active directoryに関する参考資料20...2011/08/02 · active...
TRANSCRIPT
Active Directoryに関する参考資料
1
作成者:株式会社レップワン
作成日:2011/07/06
更新日:2011/07/20
2
1. Active Directoryについて
Active DirectoryとはWindows 2000 Serverからサポートされているドメインの管理形態で、Windowsプラットフォームの認証基盤、セキュリティ基盤、ネットワーク上のリソースを扱うデータストアなどの機能を提供するサービス群のことです。
■Active Directoryとは
■Active Directoryサービス群
Active DirectoryはWindows Server 2008以降、IDとアクセス管理の複雑さを緩和するため、関連する各種機能は「Active Directoryサービス群」として統合し、5つのサービスとして提供されるようになりました。
サービス 説明
①Active Directoryドメインサービス(AD DS)
Active Directoryドメインの基本機能を提供するサービス。ユーザーオブジェクトやコンピューターオブジェクトなどの一括管理・認証を行う。
②Active Directory証明書サービス(AD CS)
証明書の作成や発行、登録などの管理するサービス。
③Active Directoryライトウェイトディレクトリサービス(AD LDS)
アプリケーション向けのディレクトリサービスを提供するサービス。
④Active Directoryフェデレーションサービス(AD FS)
異なる組織間の認証情報を連携してシングルサインオンを提供するサービス
⑤Active Directory Rights
Managementサービス(AD RMS)ドキュメントや電子メールの閲覧・編集・印刷を制限するなど、情報保護を提供するサービス。
・Active Directoryの5つのサービス
3
① Active Directoryドメインサービス
Active Directoryドメインサービス(AD DS)はActive Directoryの基本機能を実行するサービスのことです。AD DSの役割を追加したコンピューターをドメインコントローラといい、ドメインコントローラーにはデータベースが作成され、ユーザーやコンピューターなどのオブジェクト登録情報、共有フォルダやプリンタ情報、システムやアプリケーションの構成情報などが保存されます。ドメインコントローラによってユーザーの認証やオブジェクトの一元管理、セキュリティ設定の一括した定義をすることができます。
■Active Directoryドメインサービスとは
Active Directoryデータベース
・ユーザー情報
・コンピュータ情報
・アプリケーション情報
・共有フォルダ情報
・プリンタ情報
ドメインコントローラ
Active Directoryドメインサービス
ユーザー認証
セキュリティ設定
4
■AD DSの構成要素
●ドメイン
ドメインとはユーザーやコンピューターなどのオブジェクトを登録・管理する範囲のことです。また、オブジェクトの管理方法が複数ある場合に複数ドメインを作成することができます。このとき親ドメインの下に子ドメインを作成し、これを「ドメインツリー」いいます。親子関係のドメインはそれぞれのドメインのリソースを利用できる関係となり、この関係性のことを「信頼関係」とよびます。
ドメインツリー
example.local
osaka.example.local
親ドメイン
子ドメイン
信頼関係
AD DSを構成する要素として頻繁に用いられる用語を以下に説明します。
5
●フォレスト
Active Directoryで管理できる最もおきな単位のことをフォレストといい、フォレストは1つ以上のドメインで構成されます。フォレストには複数のドメインやドメインツリーを含むことができます。フォレストは新規ドメインを構築した時に自動で作成されます。
example.local
osaka.example.local
フォレスト
costoso.local
tokyo.costoso.local
このフォレストには4つのドメインと
2つのドメインツリーを含んでいる
親子ドメインの
ドメインツリー 親子ドメインの
ドメインツリー
6
