Active Directoryでは「ドメイン」と呼ばれるリソース同士の関係性を表す領域が作成されます。ドメインは、大きなフォルダのようなものだと考えても構いません。このドメインの中で、ユーザー、プリンタ、PC、共有データ、部署やプロジェクトチームといったリソースに関する情報を扱うことができます。

　誰がどのPCを利用していて、どの部署に誰が所属していて、どの部署がどの共有データにアクセスして良いのか。こういったリソース同士の関係性を「ドメインコントローラー（DC）」と呼ばれる管理システムを利用し、ドメインの中に記述するのです。

　それによって、ユーザーは「自分が誰であるか」をドメインコントローラーを通して証明し、DCは「この人は誰であるか」を示すチケットを渡し、ユーザーはチケットを使って自分と関わりのあるリソースに自由にアクセスすることができるようになります。Active Directoryによって、ユーザーとその他のリソースにどのような関係があるのかが分かっているので、リソースを使う度に別々のパスワードを入れる必要がありません。

　さらに、システム管理者はDCを利用してドメインを管理するだけではなく、DCでドメイン内に存在するリソースそのものを一括管理することができるようになります。これによってPCをアップデートしたり、不具合を修正したり、遠隔でサポートをすることもできるようになるため、管理者の労力は大幅に軽減されます。

　特にそれぞれのリソースのセキュリティポリシーを管理者側で管理できるようになるため、端末が更新されていなかったり、設定ミスによって脆弱（ぜいじゃく）性を持った端末から情報漏えいを許してしまったりといった初歩的なトラブルを防止することができます。

「シングルサインオン」「フェデレーション」

　「ドメインツリー」や「フォレスト」では、ユーザー自身が所属するドメインに一度ログインするだけで信頼関係を結んだドメインのリソースにアクセスできるようになります。このような1度のログインでさまざまなリソースにアクセスできるようになる仕組みを「シングルサインオン」と呼びます。

　こんな話を聞くと、GoogleやTwitterのアカウントでさまざまなサービスにログインできるような仕組みをイメージするかもしれませんが、それもまたシングルサインオンの一種です。

　先ほどのドメインツリーとフォレストの関係をGoogleサービスで例えると、GmailアカウントでGoogle Driveを使えるようになるのがドメインツリーの関係で、GmailアカウントでGoogle以外のサービスにもログインできるのがフォレストと言えるでしょう。

　ただ、フォレストはWindows Server内でActive Directoryを使った信頼関係を指しますので、外部のクラウドサービスやウェブサービスにおいてシングルサインオンができる関係性は「フェデレーション」と呼びます。

　Active Directoryでは、こうしたウェブ上のクラウドサービスなどにシングルサインオンで接続するための「Active Directoryフェデレーションサービス」なども提供しており、ドメインに参加するだけで別にIDとパスワードを入力することなしに「Office 365」や「Microsoft Azure」に接続できるようになっています