Active Directoryに関する参考資料
作成者:株式会社レップワン 作成日:2011/07/06 更新日:2011/07/20
2
1. Active Directoryについて
Active DirectoryとはWindows 2000 Serverからサポートされているドメインの管理形態で、Windowsプラッ トフォームの認証基盤、セキュリティ基盤、ネットワーク上のリソースを扱うデータストアなどの機能を提供 するサービス群のことです。
■Active Directoryとは
■Active Directoryサービス群
Active DirectoryはWindows Server 2008以降、IDとアクセス管理の複雑さを緩和するため、関連する各種機 能は「Active Directoryサービス群」として統合し、5つのサービスとして提供されるようになりました。
サービス 説明
①Active Directoryドメインサービス
(AD DS) Active Directoryドメインの基本機能を提供するサービス。ユーザーオブジェクトやコンピューターオブジェクトなどの一括管理・認証を行う。 ②Active Directory証明書サービス (AD CS) 証明書の作成や発行、登録などの管理するサービス。 ③Active Directoryライトウェイトディ レクトリサービス(AD LDS) アプリケーション向けのディレクトリサービスを提供するサービス。 ④Active Directoryフェデレーション サービス(AD FS) 異なる組織間の認証情報を連携してシングルサインオンを提供するサービス ⑤Active Directory Rights
Managementサービス(AD RMS)
ドキュメントや電子メールの閲覧・編集・印刷を制限するなど、情報保護を提供する サービス。
①
Active Directoryドメインサービス
Active Directoryドメインサービス(AD DS)はActive Directoryの基本機能を実行するサービスのことです。 AD DSの役割を追加したコンピューターをドメインコントローラといい、ドメインコントローラーにはデー タベースが作成され、ユーザーやコンピューターなどのオブジェクト登録情報、共有フォルダやプリンタ情 報、システムやアプリケーションの構成情報などが保存されます。ドメインコントローラによってユーザー の認証やオブジェクトの一元管理、セキュリティ設定の一括した定義をすることができます。
■Active Directoryドメインサービスとは
Active Directoryデータベース ・ユーザー情報 ・コンピュータ情報 ・アプリケーション情報 ・共有フォルダ情報 ・プリンタ情報 ドメインコントローラ ユーザー認証 セキュリティ設定4
■AD DSの構成要素
●ドメイン
ドメインとはユーザーやコンピューターなどのオブジェクトを登録・管理する範囲のことです。 また、オブジェクトの管理方法が複数ある場合に複数ドメインを作成することができます。このとき親ドメインの下 に子ドメインを作成し、これを「ドメインツリー」いいます。親子関係のドメインはそれぞれのドメインのリソース を利用できる関係となり、この関係性のことを「信頼関係」とよびます。 ドメインツリー example.local osaka.example.local 親ドメイン 子ドメイン 信頼関係 AD DSを構成する要素として頻繁に用いられる用語を以下に説明します。●フォレスト
Active Directoryで管理できる最もおきな単位のことをフォレストといい、フォレストは1つ以上のドメインで構成さ れます。フォレストには複数のドメインやドメインツリーを含むことができます。 フォレストは新規ドメインを構築した時に自動で作成されます。 example.local osaka.example.local フォレスト costoso.local tokyo.costoso.local このフォレストには4つのドメインと 2つのドメインツリーを含んでいる 親子ドメインの ドメインツリー 親子ドメインの ドメインツリー6
●サイト