●サイトサイトはActive Directoryにおける論理的なネットワークの範囲のことで、物理ネットワーク(TCP/IPのIPサブネット)に基づいて構成されます。例えばAD DSで構成された1つのドメイン内に東京本社と大阪支社が所属しており、それぞれドメインコントローラがあるとします。各ドメインコントローラは既定のDefault-First-Site-Nameサイトに所属しており物理的な場所で社内のリソースが区別されることはありません。しかし大阪支社のユーザーがログオンする際に東京のドメインコントローラで認証を受ける場合があり、ネットワークの状態によっては非常に時間が掛かる可能性があります。こういった場合に大阪支社のユーザーを大阪支社のドメインコントローラで優先的に認証させるため、物理ネットワークに合わせて論理的に分割したサイトを構成します。サイトに分割することによって、ディレクトリデータベースのレプリケーショントラフィックの最適化やログオン認証トラフィックの最適化、グループポリシー適用範囲の変更などが可能になります。
Default-First-Site-Nameサイト
東京本社のリソースと大阪支社のリソースに区別はない 物理ネットワークに合わせて東京サイトと大阪サイトを構成
東京サイト
大阪サイト
大阪支社のユーザーが東京本社のドメインコントローラで認証され、ログオンに時
間が掛かる
大阪支社のユーザーは優先的に大阪支社のドメイン
コントローラで認証される
●Active Directoryオブジェクト
Active Directory オブジェクトは、ユーザーやグループ、コンピュータアカウントなど、Active Directoryで管理される情報の最小単位のことです。以下は一番触れる機会の多いActive Directoryオブジェクトです。
・ユーザーアカウント
ユーザーアカウントはユーザーがドメインにログオンするために使用するオブジェクトで、ドメイン内で実行できる権限やアクセスできるリソースなどの情報を含んでいます。
グループアカウントは同じ権限やアクセス許可を与えるユーザーアカウントを1つにまとめるためのオブジェクトです。グループアカウントを使うことによって、1つ1つのユーザーアカウントに権限やアクセス許可を設定する手間を省いたり、権限やアクセス許可の有無をまとめて管理することができます。
コンピュータアカウントはドメイン参加を許可されたコンピュータの登録情報のことです。ユーザーがドメインにログオンするにはドメインのメンバであるコンピュータでログオンする必要があります。
Active Directoryオブジェクトの中にはオブジェクト内部に別のオブジェクトを含むことができるコンテナオブジェクトがあります。OUはコンテナオブジェクトの1つで、ユーザーの所属部署や立場、コンピュータの場所などの管理ポリシーに合わせて作成し、その管理対象となるオブジェクトを配置するためのものです。OUにユーザーアカウントやコンピュータアカウントを配置することによって、それぞれのOUで異なる管理方針での運用が可能となります。
・グループアカウント
・コンピュータアカウント
・ OU(組織単位)
7
8
②Active Directory 証明書サービス
Active Directory証明書サービス(AD CS)は公開キー証明書の発行・登録・管理をするためのサービスを提供します。証明書を利用することで高セキュリティのVPN、ワイヤレスネットワーク、S/MIME(電子メールの暗号化) 、EFS(ファイル暗号化システム)、スマートカードログオンなどを使用することが可能になります。
■Active Directory証明書サービスとは
AD DSAD CS
S/MINE
メール
システム
スマートカードログオン
VPN
無線LAN
社内ネットワーク社外
証明書の発行・管理
9
③Active Directory ライトウェイディレクトリサービス
Active Directoryライトウェイディレクトリサービス(AD LDS)は特定のアプリケーションにディレクトリサービスとデータストアを提供するサービスです。AD LDSはActive Directoryドメインから独立して機能し、AD DSの様にドメインコントローラやDNSは必要せず、ワークグループ環境でも構成することがきます。そのため、ファイアーウォールを超えた社外にあるポータルアプリケーションなどで利用することができます。AD LDSとAD DSを組み合わせて、セキュリティアカウントの一元管理をAD DSに、アプリケーション構成データの管理はAD LDSに分離することでシステムのセキュリティと運用効率を向上することができます。
■Active Directoryライトウェイディレクトリサービスとは
AD DSAD LDS
企業内部のユー
ザーIDのを保持
外部顧客やパートナー企業などのユ
ーザーIDを保持
WEBアプリケーション
社外のアプリケーションに対してディレクトリサービスを
提供する。
WEBアプリケーションはAD
LDSのデータストアを参照し
て認証を行う。
ファイアーウォール
10
④Active Directory フェデレーションサービス
Active Directoryフェデレーションサービス(AD FS)は組織を越えたシングルサインオンを提供するサービスです。それぞれの組織で管理しているユーザーアカウントの認証情報を連携し、交換し合うことで、異なる組織のユーザーを認証することが可能となります。
