企業や組織の規模が大きくなるにつれて、管理するべきパソコンの数は増えていく一方です。WindowsではパソコンごとにIDとパスワードによるユーザー管理ができますが、ネットワーク内に複数のWindowsパソコンが存在していると、ユーザーの管理はおろか、アクセス権限の設定も一苦労です。

システム管理者の中には、ユーザーからの「パスワードを忘れてしまったので教えて欲しい」あるいは「パソコンの調子が悪いから見て欲しい」などの問い合わせに返答するだけで1日の大半がつぶれてしまったという経験を持つ人もいるでしょう。

このような問題を解決できる技術が、2000年に発売されたWindows 2000 Serverから搭載された「Active Directory(アクティブディレクトリ)」です。アクティブディレクトリとは複数のWindowsパソコンを一元的に管理することができる仕組みのことです。今回はアクティブディレクトリの機能やメリット、デメリット、そして注意点などを紹介します。

Active Directory(アクティブディレクトリ)とは

アクティブディレクトリとはWindowsパソコンの機能やユーザー情報を管理するために、Windows Serverに設けられた機能のことです。Active Directoryはディレクトリサービスと呼ばれるものの1つで、Windows 2000から導入されています。

Active Directoryを使うことで、システム管理者はパソコンに関する様々な情報や状態を一括して管理することができ、手間を大幅に軽減することが可能です。ネットワークの規模が大きくなればなるほど、Active Directoryを導入するメリットは大きくなるでしょう。

ちなみにActive DirectoryはWindows Serverに標準に搭載された機能です。そのため専用のソフトウェアを購入する必要はありせん。Active Directoryはネットワークに接続されているパソコンの運用を影で支える縁の下のようなソフトウェアですが、導入すれば確実に大きな成果を得られるでしょう。

Active Directoryにはいくつかの専門用語があります。ここで少し整理しましょう。

Active Directory ディレクトリサービスを提供するためのブランド名
ドメイン Active Directoryによって許可されたユーザーがアクセスできる範囲
ドメインコントローラー ドメイン内でユーザーの認証や管理をするソフトウェア(サーバー)

ドメインコントローラーとは認証をするためのサーバーであり、実際にクライアントが利用する対象は別ファイルサーバーやデバイスなどであることに注意しましょう。

Active Directory(アクティブディレクトリ)の機能

Active Directoryが提供する機能には様々なものがあります。主要なものを取り上げて紹介します。

1. ID・パスワード管理

WindowsパソコンはユーザーIDとパスワードを使った認証が可能です。Windowsサーバーは各WindowsパソコンのユーザーIDとパスワード情報を管理できますが、サーバーが複数台ある場合、それぞれのサーバーにユーザーIDとパスワードの情報を設定する必要があります。これは非常に手間のかかる作業です。

しかしActive Directoryを使えば複数のサーバーで管理していたユーザー情報を一元的に管理できるようになります。このためユーザーIDやパスワードを個別に管理する必要がなくなります。管理すべきIDとパスワードが減ることは、セキュリティ対策としても有効です。

2. アクセス権限の設定・管理

企業や組織の中にいるユーザーには、特定の情報にアクセスを許されたユーザーと、アクセスを禁止する必要があるユーザーの2つに分類されます。

Active Directoryではそのようなアクセス権限の設定や管理を行うこともできます。ユーザーはActive Directoryによって認証されることで、ドメイン内にある情報やサーバーにアクセスできるようになります。

Active Directoryで一度認証を済ませてしまえば、ドメイン内にある複数のサーバーにアクセスする際に、再度認証をする必要はありません。このような仕組みのことをシングルサインオン(Single Sign On)と呼びます。

3. ソフトウェアの設定・管理

Active Directoryでは業務で必要なソフトウェアをリモートで自動インストールすることや、Windows Updateによる自動更新を行うこともできます。

4. メディア利用の設定・管理

USBメモリのようなメディアもActive Directoryでは管理できます。USBメモリを不用意にWindowsパソコンに接続することを許可すると、マルウェアの感染や情報漏洩につながる可能性があります。

しかしActive Directoryの機能とWindowsのグループポリシーの機能を組み合わせることで、USBメモリの管理が可能です。設定できる権限は、具体的には「読み取りアクセス権の拒否」「実行アクセス権の拒否」「書き込みアクセスの拒否」の3つです。

5. プリンターなど接続機器の設定・管理

業務で使うプリンターもActive Directoryで管理できます。予めサーバーにプリンタードライバーをインストールしておけば、クライアントはプリンターを使う時に、Active Directoryからプリンタードライバーを配布されます。

またプリンターのIPアドレスが変わってしまった場合も、Active Directoryを使っていれば、サーバーのデバイス設定を変更するだけで対応できるので、クライアント側で何らかの作業をする必要はありません。

6. 操作ログの取得

Active Directoryに対する操作ログはIISマネージャーから閲覧や管理ができます。ただしActive Direcotryで取得できる操作ログは、ログオン時の認証やファイルサーバーに対する操作のログなど、Active Directoryに関連したサーバーに対するログののみです。