サイトはActive Directoryにおける論理的なネットワークの範囲のことで、物理ネットワーク(TCP/IPのIPサブネッ ト)に基づいて構成されます。 例えばAD DSで構成された1つのドメイン内に東京本社と大阪支社が所属しており、それぞれドメインコントローラ があるとします。各ドメインコントローラは既定のDefault-First-Site-Nameサイトに所属しており物理的な場所で 社内のリソースが区別されることはありません。しかし大阪支社のユーザーがログオンする際に東京のドメインコン トローラで認証を受ける場合があり、ネットワークの状態によっては非常に時間が掛かる可能性があります。 こういった場合に大阪支社のユーザーを大阪支社のドメインコントローラで優先的に認証させるため、物理ネット ワークに合わせて論理的に分割したサイトを構成します。 サイトに分割することによって、ディレクトリデータベースのレプリケーショントラフィックの最適化やログオン認 証トラフィックの最適化、グループポリシー適用範囲の変更などが可能になります。 Default-First-Site-Nameサイト 東京本社のリソースと大阪支社のリソースに区別はない 物理ネットワークに合わせて東京サイトと大阪サイトを構成 東京サイト 大阪サイト 大阪支社のユーザーが東 京本社のドメインコントロー ラで認証され、ログオンに時 間が掛かる 大阪支社のユーザーは優 先的に大阪支社のドメイン コントローラで認証される●Active Directoryオブジェクト
Active Directory オブジェクトは、ユーザーやグループ、コンピュータアカウントなど、Active Directoryで管理さ れる情報の最小単位のことです。以下は一番触れる機会の多いActive Directoryオブジェクトです。 ・ユーザーアカウント ユーザーアカウントはユーザーがドメインにログオンするために使用するオブジェクトで、ドメイン内で実行でき る権限やアクセスできるリソースなどの情報を含んでいます。 グループアカウントは同じ権限やアクセス許可を与えるユーザーアカウントを1つにまとめるためのオブジェクト です。グループアカウントを使うことによって、1つ1つのユーザーアカウントに権限やアクセス許可を設定する手 間を省いたり、権限やアクセス許可の有無をまとめて管理することができます。 コンピュータアカウントはドメイン参加を許可されたコンピュータの登録情報のことです。ユーザーがドメインに ログオンするにはドメインのメンバであるコンピュータでログオンする必要があります。 Active Directoryオブジェクトの中にはオブジェクト内部に別のオブジェクトを含むことができるコンテナオブ ジェクトがあります。OUはコンテナオブジェクトの1つで、ユーザーの所属部署や立場、コンピュータの場所など の管理ポリシーに合わせて作成し、その管理対象となるオブジェクトを配置するためのものです。 OUにユーザーアカウントやコンピュータアカウントを配置することによって、それぞれのOUで異なる管理方針で の運用が可能となります。 ・グループアカウント ・コンピュータアカウント ・ OU(組織単位)
8
②
Active Directory 証明書サービス
Active Directory証明書サービス(AD CS)は公開キー証明書の発行・登録・管理をするためのサービスを提供 します。 証明書を利用することで高セキュリティのVPN、ワイヤレスネットワーク、S/MIME(電子メールの暗号 化) 、EFS(ファイル暗号化システム)、スマートカードログオンなどを使用することが可能になります。■Active Directory証明書サービスとは
AD DS AD CS S/MINE メール システム スマートカードログオン VPN 無線LAN 社内ネットワーク 社外 証明書の発行・管理③
Active Directory ライトウェイディレクトリサービス
Active Directoryライトウェイディレクトリサービス(AD LDS)は特定のアプリケーションにディレクト リサービスとデータストアを提供するサービスです。 AD LDSはActive Directoryドメインから独立して機能し、AD DSの様にドメインコントローラやDNSは必 要せず、ワークグループ環境でも構成することがきます。そのため、ファイアーウォールを超えた社外にあ るポータルアプリケーションなどで利用することができます。 AD LDSとAD DSを組み合わせて、セキュリティアカウントの一元管理をAD DSに、アプリケーション構成 データの管理はAD LDSに分離することでシステムのセキュリティと運用効率を向上することができます。■Active Directoryライトウェイディレクトリサービスとは
AD DS AD LDS 企業内部のユー ザーIDのを保持 外部顧客やパート ナー企業などのユ ーザーIDを保持 WEBアプリケーション 社外のアプリケーションに対 してディレクトリサービスを 提供する。 WEBアプリケーションはAD LDSのデータストアを参照し て認証を行う。 ファイアーウォール10
④
Active Directory フェデレーションサービス
Active Directoryフェデレーションサービス(AD FS)は組織を越えたシングルサインオンを提供するサー ビスです。それぞれの組織で管理しているユーザーアカウントの認証情報を連携し、交換し合うことで、異 なる組織のユーザーを認証することが可能となります。■Active Directoryフェデレーションサービスとは