■Active Directoryフェデレーションサービスとは
AD FS
親会社
AD FS AD DS
子会社
①親会社のWEBアプリケー
ションに接続する。
③ドメインコントローラーから
認証情報を取得
②ユーザーの認
証情報を要求
④ユーザー認
証情報を送信
11
⑤Active Directory Rights Managementサービス
Active Directory Rights Management サービス(AD RMS)はOfficeドキュメントやWEBデータ、電子メールなどを情報漏洩や改ざんから保護するためのサービスです。AD RMSで設定されたアクセス制御はデータ自体に組み込まれます。そのため、データが外部に持ち出されてもアクセス制御が維持されたままとなりデータを保護します。またドキュメントとドキュメントを使用するユーザーの関係を管理し、きめ細かな権限設定を行うことができます。
■Active Directory Rights Managementサービスとは
AD RMS
ドキュメントや電子メール
閲覧・編集可能
閲覧のみ
印刷禁止
転送禁止
社外へ流出
アクセス不可
ドキュメントを保護
12
2. Active Directoryの導入をしていない会社の問題点
・ 管理の問題点
→ PCのセキュリティプログラム更新は社員1人1人が個別に行っているため、セキュリティプログラム更新がされていないPCを経由して情報漏洩や悪意のある侵入を許す可能性があります。
→ PCのアプリケーションの追加や削除は社員が自由にできるので、ウィルス対策ソフトがインストールされていなPCやファイル共有ソフトがインストールされたPCから機密情報が漏洩する可能性がある。
→ PCが複数台あるが、1台1台を設定・管理を行っているため管理コストが掛かる。
→ 社員がPCを好き勝手に使えるのでトラブル対応が大変である。
→ PCや社内システムにアカウントが乱立して管理者が把握しきれない。
・ セキュリティの問題点
Active Directoryを導入すると上記の様な問題を一括して解決できます。
13
①アカウントの一元管理
3. Active Directory導入のメリット
Active Directoryを導入し、ユーザーや社内リソースをActive Directoryのドメイン配下に集約することでアカウントの一元管理を行うことができます。
②クライアントコンピューターの均一化
Active Directoryを導入し、クライントコンピューターを集中管理することによって、1台1台のコンピューターに対して個別の設定作業やトラブル対応が不要となり、管理コストの削減が可能になります。
③セキュリティ向上と情報漏洩対策
インストールされているアプリケーションやアンチウィルスソフト、USBメモリやCD/DVDメディアの使用許可などを状況に応じて正確に管理・把握することができます。
④シングルサインオンによる業務の効率化
社内にある複数のシステム(会計・経理システム、顧客管理システム、人事管理システム、グループウェアなど)に独自アカウントで個別にログオンしている場合の非効率性を改善し、ユーザーは1アカウントで全てのシステムへのログオンが可能となります。
14
4. Active Directoryでできること■アカウントの一元管理とシングルサインオン
ユーザーアカウントをまとめて管理し、社内システムと連携してのシングルサインオンが可能になります。
顧客管理システム 勤怠システム グループウェア
顧客管理システム 勤怠システム グループウェア
ユーザーID1
パスワード1ユーザーID2
パスワード2
ユーザーID
パスワード
ユーザーID3
パスワード3 Active Directory
今までの社内システム AD導入後
システム毎に個別
のユーザーIDとパスワードの認証が
必要で面倒だ
1つのユーザーIDとパスワードで全てのシステムのログオンできるので便利にな
った
15
■ユーザーごとのアクセス権限管理
部門や役職、または個人に紐づいたアクセス権の設定をすることができます。
営業部フォルダには営業部全員がアクセスできるが他部署の社
員はアクセスできない
<ファイルサーバー>
管理職フォルダには管理職はアクセスできるが一般社員はアクセ
スできない
派遣社員
<総務部><営業部>
部長
<総務部フォルダ><営業部フォルダ>
<管理職フォルダ>
総務部フォルダには総務部の社員はアクセスできるが派遣社員
はアクセスできない
総務部社員営業部社員
16
■クライアントコンピューターの制御
クライアントコンピューターの設定を一括で設定して均一化できます。また、PCごとにスタートメニューの項目やデスクトップの設定などを細かく制御することができます。
【設定例】
■利用可能アプリケーションの制限
・Office関連ソフト → ○
・インターネットブラウザ → ○
・コマンドプロンプト → ×
