Active Directoryセミナー雑感

セキュリティ

昨日Active Directoryに関するセミナーを受講してきたのですが、かなり良かったデス!!

スピーカーはMSMVP-Active Directory竹島友理さんでした。
要点をわかり易く押さえていて、初めての人に対しても、普段使っている人にも退屈させる事が無い素敵な進め方をしてくださいました。

今回のセミナーでおお!と思った点を幾つか纏めたいと思います。

Active Directory導入前

会社内には貴重な情報がたくさんある。そして、端末一台一台をワークグループ環境で個別管理するのは大変でもある。


もしWindows Server2003を導入しているのであればActive Directoryは標準機能のため追加コストは発生しない上にセキュリティや機能が優れているので全体の管理も大幅に向上する。

Active Directoryを導入する事で得られるメリットは色々ある。
  • IDの集中管理が可能
  • グループポリシーによる環境の一括管理
  • アクセス許可の設定
  • 2003では、企業間の合併によるドメイン変更などにも対応している。
  • ドメイン構造を変更する事も可能

Active Directoryの設計導入前に知っておく事

  • ドメイン:リソースを管理する範囲(ユーザー・PC・グループ等)
  • フォレスト:Active Directoryの一番大きな管理範囲1つ以上のドメインで構成する
  • ドメインツリー:フォレスト内のドメインの構造
  • OU:組織単位、止め院内のリソースを纏める構造

設計をする時のポイントとして『シングルフォレスト、シングルドメインが基本
ドメインとOUへのグループポリシーの適用は『ドメイン>OU>下位OUのレベルでそれぞれグループポリシーを適用するのが基本

オブジェクト新規作成時のバルク処理ツール
  • LDIFDE.exe:登録済みユーザーの一括処理が可能
  • CSVDE.exe:エクセルを使う事も可能。
  • WSH:条件分岐やループなどプログラム的な処理が必要な時便利
  • XCACLS.vbs:NTFSアクセス許可を表示・変更できる。

Active Directoryは小規模でシンプルな構成ほど導入しやすい。

Active Directory導入後

Active Directoryは強力なセキュリティ基盤である。

  • 同一フォレスト内でシングルサインオンが可能
  • Kerberosによる認証
  • 複雑なパスワードの強制
  • ユーザー認証の強化
  • 社内で承認されているPCのみLANに接続可能
  • 持ち込みPCのLANへの不正接続対策
Active Directory フェデレーションサービス(ADFS)とは

子会社等を持つ大きなグループ会社がADFSに着目している。理由は以下の点から。

  • Windows Server2003から提供されている
  • インターネット越しにID&アクセス管理をする新技術(シングルサインオン
  • 組織を超えた環境にWebSSOを提供

Webアプリ提供者

開発
ユーザー認証の為のレポジトリとロジックを検討しなくてよい
運用
利用者単位の管理をする必要が無くなる
Active Directoryを基盤とする情報保護機能

必読記事:http://www.microsoft.com/japan/windowsserver2003/activedirectory/kinko/default.mspx

Rights Management(RM)
意図的な情報漏洩に加え、操作ミスによる漏洩を防ぐ

RMはファイルを置く人物がファイルに対して権限を与える事ができ、印刷・コピペ・クリップボード・転送等の機能を全て使用不可能にさせる事も可能。ただし、ライセンス料金は別途かかってしまうので使用する場合は注意が必要。

Windows Server Update Services(WSUS)を使うことが出きる。

グループポリシーの設定で一元管理可能

グループポリシーとは?

  • ユーザー環境やコンピュータ環境の一元管理機能
  • デスクトップ環境の一元管理や一貫したセキュリティポリシー、配布の効率化等がある。
  • グループポリシーの設定はグループポリシーオブジェクトに格納する(GPO

GPOの中にはいくつ物ポリシーを入れないのが基本。詰め込むと結果として保守や変更の時ネックになりやすい。

活用例
P2Pソフトの実行を制限して起動させない。USBの使用を認めない等。
  • GPOは、ドメイン、サイト、OUにリンクして使用する。リンクする場所によって、設定が適用される範囲が決定される
  • GPOの適用ルール
    • サイト、ドメイン、OUの順に適用される
    • 競合する場合は、後から適用された設定が優先。基本はGPOは累積される。
ドメイン固有のポリシー

3つのアカウントポリシーはドメインレベル

  • パスワードのポリシー
  • アカウントロックアウトのポリシー
  • Kerberosポリシー

Kerberosのポリシーは変更しないのが推奨されているので注意。


グループポリシーを活用する環境で一番最初にする事は『グループポリシー管理コンソール(GPMC)のインストール』

Windows 2000 ServerかWindows Server 2003のライセンスで使える。


とりあえず上記が大事だと思ってメモって居た部分です。上の物も本当にActive Directoryの基本中の基本になるのでまだまだ掘り下げていくことも出きるらしいのですが、Active Directoryを認識してから初めて受けた本格的なActive Directoryのセミナーだったのでかなり勉強になりました。とりあえずGPO等をチェックしてサーバーを調べてみたりしたいと思います。基本的な部分が大まかにしか解っていなかったので、基本的な部分ばかりのメモになってしまいました。最後まで読んでくださってありがとうございます。