Win Win Windowsコラム
第16回: 管理権限の委任 ~共同管理と分散管理~
執筆:河野 憲義
何の記事だったか忘れてしまったのですが、「Active Directoryが登場して10年経過、これは当初の設計思想が良かったから・・・」というような事が書かれていました(編集者注)。
「他に選択肢が無かったから・・・」など、賛否両論あるのかもしれませんが、10年経ったというのは事実です。言い変えれば、10年後の要望にも対応できるように、様々な機能が搭載されていたからと言えるのかもしれません。
様々な機能で真っ先に出てくるのは「グループポリシー」でしょうか。しかし「委任」もポイントが高いのではないかと感じています。
◇ ◇ ◇ ◇ ◇
さて、「パスワードは定期的に変更してください」と言われていますが、ユーザー アカウントのパスワードは、どなたが変更していますか?
A. 各ユーザー自身で自分のパスワードを変更する
B. システム管理者が各ユーザーのパスワードを変更する
もちろんAのパターンが一般的で、Bのパターンは有り得ないですね。
でも、これってよく考えたら不思議ではありませんか? パスワードはユーザー アカウントの属性として、Active Directoryに保存されています。それを管理者権限の無い一般ユーザーが変更しています。
「なるほど、言われてみれば変だぞ。」
「良く分からないが、そういうものなのだろう。」
実は、これが委任の基本です。仕組みは簡単で、[パスワードの変更]というアクセス許可が、ユーザー(本人)に許可されているのです。同じようなアクセス許可を与えることで、パスワードだけでなく、部署名や電話番号といった他のユーザー アカウント属性も、自分自身で変更可能になります。
部署名や電話番号が変わった場合、その変更をシステム管理者側で行うのは大変です。またユーザー側も、システム管理者に変更を依頼するのは面倒です。
委任を効果的に活用することで、システム管理者の労力を軽減すると同時に、一般ユーザーでも気軽に変更できるメリットが生まれます。部署名や電話番号はOutlookのアドレス帳に表示できます。これらの保守をユーザー自身で行うようにすれば、システム管理者とユーザーの双方にとって有益なのではないでしょうか。
◇ ◇ ◇ ◇ ◇
Active Directoryには様々な機能が搭載されていますから、1人のシステム管理者だけで運用していくのは大変ですね。
ある程度の規模を持つActive Directoryは、部署単位や拠点単位に分け、複数人で「分散管理」するのが常套手段と言えるでしょう。この際、管理担当者のアカウントをAdministratorsグループに登録、と考えがちですが、これでは「分散管理」ではなく「共同管理」になってしまいます。
ご存知の通りAdministratorsグループには、すべての管理権限が付与されています。すべてを管理できるということは、ある部署や拠点の管理担当者が、誤って別の部署や拠点の設定を変更してしまう懸念が出てきます。この場合、人レベルでは分散管理かもしれませんが、システムレベルでは分散管理になっていないことになります。
システムレベルで分散管理を実現するには、先ほどの「委任」が役立ちます。ある部署や拠点のシステム管理担当者には、その部署や拠点のアクセス許可のみを許可するようにします。こうすることで、誤って別の部署や拠点の設定を変更してしまうことを防止できます。
複数人で分散管理する場合、「委任」を有効に活用することで、明確な責任分担が反映されたシステム運用が可能になります。
◇ ◇ ◇ ◇ ◇
システム管理者と一般ユーザー、複数人のシステム管理者。この2つの観点から「委任」を眺めてみました。これら「委任」については次の認定コースで取り上げています。よろしければ参加をご検討ください。教室でお待ちしています。
【編集者注】
マイクロソフト主催の「Active Directory 10周年」イベントのパネルディスカッションで、横山哲也(グローバルナレッジネットワーク)が発言した内容だと思われます。
当日の様子は、マイクロソフトの高添さんのブログ「Active Directory 10 周年記念 ~ Active Directory 有名人たちが語る 10 年~」をご覧ください。
[Active Directory Windows Server 2008 R2運用管理][2011年10月 7日配信]
Win Win Windowsコラム
第1回: Active Directory 10周年
執筆:横山 哲也
Windowsを企業に導入する場合に欠かせないのが「Active Directoryドメインサービス(AD DS)」です。従来は単に「Active Directory」と呼んでいたのですが、Windows Server 2008から名称が変わりました。もっとも、私も含めて多くの人は今でもActive Directoryと呼んでいます。本当はいけないのかも知れませんが、マイクロソフトの人もActive Directoryと呼んでいるので勘弁してください。特に今回は、歴史的な話を紹介するので当時の呼称に合わせてActive Directoryとします。