・新規アプリケーションの追加 → ×
・インストール済みアプリケーションの削除 → ×
■PCの機能制御
・デスクトップに業務アプリケーションのショートカットを表示
・コントロールパネルの「プログラムと機能」へのアクセス禁止
・スタートメニューからシステムツールを非表示
・10分間操作がないとPCを自動でロック
・USBメモリの使用を禁止
・インターネットブラウザを起動するとはじめに自社WEBサイトが開く
・レジストリ・エディタの使用禁止
社員AさんのPC
【設定例】
■利用可能アプリケーションの制限
・Office関連ソフト → ○
・インターネットブラウザ → ○
・コマンドプロンプト → ○
・新規アプリケーションの追加 → ○
■PCの機能制御
・USBメモリの使用時は自動で暗号化
・10分間操作がないとPCを自動でロック
・インターネットブラウザを起動するとはじめに自社WEBサイトが開く
・レジストリ・エディタの使用禁止
社員が使うPCの基
本設定。業務に必要な機能のみに制限するし、不要なアプリケーシ
ョンは使えない。
開発者BさんのPC
特殊な業務に就く
社員のPC。開発ツールなどを自由にインストールできるが一定のセキュリティは確保す
る。
17
■ユーザー毎PC環境をログオン時に適応
移動プロファイルやフォルダリダイレクト機能を使えば、どのPCでログオンしても各ユーザーごとのデスクトップ環境が適応されます。
PCは変わったのにデスクトップやマイドキュメントは
今までと同じだ
地方拠点に出張中
のCさん
<BさんのPC環境>
人事異動でPCが変
わったBさん
シフト勤務で使うPC
が毎回違うAさん
どのPCがでログオンしても同じ環境で仕事
ができます
<AさんのPC環境>
社内ファイルサーバー
ログオン毎に社内ネットワークのファイルサーバーに保存された個人の
設定を適応する
Active Directory
拠点間VPN
出張先でも本社で使って
いる自分PCと同じ環境で
仕事ができます。
本社ネットワーク 拠点ネットワーク
<CさんのPC環境>
18
■セキュリティ更新プログラム配布
Active Directory と Windows Server Update Services (WSUS)を利用することで、クライアントコンピューターに複数バージョンの OS やアプリケーションが混在する環境に対し、最適なセキュリティ更新プログラムの配布や更新プログラム適用状況レポートが可能になります。
新しいセキュリティプログラムの更新を適
応して下さい。
Active
Directory
OSやアプリケーションごとに最適な更新プログラムが適応されるのでセキュリ
ティリスクが大幅に減った
システム管理者
社内に通達
わかりました わかりました
面倒なので今度やろう
セキュリティプログラムの更
新がされなかったPCから不正アクセスの対象になったり情報漏洩を引き金になる可
能性が!
社内にセキュリティプログラムの更新依頼を通知する必要がな
くなった
システム管理者
WSUS
OSがWindows XP のPC OSがWindows 7 のPC
各ユーザーが手動でセキュリティプログラムを更新 ADとWSUS導入後は管理者が更新プログラムを一括管理
19
5. Active DirectoryのWindows Server 2008/2008R2への移行■ 最新のWindows Server 2008/2008R2へ移行するメリット
Windows Server 2008/2008R2より追加された新機能により、大幅な運用の改善と管理性能の向上が可能となります。
① 読み取り専用ドメインコントローラ(RODC)を利用することで管理者不在の拠点でも安全な管理を行うことが可能になります。
② きめ細かなパスワードポリシーを利用することで、1つのドメイン内でも複数のパスワードポリシーを定義す ることができます。
③ 今まで9個だった監査ポリシーが53個に増えたことによって、詳細な監査が可能になります。
④ OSを停止させずにドメインサービスのみの停止・再起動が行えるようになり、容易なメンテナイスが可能となります。
⑤ PowerShellのActive Directoryモジュールによって管理作業の自動化を行うことができます。(2008R2からの機能)
⑥ GUI管理ツール「Active Directory管理センター」によって管理性の向上が可能です。(2008R2からの機能)
⑦ Active Directoryのごみ箱を利用することで削除してしまったオブジェクトを容易に復活させることができます。(2008R2からの機能)
20
①読み取り専用ドメインコントローラ(RODC)