Windowsパソコン内で完結している操作ログは取得の対象外です。例えば起動させたソフトウェアのログや、ブラウザでどのようなWebサイトを閲覧したのかなどのログは取得できません。

Active Directory(アクティブディレクトリ)を使用するメリット

Active Directoryを導入することで、システム運営に関して負担を減らし業務効率を向上させるというメリットがあります。またActive Directoryへの関わり方の違いにより、以下のようなメリットがあります。

管理者のメリット

  • パソコンやネットワーク機器、ユーザー管理に関する負担を軽減する
  • パソコンの各種設定をリモートで一括管理できる
  • 操作を自動化することで、作業ミスを防ぐことができる
  • 管理ツールを利用することで、管理者教育がしやすくなる

利用者のメリット

  • どのパソコンを使っても、自分のアカウントでログインできる
  • 複数のパスワードを記憶する必要がなくなる
  • パソコンのアップデートなどの管理が不要になる
  • プリンターなどのデバイスが簡単に利用できる
  • 使用したい機能の検索が可能になる
  • ITやパソコンに詳しくなくても、システムが使いやすい環境になる

企業のメリット

  • 作業の自動化によりコスト削減につながる
  • 業務効率が向上し利益が増える
  • セキュリティ事故発生時に被害の拡大を防止できる
  • Active Directoryの活用がセキュリティ対策としてアピール材料になり、顧客からの信頼を獲得できる

Active Directory(アクティブディレクトリ)を使用するデメリット

Active Directoryには様々なメリットがあることがわかりましたが、その一方でいくつかのデメリットもあります。

  • Active Directoryによる制限が厳しいと、操作に対していちいち管理者の許可が必要になる
  • ログが取得されていることで、ユーザーが心理的あるいは倫理的に気を遣うことがある
  • Active Directoryの導入時に初期コストがかかる
  • Active Directoryに対する不正アクセスにより、社内すべてのパソコンが乗っ取られる可能性がある
  • Active Directoryの機能を使いこなすためには、専門的な知識や技術が必要
  • ログを記録することは、社員の行動を監視していることになり、健全な企業経営につながらないことがある。

便利なActive Directoryですが上であげたようなデメリットもあります。特に初期コストとしては金銭的な費用だけでなく、Active Directoryを使いこなすための学習コストも含まれます。どのような目的でActive Directoryを導入し、どのような成果を得たいのか、予め決めておけば、無駄のないActive Directoryの導入につながるでしょう。

Active Directoryの注意点

便利なActive Directoryですが導入にあたり注意点もあります。

バージョンアップを忘れてしまうとセキュリティ的に危険

Active Directoryのバージョンアップは困難です。例えば富士通株式会社が公開している「Windows Server 2016 Active Directory 移行の手引き」を見ても、バージョンアップの手順として80ページにわたり解説されています。

Active DirectoryはWindows 2000で登場した古い技術です。企業によっては登場した当時のまま、古いActive Directoryを使い続けているところもあるでしょう。一筋縄ではいかないActive Directoryのバージョンアップですが、いつまでも古い環境のまま運用するのは、セキュリティ的に危険と言えます。

Active Directory配下のWindowsのバージョンアップにも注意

Active Directoryで設定するポリシーはWindowsのレジストリに保存されます。しかしWindowのレジストリ構造はWindowsのバージョンによって異なります。例えばWindows 7とWindows 10ではレジストリの構造が異なるため、レジストリの中に保存されているポリシーの構造が異なる可能性があります。

そのためActive Directoryで管理しているWindowsのOSのバージョンアップの際には、バージョンアップ後にポリシーが設定したように動作するか確認が必要です。

Active Directoryでセキュリティ対策強化ができるのか

Active Directoryの導入は、企業内におけるセキュリティ対策としての一面を持ちます。Active Directoryはパソコンを一括管理するための機能ですが、一括管理することで、最新のセキュリティ対策ソフトやセキュリティパッチを管理下のパソコンに同時に抜けなくインストールすることができます。それとは逆に許可していないソフトウェアのインストールを禁止することができ、外部からのマルウェア感染のリスクを減らすことも可能です。

Active Directoryにおける認証機能は、ユーザーがパソコンにログオンしたログを記録できます。これにより不正アクセスの防止や、アクセスした人物の特定ができます。何らかの内部犯行を抑止することにもつながるでしょう。

まとめ

Active Directoryは企業内で管理しているパソコンをドメインと呼ばれる領域の内部で一括管理できる機能です。Windows Serverに標準で搭載しているソフトウェアですが、しっかりとした運用には少なからずコストが発生します。

しかしActive Directoryを導入すれば、システム管理者の負担軽減や、リモートによるパソコンのメンテナンス、そして無駄のないユーザーIDとパスワードの管理など様々なメリットが得られます。さらにセキュリティ対策としての一面も持ちます。

Active Directoryを活用すれば、業務効率を向上させるだけでなく、無駄のないシステム管理を行うことができるでしょう。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?