ドメインに参加していないと意味をなさないのですか？

AD LDSを使用することと、ドメインに参加することは無関係と読み取れたので、頭が混乱しています。
（赤本には、AD LDSはActive Directoryドメイン環境から独立して機能すると記載されていました。）

【02】
クライアントコンピュータやアプリケーションからAD LDSインスタンスへのアクセスにはLDAPを使用します。
とありますが、LDAPというのは「ディレクトリデータベース」ですよね？
つまり、特定のアプリケーション（例えばWord等）の情報が、AD LDSインスタンスに格納されるということですか？
これは、共有フォルダの中にWORDファイルが保存され、AD LDSで許可したオブジェクトのみが使用できるというイメージを持てば良いでしょうか？
また、LDAPはディレクトリサービスなので、このディレクトリとはAD LDSのことを指しているのでしょうか？
AD LDSのサービスのインストール方法や、設定方法については、説明書を読んで分かったのですが、
AD LDSとはそもそも何なのか？ということが全く分かりませんでした。
AD LDSについて、具体的なイメージが全く沸かないため、そもそもAD LDSとはなんなのかがさっぱり分かりませんでした。
AD DSについては実機で動かしながら、概ね分かるようになったのですが、LDSのところでつまづいてしまいました。
低レベルな質問であることは重々承知しておりますが、イメージがわかないので、説明を読んでもさっぱり理解でません。
LDAPやディレクトリサービスという単語の理解が曖昧なため、ずれた質問かもしれません。
詳しい方がいらっしゃいましたら、教えていただけないでしょうか。

よろしくお願いします。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 

（回答１）

全く個人的な見解ですが、Active Directoryは、ユーザー管理やポリシーといったOSのセキュリティと深く結び過ぎてしまい、単なる住所録や設定情報を放り込みたいためだけに利用したいときに使うにはちょっと使いづらい時もあります。そう言ったときにAD LDSの出番になります。
OSのセキュリティとからめたくない時に、独立して使用できるADなので、以前はActive Directory Application Modeと言っていました。

AD LDSは、Word/Excelといったアプリケーションよりかは、シングルサインオンとかでUnixとか他システム連携を行わなければいけない時とかリモートアクセスサーバーやその手のアプライアンス機器で、OSのユーザーとは別のLDAPに応答する住所録（ディレクトリサービス）を用意する必要に迫られた場合に便利だったりします。

ところで、LDAPはLightweight Directory Access Protocolです。要は、通信のためのプロトコルで、HTTPとかFTPと同じ感じです（OSI参照モデルのアプリケーション層）。HTTPに応答するのがWeb Serverなら、LDAPに応答するのはDirectory Serviceになります。ディレクトリデータベースを持つのは、LDAPに応答するDirectory Serviceです（Active Directory,Active Direcotry LDS,OpenLDAPなど）

ちなみに、ディレクトリサービスと言えば、他にはDNSとかNISなどもこれらに含まれます。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答２）

既に複数の方からアドバイスがされていますが、補足いたします。

簡単にいうとADの簡易版になります。

ADとAD LDSは連携ができますが、ADのスキーマとAD LDSのスキーマはそれぞれ独立しているのが特徴になります。

例えば、ADアプリケーションを作成する際に、実際の環境を使うのではなくAD LDSで簡易的なADを使用することによってADアプリケーションの開発を行うことなどが想定されています。それによって現状の環境を操作することなく新しい環境（スキーマの拡張など）を構築することが可能になります。

しかし、現在は仮想環境が簡単に使用できるのでわざわざAD LDSを使わずとも、仮想環境でAD環境を使用することが容易になっていますのであまり使われません。

実際に私が知っているレベルでは、ExchangeのEdgeに使用することや、外部システムとの連携の際にADを使用せずに、AD LDSを使用するなどです。

以上、参考になれば幸いです。

（MSのページ）
http://technet.microsoft.com/ja-jp/library/cc732019(WS.10).aspx
http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-lds.mspx
 （@IT資料）
http://www.atmarkit.co.jp/fwin2k/winsv2008/02overview/02overview_02.html
 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/082a5c9d-c098-48a4-8e27-483b3b80f795