読み取り専用ドメインコントローラ(RODC)は、管理者が不在の支店や地方拠点などで役に立つ機能です。物理的に離れたネットワークにある拠点でユーザーがログオンする際に本社のドメインコントローラで認証していると、WANやVPN経由ではログオンに時間がかかり、ネットワークにも負荷を与えます。このような場合はサイトを構成して、拠点にドメインコントローラを設置することになります。しかし管理スキルのある社員が不在である拠点や、セキュリティに不安がある拠点に書き込み可能なドメインコントローラを設置することはリスクになります。RODCではドメインレベルの管理権限を与えずに限定された権限のみで運用ができ、他のドメインコントローラとのレプリケーションは一方通行であるため拠点での誤った変更が全社に複製されることもなく、リスクを回避することが可能になります。
拠点サイト
DC
本社サイト
RODC
一方通行の複製により、拠点での変更を全社に伝搬させない。また、・複製に
よるネットワークの負荷を軽減する。
DC
パスワードキャッシュによってログオンを高速化。パスワードキャッシュを拠点サイトのみに制限して、情報漏洩時の被害を
最小限に抑制する。
管理者にドメインの管理権限を与える必要はなく、新規オブジェクト作成が不可であったりと、機能も制限されているため管
理者不在の拠点に適している。
21
②きめ細かなパスワードポリシー
Windows Server 2003以前のActive Directoryでは、パスワード設定とアカウントロックの設定はドメインに1
つしか設定できませんでした。Windows Server 2008以降はパスワード設定の機能が強化され、1つのドメイン内で複数のパスワード設定とアカウントロック設定が可能になりました。これらの設定は個別のユーザーか、セキュリティグループに適応する事ができます。
③強化された監査ポリシー
Windows Server 2003以前は「アカウントログオンイベントの監査」など、9 個のセキュリティ監査イベントがありました。Windows Server 2008では、監査可能イベントの数が 9 個から 53 個に増え、更に細かく監査が可能になりました。ただし、以前からあった9個の監査イベントはグループ ポリシーとして適応可能ですが、新規追加された監査イベントに関してはAuditpol.exe コマンドライン ツールを使用する必要があります。Windows Server 2008R2では53個のすべての監査イベントがグループポリシーで適応可能となりました。強化された監査ポリシーを利用することで、
•「誰が」アクセスしているのか•「どのリソースに」アクセスしているか•「どこから」アクセスしているのか•「いつ」アクセスしたのか•「どのような方法で」アクセスしたか
などを、管理者が把握することが出来ます。
22
④再起動可能なActive Directoryドメインサービス
Windows Server 2008ではAD DSがWindowsサービスとして動作するようになったため、停止や再起動が可能になりました。これにより、AD DSを停止してドメインコントローラに関するセキュリティ更新プログラムをインストールしたり、サーバーを再起動することなくActive Directoryデータベースの最適化をオフラインで実行可能になります。
⑤ PowerShellのActive Directoryモジュール
Windows Server 2008 R2の新機能として、Active Directory専用のPowerShellモジュールが実装されました。この機能によってPowerShellスクリプトによるActive Directory管理作業の自動化をより簡単に行うことが可能になります。
⑥管理ツール「Active Directory管理センター」
Windows Server 2008 R2ではGUI管理ツールとしてActive Directory管理センターが新機能として追加されました。 Active Directory管理センターを利用すればユーザーアカウント管理やセキュリティグループ管理など、最低限の運用管理タスクを複雑なオペレーションなしに直感的に実行するこが出来ます。また、強力な検索機能も備えており、今まで特定の条件のユーザーをVBスクリプトで抽出する、といったタスクもGUIで簡単に行えるようになります。
23
⑦ Active Directory Recycle Bin(ごみ箱)機能
これまでADのオブジェクトを誤って削除してしまった場合、ディレクトリ復元モードや専用のバックアップソフト、 Deleted Objects コンテナなどから復旧する必要がありました。ただ、これらの方法で復旧した場合、復旧作業に時間がかかったり、その間ドメインコントローラを停止する必要があったり、復旧後にオブジェクトの属性値が削除されているため再設定が必要であったりと非常に手間がかかる作業でした。しかし、Windows Server 2008R2で追加されたActive Directory Recycle Bin(ごみ箱)機能を利用すれば、ドメインコントローラを停止することなく、全ての属性値を正常に復旧することが可能になります。