AD FS 親会社 AD FS AD DS 子会社 ①親会社のWEBアプリケー ションに接続する。 ③ドメインコントローラーから 認証情報を取得 ②ユーザーの認 証情報を要求 ④ユーザー認 証情報を送信⑤
Active Directory Rights Managementサービス
Active Directory Rights Management サービス(AD RMS)はOfficeドキュメントやWEBデータ、電子 メールなどを情報漏洩や改ざんから保護するためのサービスです。
AD RMSで設定されたアクセス制御はデータ自体に組み込まれます。そのため、データが外部に持ち出され てもアクセス制御が維持されたままとなりデータを保護します。
またドキュメントとドキュメントを使用するユーザーの関係を管理し、きめ細かな権限設定を行うことがで きます。
■Active Directory Rights Managementサービスとは
AD RMS ドキュメントや電子メール 閲覧・編集可能 閲覧のみ 印刷禁止 転送禁止 社外へ流出 アクセス不可 ドキュメントを保護
12
2. Active Directoryの導入をしていない会社の問題点
・ 管理の問題点
→ PCのセキュリティプログラム更新は社員1人1人が個別に行っているため、セキュリティプログラム更新が されていないPCを経由して情報漏洩や悪意のある侵入を許す可能性があります。 → PCのアプリケーションの追加や削除は社員が自由にできるので、ウィルス対策ソフトがインストールされ ていなPCやファイル共有ソフトがインストールされたPCから機密情報が漏洩する可能性がある。 → PCが複数台あるが、1台1台を設定・管理を行っているため管理コストが掛かる。 → 社員がPCを好き勝手に使えるのでトラブル対応が大変である。 → PCや社内システムにアカウントが乱立して管理者が把握しきれない。・ セキュリティの問題点
Active Directoryを導入すると上記の様な問題を一括して解決できます。
①アカウントの一元管理
3. Active Directory導入のメリット
Active Directoryを導入し、ユーザーや社内リソースをActive Directoryのドメイン配下に集約することでアカウ ントの一元管理を行うことができます。
②クライアントコンピューターの均一化
Active Directoryを導入し、クライントコンピューターを集中管理することによって、1台1台のコンピューター に対して個別の設定作業やトラブル対応が不要となり、管理コストの削減が可能になります。③セキュリティ向上と情報漏洩対策
インストールされているアプリケーションやアンチウィルスソフト、USBメモリやCD/DVDメディアの使用許 可などを状況に応じて正確に管理・把握することができます。④シングルサインオンによる業務の効率化
社内にある複数のシステム(会計・経理システム 、顧客管理システム、人事管理システム、グループウェアな ど)に独自アカウントで個別にログオンしている場合の非効率性を改善し、ユーザーは1アカウントで全てのシ ステムへのログオンが可能となります。14
4. Active Directoryでできること
■アカウントの一元管理とシングルサインオン
ユーザーアカウントをまとめて管理し、社内システムと連携してのシングルサインオンが可能になります。 顧客管理システム 勤怠システム グループウェア 顧客管理システム 勤怠システム グループウェア ユーザーID1 パスワード1 ユーザーID2 パスワード2 ユーザーID パスワード ユーザーID3 パスワード3 Active Directory 今までの社内システム AD導入後 システム毎に個別 のユーザーIDとパ スワードの認証が 必要で面倒だ 1つのユーザーIDと パスワードで全ての システムのログオン できるので便利にな った■ユーザーごとのアクセス権限管理
部門や役職、または個人に紐づいたアクセス権の設定をすることができます。 営業部フォルダには営業部全員 がアクセスできるが他部署の社 員はアクセスできない <ファイルサーバー> 管理職フォルダには管理職はア クセスできるが一般社員はアクセ スできない 派遣社員 部長 <総務部フォルダ> <営業部フォルダ> <管理職フォルダ> 総務部フォルダには総務部の社 員はアクセスできるが派遣社員 はアクセスできない 総務部社員 営業部社員16
■クライアントコンピューターの制御