さて、そのActive Directoryは2000年2月、Windows 2000の発売とともに登場しました。2010年2月で10周年です。IT業界の1年は「ドッグ・イヤー」つまりイヌの1年と同等と言われています。イヌの寿命は10年から15年くらいですから、Active Directoryさんもかなりの高齢ということになりますね。
マイクロソフトは、Active Directory 10周年を記念してイベントを開催しました。私(横山)もゲストとして呼ばれ、昔の話を語ってきました。当日の模様はTech Fielders サイトに公開される予定です。また、Twitterのハッシュタグ#ad10thで検索していただけると当日の様子が分かるでしょう。
●Active Directoryの始まり
私がActive Directoryを最初に触ったのは、まだ一般公開されていない「Windows NT 5.0ベータ1」の時代です。そのときの解説文書には
Windows NTのローカルグループやグローバルグループはややこしいので、単なる「グループ」に一本化する。
と、はっきり書いてあったのを覚えています。Active Directoryに詳しい方はご存じの通り、実際には一本化どころか「ドメインローカルグループ」と「ユニバーサルグループ」がさらに追加されています。
証拠の画面ショットもあるのですが、公開していいかどうか分からないので掲載は控えます。どうしても見たい方は月刊「Windows NT World」(IDGジャパン)1998年5月号の特集「Active Directoryで変貌するNTネットワークの世界」を探してみてください。
●Active Directoryの導入
鳴り物入りで登場したActive Directoryですが、すぐには普及しませんでした。当時は「数万人を超える規模に対応する」「より高度なセキュリティに対応する」「UNIXと認証を一本化する」といった売り文句が並んでいましたが、これが間違っていたのだと思います。
数万人を超える従業員を抱える企業はそれほど多くありません。セキュリティは高いに越したことはありませんが、2000年当時はセキュリティ意識が今ほど高くありませんでした。Windows以外のシステムとの認証を一元化するのは、現在でもそう簡単ではありません。「Active Directory 10周年」イベントでは「Linuxの認証をActive Directoryで行うデモを作るのが一番大変だった」という声もあったくらいです。
●Active Directoryの普及
本格的にActive Directoryが普及し始めたのは大規模なセキュリティ侵害が発生した2003年頃からでしょう。特にクライアントからのセキュリティ侵害が深刻な事態を引き起こしました。そこで注目されたのがActive Directoryです。Active Directoryと同時に提供される「グループポリシー」を使えば、クライアント環境の管理を簡単に行えます。
新しい技術は、製品ができただけでは決して普及しません。製品に加えて、消費者のニーズ、そして利用環境が必要です。たとえば自動車が普及するには、自動車という製品、自由に移動したいというニーズ、そして自動車が通行できる道路網とガソリンスタンドが必要です。
Active Directoryの場合は、製品が登場したのが2000年、信頼できるPCサーバーという環境が整ったのが少し早くて1996年くらい、そしてクライアント管理というニーズが高まったのが2003年だと考えられます。そのためActive Directoryの普及は2003年まで待つ必要がありました。マイクロソフトが当初想定した大規模環境の管理というニーズは、それほど大きくなかったようです。
●Active Directoryの学習
私たちは、マイクロソフトのラーニングパートナーとして教育コースを提供しています。この時、心がけているのは単に技術を紹介するだけではなく(もちろん技術解説は最低条件です)「その技術を使うには何が必要なのか(環境)」と「どんなふうに使えば便利なのか(ニーズ)」を紹介することです。
たとえば 「Windows Server 2008 R2ソリューション概要」では「...をするには」という見出しが多用されており、本文には「ここで使える...」という表現が随所に登場します。単なる技術ではなく、ビジネスに役立つソリューションを提供したいと考えた結果です。
構成上、どうしても技術的な面に偏りがちな教育コースもありますが、これからも、なるべく現場のニーズに応えられるような話をしていきたいと考えています。
横山 哲也
グローバル ナレッジネットワーク株式会社で、ITプロフェッショナル向け教育コースの企画・開発・実施を担当。Windows 2000のMCSEとしては世界で最初の2000人に入った(当時のインタビュー記事)。2003年にはWindows Server 2003のMCSA、2004年にMCSE、2008年8月にはWindows Server 2008のMCITP(Server AdministratorおよびEnterprise Administrator)を取得するなど、常に最新の資格を維持している。
Windows 関連コースのBlogも執筆中。 「千年Windows」
[Active Directory ][2010年3月10日配信]
.NET Framework