アカウントが有効な状態
・ユーザーID
・SID
・氏名
・部署名
・所属グループ
・メールアドレス
・ホームディレクトリ
移動
●ユーザーアカウントを削除した場合の動作例
・ユーザーID
・SID
・氏名
・部署名
・所属グループ
・メールアドレス
・ホームディレクトリ
ADのごみ箱
一定期間内(既定では180日)で
あれば属性値を含めて復旧可能
Tombstone
・ユーザーID
・SID
一定期間内(既定では
180日)を過ぎると属性値
が削除されて保管される
削除されると
ごみ箱へ移動
消滅
一定期間内(既定では
180日)を過ぎると完全に
削除される
注:削除してしまったオブジェクトを同じ名前でつくり直しても、ADのオブジェクトはSID
(セキュリティ識別子)で管理されているため、別のオブジェクトとして認識されます。
移動
24
項番 ドメインの機能レベル 有効になる機能 サポートするOS
1 Windows 2000
既定の Active Directory の機能すべて• ユニバーサルグループ、グループの定義、グループの種類の変換、SID(セキュリテ識別子)の履歴
Windows 2000
Windows Server 2003
Windows Server 2008
Windows Server 2008R2
2 Windows Server 2003
項番1の機能と以下の機能• ドメイン管理ツール(Netdom.exe)• ログオンタイムスタンプの更新とレプリケート• 承認マネージャーの承認ポリシーの Active Directory ドメイン サービス (AD DS) への格納• 制約付き委任• 認証の選択のサポート
Windows Server 2003
Windows Server 2008
Windows Server 2008R2
3 Windows Server 2008
項番1,2の機能と以下の機能• SYSVOL のDFS-Rによるレプリケーション• KerberosのAES128ビットとAES256ビット暗号化• 対話型の最終ログオン情報の記録• きめ細かな設定が可能なパスワードポリシー
Windows Server 2008
Windows Server 2008R2
4 Windows Server 2008R2
項番1,2,3の機能と以下の機能• 認証メカニズム保証• SPN(サービスプリンシパル名)の自動管理
Windows Server 2008R2
○機能レベルについて機能レベルにはフォレストの機能レベルとドメインの機能レベルという2種類があり、WindowsサーバOSごとの機能レベルによって利用可能な機能に違いがあります。新しいWindowsサーバOSでは新しい機能レベルがサポートされますが、古いOSのドメインコントローラが存在する場合はドメインやフォレスト全体で古いOSのドメインコントローラに合わせた機能レベルを選択する必要があります。
■OSごとのActive Directoryドメイン/フォレストの機能レベル比較
25
項番 フォレストの機能レベル 有効になる機能 サポートするOS
1 Windows 2000 既定の Active Directory の機能すべて
Windows 2000
Windows Server 2003
Windows Server 2008
Windows Server 2008R2
2 Windows Server 2003
項番1の機能と以下の機能• フォレスト間の信頼• ドメイン名の変更• リンクされた値のレプリケーション• Windows Server 2008 を実行する読み取り専用ドメイン コントローラ(RODC)の展開•KCC(知識整合性チェッカー ) の強化されたゕルゴリズム• 強化された ISTG アルゴリズム• 動的な補助型クラス(dynamicObject)• inetOrgPerson オブジェクト インスタンスの User オブジェクト インスタンスへの変換• 新しい種類のグループのインスタンスを作成する機能•スキーマの属性およびクラスの非アクティブ化と再定義
Windows Server 2003
Windows Server 2008
Windows Server 2008R2
3 Windows Server 2008
項番1,2の機能と同様。ただしこのフォレストに今後追加されるドメインはすべて、既定で Windows Server 2008 ドメインの機能レベルで動作する
Windows Server 2008
Windows Server 2008R2
4 Windows Server 2008R2
項番1,2,3の機能と以下の機能• Active Directory のごみ箱このフォレストに今後追加されるドメインはすべて、既定でWindows Server 2008 R2 ドメインの機能レベルで動作する
Windows Server 2008R2