クライアントコンピューターの設定を一括で設定して均一化できます。また、PCごとにスタートメニューの項 目やデスクトップの設定などを細かく制御することができます。 【設定例】 ■利用可能アプリケーションの制限 ・Office関連ソフト → ○ ・インターネットブラウザ → ○ ・コマンドプロンプト → × ・新規アプリケーションの追加 → × ・インストール済みアプリケーションの削除 → × ■PCの機能制御 ・デスクトップに業務アプリケーションのショートカットを表示 ・コントロールパネルの「プログラムと機能」へのアクセス禁止 ・スタートメニューからシステムツールを非表示 ・10分間操作がないとPCを自動でロック ・USBメモリの使用を禁止 ・インターネットブラウザを起動するとはじめに自社WEBサイトが開く ・レジストリ・エディタの使用禁止 社員AさんのPC 【設定例】 ■利用可能アプリケーションの制限 ・Office関連ソフト → ○ ・インターネットブラウザ → ○ ・コマンドプロンプト → ○ ・新規アプリケーションの追加 → ○ ■PCの機能制御 ・USBメモリの使用時は自動で暗号化 ・10分間操作がないとPCを自動でロック ・インターネットブラウザを起動するとはじめに自社WEBサイトが開く ・レジストリ・エディタの使用禁止 社員が使うPCの基 本設定。 業務に必要な機能 のみに制限するし、 不要なアプリケーシ ョンは使えない。 開発者BさんのPC 特殊な業務に就く 社員のPC。 開発ツールなどを 自由にインストール できるが一定のセ キュリティは確保す る。■ユーザー毎PC環境をログオン時に適応
移動プロファイルやフォルダリダイレクト機能を使えば、どのPCでログオンしても各ユーザーごとのデスク トップ環境が適応されます。 PCは変わったのにデスク トップやマイドキュメントは 今までと同じだ 地方拠点に出張中 のCさん <BさんのPC環境> 人事異動でPCが変 わったBさん シフト勤務で使うPC が毎回違うAさん どのPCがでログオン しても同じ環境で仕事 ができます <AさんのPC環境> ログオン毎に社内ネット ワークのファイルサーバ ーに保存された個人の 設定を適応する 拠点間VPN 出張先でも本社で使って いる自分PCと同じ環境で 仕事ができます。 本社ネットワーク 拠点ネットワーク <CさんのPC環境>18
■セキュリティ更新プログラム配布
Active Directory と Windows Server Update Services (WSUS)を利用することで、クライアント コンピュー ターに複数バージョンのOS やアプリケーションが混在する環境に対し、最適なセキュリティ更新プログラムの 配布や更新プログラム適用状況レポートが可能になります。 新しいセキュリティプ ログラムの更新を適 応して下さい。 Active Directory OSやアプリケーションごと に最適な更新プログラム が適応されるのでセキュリ ティリスクが大幅に減った システム管理者 社内に通達 わかりました わかりました 面倒なので今度やろう セキュリティプログラムの更 新がされなかったPCから不 正アクセスの対象になったり 情報漏洩を引き金になる可 能性が! 社内にセキュリティプ ログラムの更新依頼 を通知する必要がな くなった システム管理者 WSUS OSがWindows XP のPC OSがWindows 7 のPC 各ユーザーが手動でセキュリティプログラムを更新 ADとWSUS導入後は管理者が更新プログラムを一括管理
5. Active DirectoryのWindows Server 2008/2008R2への移行
■ 最新のWindows Server 2008/2008R2へ移行するメリット
Windows Server 2008/2008R2より追加された新機能により、大幅な運用の改善と管理性能の
向上が可能となります。
① 読み取り専用ドメインコントローラ(RODC)を利用することで管理者不在の拠点でも安全な管理を行う ことが可能になります。 ② きめ細かなパスワードポリシーを利用することで、1つのドメイン内でも複数のパスワードポリシーを定義 す ることができます。 ③ 今まで9個だった監査ポリシーが53個に増えたことによって、詳細な監査が可能になります。 ④ OSを停止させずにドメインサービスのみの停止・再起動が行えるようになり、容易なメンテナイスが可能 となります。 ⑤ PowerShellのActive Directoryモジュールによって管理作業の自動化を行うことができます。(2008R2か らの機能) ⑥ GUI管理ツール「Active Directory管理センター」によって管理性の向上が可能です。(2008R2からの機 能) ⑦ Active Directoryのごみ箱を利用することで削除してしまったオブジェクトを容易に復活させることができ20
①読み取り専用ドメインコントローラ(RODC)
