ユーザーはネットワークの一部であり、個々のユーザーが自分の業務を実施するのに必要なリソースだけにアクセスできるようにすることは、IT管理部門の責任です。受付係はソフトウェア・プロジェクトのデータにアクセスする必要はなく、ソフトウェア開発者は人事部のリソースに関知するべきではありません。IT部門は、ユーザーが必要なデータにアクセスでき、適切でないデータにはアクセスできないよう、ユーザー権限を管理する必要があります。
小規模な組織では、Windows のネットワーク・オブジェクトに対するユーザー権限の設定は Windows エクスプローラを使用して行います。管理者権限を持った人物が、ファイル、フォルダ、ボリューム、またはデバイスを右クリックすることで、ユーザーの権限を変更することができます。設定済みのファイルやフォルダへの読み、書き、変更のアクセス許可を、権限がある管理者が適切な内容に修正します。この方法でうまくいくなら特に問題はないかもしれません。
では、サーバーが100台あって、何千人ものユーザーがいて、複数の異なるドメインを処理しなければならないとしたらどうでしょうか?上述のようなユーザーごとに個別にアクセス許可を割り当てる方法ではとても追いつきません。個々のアカウントに関して、MySQL データベースへのアクセスを許可しながら、特定のドメインへのアクセスを禁止するなど、適切なユーザー権限を割り当てていくのは気が遠くなるほどの作業で、当然ミスも発生することが予想されます。
そこで、Active Directory (AD) ドメインサービスの出番となります。このサービスを使えば、訓練を受けた管理者は1つのダッシュボードからすべてを管理できます。Active Directory のユーザー権限について詳述する前に、まず、Active Directory とは何なのかについて概説したいと思います。
Active Directory は、Windows 2000 で最初のベータリリースが発表されました。それ以来、物理的・仮想的を問わず、ネットワークアーキテクチャにおけるスケーラビリティへの要求の高まりに応える形で(最新バージョンには Windows Server 2016 が組み込まれるなど)進化してきました。
Active Directory とは何かというと、ネットワーク・オペレーティングシステム (NOS) であり、ディレクトリサービスとして知られる製品のクラスに属します。Windows 環境では、他の製品が選択されていてもADが使用されます。そのようには見えないかもしれませんが、基本的にはデータベースのように機能し、ユーザーやグループ、そしてネットワークに接続されているプリンタなどのデバイスやオブジェクトに関するすべての情報を管理できます。ユーザーと管理者を区別するための権限の階層も含まれています。
高度なソフトウェアにはよくあることですが、ADには独自の用語があります。これらの用語は、Active Directory でユーザーを作成したりインポートしたりする前に理解しておく必要があります。以下にいくつかの例を示します。
すべてのネットワークオブジェクト(すべての管理対象ドメイン上の)に対するユーザー権限もADで管理可能です。適切なトレーニングでこの管理ができるようになれば、セキュリティ上のリスクが軽減でき、関係する規制へのコンプライアンスを徹底して、効率を向上させることができます。
ユーザー権限は特段新しいものではなく、以前から、サービスにアクセスするには、ユーザー情報を入力してログインするのが一般的です。使用される用語は、権限セット (Salesforce)、アクションメニュー (Oracle)、実行権限 (Linux)、権限割り当て (Microsoft Dynamics NAV) などと多様ですが、いずれもID管理ポリシーを実施してユーザーにアクセスする権限を与えています。
ワークステーションの場合、多くの企業はユーザーのアクセスを許可するためにローカルのログインとパスワードを使用します。ところが、Active Directory を使えば、ドメインコントローラのおかげで、オブジェクトとドメインに対する権限が確認されれば、ユーザーは任意のコンピュータにログインしてリソースにリモート接続できます。つまり、アクセスはドメインによって許可され、ローカルマシンに限定されることはありません。
すべてのユーザーは、ネットワークにアクセスするためにドメインコントローラが管理するアカウントを必要とします。当然のことながら、インフラストラクチャとデータはサイバー攻撃から保護する必要があります。
Active Directory 管理者は通常、次のうちのいずれかの方法で新しいユーザーを作成します。
Import-Module ActiveDirectory
新しいADユーザーアカウントを作成するのに、ADAC、ADUC、PowerShell(自動化のために多用されています)のどれを使用したとしても、ユーザー権限の設定には通常次のようにします。
2008 以降は、ユーザー権限の変更のために ADAC と PowerShell を使用するのが主流になりました。ローカルポリシーとは異なり、ドメインをベースにしたユーザー権限はそれほど単純ではありませんが、方法はすべて同じAD機能に則ったものになります。
たとえば、管理者は、性区別のない新しいロボット従業員のために、行うべき作業ができるよう必要なアクセス許可を与えられた新しいユーザーを作成することができます。
いずれにせよ、ユーザー権限の設定は製造施設の品質部門の責任範囲になり、またすべての会社の部門をカバーするコンプライアンス監査も一部の責任を負うことになります。ユーザーはどのような権限を与えられるべきでしょうか?どのような点を考慮する必要がありますか?
GUI ツールを開き、チェックしたいユーザーアカウントを見つけ、右クリックして「プロパティ」を表示する画面に行って必要な変更を行います。アカウントのコピーや、グループやOUからの権限のインポートを簡単に行える GUI は便利で、PowerShell で同じ操作を行うのは面倒です。GUI での作業をいらだたしく感じたら、PowerShell スクリプトを使用する選択肢もあります。
これは1つの例に過ぎませんが、ADAC であろうと PowerShell であろうと、プロセスは似ています。
次の質問と回答について吟味してみると、ユーザー管理のプロセスが明確になるかもしれません。
考慮すべきことが多いので、ユーザー権限を設定するにはある程度周到な計画が必要ですが、いったんOUとユーザーグループの権限が定義されると、作業は簡単になります。ADの権限は、ユーザーがグループやOUに追加されると権限が継承されるよう、階層化する場合もあります。基本ユーザーの権限よりも高い場合は、高い方が優先されます。
最後に、Active Directory は、Windows エクスプローラを使用したローカルの権限管理に代わるものではありません。これについての書物はこれまでも書かれており、これからも書かれるでしょう。ADの権限を設定したり、ポリシーを変更したりするときは、できるだけ複雑にならないよう気を付けてください。また、繰り返しの作業を自動化するために、GUI や PowerShell などのツールの使用を検討することも価値があります。
ソーシャルメディアやストリーミングビデオにアクセスできないとすぐに苦情を言うユーザーもいるので、実稼働中のネットワークに変更を適用する前に、オフラインか仮想環境でADをテストすることをお勧めします。もし、ユーザー管理に時間がかかり過ぎている場合は、Active Directory を利用するメリットを考慮することは有意義です。Active Directory を利用してユーザー管理がシンプルになれば、IT部門は、サイバーセキュリティやプロセスの改善に集中できるようになります。
Get our latest blog posts delivered in a weekly email.