ActiveDirectoryとは?初心者向けにActiveDirectoryの基礎知識を解説
本記事では、ActiveDirectoryにおいて、最初に理解すべき情報を記載していきます。例えば、システム管理者が社内でアカウントや業務用PCを1つ1つ個別に管理することが現実的でないことは容易に想像できると思います。ActiveDirectoryは、あらゆる機能が存在し、アカウントに関するパスワード設定条件やPC機能に関する共通ルールを設ける等、システム管理者の負荷を軽減するのに重要な役割を担います。今回、ActiveDirectoryの各種機能をご紹介いたします。
目次
1.ActiveDirectoryとは
マイクロソフトが提供しているWindows Server OS(例:Windows Server 2019)に搭載されている機能の1つであり、管理するネットワーク上に存在する様々な資源やその利用者の情報や権限などを一元管理することができます。例えば、Windows Client PC(例:Windows10)にデフォルトで搭載されているゲーム機能については、業務において不要であるため、ActiveDirectoryの機能を利用し、全てのPCに対してゲーム機能を無効とするといった管理が可能となります。
2.ActiveDirectoryの各種機能
2-1.ユーザー認証とアクセス制御
会社内の共有フォルダが存在し、その配下に「総務部」、「経理部」、「人事部」というフォルダが存在するとします。当然ですが、「総務部」フォルダ及びその配下のファイルに対して経理部や人事部の方がアクセスされるのは好ましくありません。各部署で管理しているフォルダ及びその配下のファイル権について、ActiveDirectoryのユーザー認証とアクセス制御の機能を使用することで容易に実現することができます。
2-2.アカウント・パスワード管理
会社内で共有するWindows Client PC(例:Windows10)が100台存在するとします。これらのPC1台1台に対して、利用者がアカウントを個別に割り当てると管理における不安要素が大きくなります。ActiveDirectoryでアカウントを発行し、これをWindows Client PCで使用するというルールを設ければ、管理における不安が少なくなります。また、ActiveDirectoryでパスワードの設定要件(文字数、文字種類、1つのパスワードで利用可能な期間)を定めることで、セキュリティが向上します。
2-3.ソフトウェアの設定・管理
Windows Client PC(例:Windows10)において、現在(2022年5月時点)における悩みとして「Internet Explorer 11」サポート切れ(2022/6/16で終了)に対して、各利用者がこのブラウザの利用を止めないという傾向があります。ActiveDirectoryの機能で全PCに対して「Internet Explorer 11」を使用させない等、ソフトウェア利用可否を明示的に設定することが可能です。
2-4.メディア利用の設定・管理
各PCに備え付けのCD/DVDドライブ及び外付けCD/DVDドライブやUSBメモリを使用しPC内のデータを外に持ち出すことは、情報漏洩のリスクにつながることは言うまでもありませんが、PC利用者に使用しないよう、注意喚起を促しても、抑止できないのが現実です。このような場合、ActiveDirectoryの機能で全PCに対してCD/DVDドライブやUSBメモリでのデータ読み書きが行えないようにすることで、情報漏洩リスクを低下させることができます。
3.ActiveDirectoryのメリット
ActiveDirectoryのメリットを以下に記載いたします。
(1) PCやユーザーの管理負担を軽減できる
例として、各PCの「WindowsUpdate」です。Windows Server には「WSUS(Windows Server UpdateServices)」という機能がありますが、ActiveDirectoryで全PCに対してWSUSへ接続し、自動的にWindowsUpdateを実施させることでPC及びユーザーの管理負担を軽減できます。
(2) PC設定やユーザーの権限をカスタマイズできる
例として、グループAのPCは、Office製品のWordのみ利用可能、グループBのPCは、Office製品のExcelのみ利用可能等の権限設定が可能です。ユーザー権限については、一般ユーザーに対しては、各PCで管理者ユーザー権限でのインストールを必要となるソフトウェアがインストールできないよう、管理者権限を付与せず、システム部門の管理者に対しては、管理者権限を付与する形で管理することが可能です。
(3) 複数のPCに対して1つのアカウントでログインできる
ActiveDirectoryで管理しているPC(ドメイン参加しているPC)であり、ActiveDirectoryで作成したアカウントという条件を満たしていれば、どのPCに対しても1つのアカウントでログインすることが可能です。
4.ActiveDirectoryのデメリット
ActiveDirectoryのデメリットを以下に記載いたします。
(1) 適正な設定を行わないとトラブルの元となる
「2-1. ユーザー認証とアクセス制御」で共有フォルダ及びその配下に対するアクセス権設定の説明をしましたが、管理者が設定を誤ることで例えば、「総務部」の共有フォルダに対して総務部担当者がアクセスできず、経理部担当者がアクセスできるということにもなりかねません。設定もさることながら、運用するための設計をきちんと決めておかないと後でトラブルとなるため、注意が必要です。
(2) ActiveDirectory管理者の負担
ActiveDirectoryは、便利な機能が多い反面、複雑な機能も多数あるため、管理者は、それ相応の知識や技術が必要となります。安易に「会社全体のため」、「各ユーザーのため」と判断し、後でActiveDirectory導入が失敗したとならないよう、考慮する必要があります。
(3) コスト
会社やユーザーの規模によりますが、初期導入や導入後の保守・運用でそれなりのコストがかかることは避けられません。条件に応じて、適切なコストとなるよう、導入前の検討を熟慮する必要があります。
(4) ユーザー対応
セキュリティ等を考慮し、ActiveDirectoryでPCやユーザーに対して権限を厳しくするのが一般的です。しかし、ユーザー側してみれば、想像以上に権限が厳しく、クレームが多数あることが予想されます。管理者としてユーザー対応で作業工数が増大することも考慮する必要があります。
5.ActiveDirectory活用時の注意点
ActiveDirectory活用時の注意点を以下に記載いたします。
(1) サポート切れOSの対応
(2022年5月時点)、Windows Client PCでサポートしているOSは「Windows10」及び「Windows8.1」の2種類です。しかし、「Windows8.1」のサポート期限は「2023/1/10」であるため、ActiveDirectory管理者としては、「Windows8.1」の利用を中止するよう、早めにユーザーへ周知し、理解を得たいところですが、ユーザーの業務都合等に伴い、簡単に「Windows8.1」の利用が中止できない可能性があります。
(2) ActiveDirectoryのバージョンアップ
Windows Server OS(例:Windows Server 2019)もサポート期限が存在するため、ActiveDirectoryを使用し続ける以上、いつかは、バージョンアップを実施する必要があります。しかし、ActiveDirectoryは、機能が複雑であるため、バージョンアップ作業も容易ではありません。このことを念頭において、ActiveDirectoryを導入する必要があります。
6.さいごに
今回は、技術的な細かい部分では無く、機能概要としてイメージできるよう、記載したものとなります。本記事でActiveDirectoryの導入、保守・運用における要点を理解できるきっかけができたと思われたのであれば、幸いです。
コメント