読み取り専用ドメインコントローラ(RODC)は、管理者が不在の支店や地方拠点などで役に立つ機能です。 物理的に離れたネットワークにある拠点でユーザーがログオンする際に本社のドメインコントローラで認証し ていると、WANやVPN経由ではログオンに時間がかかり、ネットワークにも負荷を与えます。 このような場合はサイトを構成して、拠点にドメインコントローラを設置することになります。 しかし管理スキルのある社員が不在である拠点や、セキュリティに不安がある拠点に書き込み可能なドメイン コントローラを設置することはリスクになります。 RODCではドメインレベルの管理権限を与えずに限定された権限のみで運用ができ、他のドメインコントロー ラとのレプリケーションは一方通行であるため拠点での誤った変更が全社に複製されることもなく、リスクを 回避することが可能になります。 拠点サイト DC 本社サイト RODC 一方通行の複製により、拠点での変更 を全社に伝搬させない。また、・複製に よるネットワークの負荷を軽減する。 DC パスワードキャッシュによってログオンを 高速化。パスワードキャッシュを拠点サイ トのみに制限して、情報漏洩時の被害を 最小限に抑制する。 管理者にドメインの管理権限を与える必 要はなく、新規オブジェクト作成が不可で あったりと、機能も制限されているため管 理者不在の拠点に適している。②きめ細かなパスワードポリシー
Windows Server 2003以前のActive Directoryでは、パスワード設定とアカウントロックの設定はドメインに1 つしか設定できませんでした。 Windows Server 2008以降はパスワード設定の機能が強化され、1つのドメイン内で複数のパスワード設定とア カウントロック設定が可能になりました。これらの設定は個別のユーザーか、セキュリティグループに適応す る事ができます。
③強化された監査ポリシー
Windows Server 2003以前は「アカウントログオンイベントの監査」など、9 個のセキュリティ監査イベント がありました。Windows Server 2008では、監査可能イベントの数が 9 個から 53 個に増え、更に細かく監査 が可能になりました。ただし、以前からあった9個の監査イベントはグループ ポリシーとして適応可能ですが、 新規追加された監査イベントに関してはAuditpol.exe コマンド ライン ツールを使用する必要があります。 Windows Server 2008R2では53個のすべての監査イベントがグループ ポリシーで適応可能となりました。 強化された監査ポリシーを利用することで、 •「誰が」アクセスしているのか •「どのリソースに」アクセスしているか •「どこから」アクセスしているのか •「いつ」アクセスしたのか •「どのような方法で」アクセスしたか などを、管理者が把握することが出来ます。22
④再起動可能なActive Directoryドメインサービス
Windows Server 2008ではAD DSがWindowsサービスとして動作するようになったため、停止や再起動が可能 になりました。これにより、AD DSを停止してドメインコントローラに関するセキュリティ更新プログラムを インストールしたり、サーバーを再起動することなくActive Directoryデータベースの最適化をオフラインで実 行可能になります。
⑤
PowerShellのActive Directoryモジュール
Windows Server 2008 R2の新機能として、Active Directory専用のPowerShellモジュールが実装されました。 この機能によってPowerShellスクリプトによるActive Directory管理作業の自動化をより簡単に行うことが可 能になります。
⑥管理ツール「Active Directory管理センター」
Windows Server 2008 R2ではGUI管理ツールとしてActive Directory管理センターが新機能として追加されま した。Active Directory管理センターを利用すればユーザーアカウント管理やセキュリティグループ管理など、 最低限の運用管理タスクを複雑なオペレーションなしに直感的に実行するこが出来ます。
また、強力な検索機能も備えており、今まで特定の条件のユーザーをVBスクリプトで抽出する、といったタス クもGUIで簡単に行えるようになります。
⑦
Active Directory Recycle Bin(ごみ箱)機能
これまでADのオブジェクトを誤って削除してしまった場合、ディレクトリ復元モードや専用のバックアップソ フト、Deleted Objects コンテナなどから復旧する必要がありました。ただ、これらの方法で復旧した場合、 復旧作業に時間がかかったり、その間ドメインコントローラを停止する必要があったり、復旧後にオブジェク トの属性値が削除されているため再設定が必要であったりと非常に手間がかかる作業でした。
しかし、Windows Server 2008R2で追加されたActive Directory Recycle Bin(ごみ箱)機能を利用すれば、ド メインコントローラを停止することなく、全ての属性値を正常に復旧することが可能になります。 アカウントが有効な状態 ・ユーザーID ・SID ・氏名 ・部署名 ・所属グループ ・メールアドレス ・ホームディレクトリ 移動 ●ユーザーアカウントを削除した場合の動作例 ・ユーザーID ・SID ・氏名 ・部署名 ・所属グループ ・メールアドレス ・ホームディレクトリ ADのごみ箱 Tombstone ・ユーザーID ・SID 一定期間内(既定では 180日)を過ぎると属性値 が削除されて保管される 削除されると ごみ箱へ移動 消滅 一定期間内(既定では 180日)を過ぎると完全に 削除される 移動
24
項番 ドメインの機能レベル 有効になる機能 サポートするOS 1 Windows 2000 既定のActive Directory の機能すべて • ユニバーサルグループ、グループの定義、グループの種類の 変換、SID(セキュリテ識別子)の履歴 Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008R2 2 Windows Server 2003 項番1の機能と以下の機能 • ドメイン管理ツール(Netdom.exe) • ログオンタイムスタンプの更新とレプリケート • 承認マネージャーの承認ポリシーの Active Directory ドメイ ン サービス(AD DS) への格納 • 制約付き委任 • 認証の選択のサポート Windows Server 2003 Windows Server 2008 Windows Server 2008R2 3 Windows Server 2008 項番1,2の機能と以下の機能 • SYSVOL のDFS-Rによるレプリケーション • KerberosのAES128ビットとAES256ビット暗号化 • 対話型の最終ログオン情報の記録 • きめ細かな設定が可能なパスワードポリシー Windows Server 2008 Windows Server 2008R2 4 Windows Server 2008R2 項番1,2,3の機能と以下の機能 • 認証メカニズム保証 • SPN(サービスプリンシパル名)の自動管理 Windows Server 2008R2 ○機能レベルについて 機能レベルにはフォレストの機能レベルとドメインの機能レベルという2種類があり、WindowsサーバOSごとの機能レベルによっ て利用可能な機能に違いがあります。新しいWindowsサーバOSでは新しい機能レベルがサポートされますが、古いOSのドメイン コントローラが存在する場合はドメインやフォレスト全体で古いOSのドメインコントローラに合わせた機能レベルを選択する必要 があります。■OSごとのActive Directoryドメイン/フォレストの機能レベル比較
項番 フォレストの機能レベル 有効になる機能 サポートするOS
1 Windows 2000 既定のActive Directory の機能すべて
Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008R2 2 Windows Server 2003 項番1の機能と以下の機能 • フォレスト間の信頼 • ドメイン名の変更 • リンクされた値のレプリケーション • Windows Server 2008 を実行する読み取り専用ドメイン コン トローラ(RODC)の展開 •KCC(知識整合性チェッカー ) の強化されたゕルゴリズム • 強化された ISTG アルゴリズム • 動的な補助型クラス(dynamicObject) • inetOrgPerson オブジェクト インスタンスの User オブジェ クト インスタンスへの変換 • 新しい種類のグループのインスタンスを作成する機能 •スキーマの属性およびクラスの非アクティブ化と再定義 Windows Server 2003 Windows Server 2008 Windows Server 2008R2 3 Windows Server 2008 項番1,2の機能と同様。ただしこのフォレストに今後追加され るドメインはすべて、既定でWindows Server 2008 ドメイン の機能レベルで動作する Windows Server 2008 Windows Server 2008R2 4 Windows Server 2008R2 項番1,2,3の機能と以下の機能 • Active Directory のごみ箱 このフォレストに今後追加されるドメインはすべて、既定で Windows Server 2008 R2 ドメインの機能レベルで動作する Windows Server 2008R2
