社内セキュリティ全体の底上げにActive Directory導入
企業や組織の規模が大きくなるにつれて、管理するべきパソコンの数は増えていく一方です。WindowsではパソコンごとにIDとパスワードによるユーザー管理ができますが、ネットワーク内に複数のWindowsパソコンが存在していると、ユーザーの管理はおろか、アクセス権限の設定も一苦労です。
お客様の中には、従業員からの「パスワードを忘れてしまったので教えて欲しい」あるいは「パソコンの調子が悪いから見て欲しい」などの問い合わせに返答するだけで1日の大半がつぶれてしまったという経験を持つ人もいるでしょう。
このような問題を解決できる技術が、2000年に発売されたWindows 2000 Serverから搭載された「Active Directory(アクティブディレクトリ)」です。アクティブディレクトリとは複数のWindowsパソコンを一元的に管理することができる仕組みのことです。現在上海では多くの企業がActive Directoryを導入しています。今回はアクティブディレクトリの機能やメリット、注意点などを紹介します。
アクティブディレクトリとはWindowsパソコンの機能やユーザー情報を管理するために、Windows Serverに設けられた機能のことです。Active Directoryはディレクトリサービスと呼ばれるものの1つで、Windows 2000から導入されています。
Active Directoryを使うことで、お客様はパソコンに関する様々な情報や状態を一括して管理することができ、手間を大幅に軽減することが可能です。ネットワークの規模が大きくなればなるほど、Active Directoryを導入するメリットは大きくなるでしょう。
ちなみにActive DirectoryはWindows Serverに標準に搭載された機能です。そのため専用のソフトウェアを購入する必要はありせん。Active Directoryはネットワークに接続されているパソコンの運用を影で支える縁の下のようなソフトウェアですが、導入すれば確実に大きな成果を得られるでしょう。
Active Directory(アクティブディレクトリ)の機能
Active Directoryが提供する機能には様々なものがあります。主要なものを取り上げて紹介します。
- ID・パスワード管理
WindowsパソコンはユーザーIDとパスワードを使った認証が可能です。Windowsサーバーは各WindowsパソコンのユーザーIDとパスワード情報を管理できますが、サーバーが複数台ある場合、それぞれのサーバーにユーザーIDとパスワードの情報を設定する必要があります。これは非常に手間のかかる作業です。
しかしActive Directoryを使えば複数のサーバーで管理していたユーザー情報を一元的に管理できるようになります。このためユーザーIDやパスワードを個別に管理する必要がなくなります。管理すべきIDとパスワードが減ることは、セキュリティ対策としても有効です。
- アクセス権限の設定・管理
企業や組織の中にいるユーザーには、特定の情報にアクセスを許されたユーザーと、アクセスを禁止する必要があるユーザーの2つに分類されます。
Active Directoryではそのようなアクセス権限の設定や管理を行うこともできます。ユーザーはActive Directoryによって認証されることで、ドメイン内にある情報やサーバーにアクセスできるようになります。
Active Directoryで一度認証を済ませてしまえば、ドメイン内にある複数のサーバーにアクセスする際に、再度認証をする必要はありません。このような仕組みのことをシングルサインオン(Single Sign On)と呼びます。
- ソフトウェアの設定・管理
Active Directoryでは業務で必要なソフトウェアをリモートで自動インストールすることや、Windows Updateによる自動更新を行うこともできます。
- メディア利用の設定・管理
USBメモリのようなメディアもActive Directoryでは管理できます。USBメモリを不用意にWindowsパソコンに接続することを許可すると、マルウェアの感染や情報漏洩につながる可能性があります。
しかしActive Directoryの機能とWindowsのグループポリシーの機能を組み合わせることで、USBメモリの管理が可能です。設定できる権限は、具体的には「読み取りアクセス権の拒否」「実行アクセス権の拒否」「書き込みアクセスの拒否」の3つです。
- プリンターなど接続機器の設定・管理
業務で使うプリンターもActive Directoryで管理できます。予めサーバーにプリンタードライバーをインストールしておけば、クライアントはプリンターを使う時に、Active Directoryからプリンタードライバーを配布されます。
またプリンターのIPアドレスが変わってしまった場合も、Active Directoryを使っていれば、サーバーのデバイス設定を変更するだけで対応できるので、クライアント側で何らかの作業をする必要はありません。
- 操作ログの取得
Active Directoryに対する操作ログはIISマネージャーから閲覧や管理ができます。ただしActive Direcotryで取得できる操作ログは、ログオン時の認証やファイルサーバーに対する操作のログなど、Active Directoryに関連したサーバーに対するログののみです。
Windowsパソコン内で完結している操作ログは取得の対象外です。例えば起動させたソフトウェアのログや、ブラウザでどのようなWebサイトを閲覧したのかなどのログは取得できません。
管理者のメリット
- パソコンやネットワーク機器、ユーザー管理に関する負担を軽減する
- パソコンの各種設定をリモートで一括管理できる
- 操作を自動化することで、作業ミスを防ぐことができる
- 管理ツールを利用することで、管理者教育がしやすくなる
利用者のメリット
- どのパソコンを使っても、自分のアカウントでログインできる
- 複数のパスワードを記憶する必要がなくなる
- パソコンのアップデートなどの管理が不要になる
- プリンターなどのデバイスが簡単に利用できる
- 使用したい機能の検索が可能になる
- ITやパソコンに詳しくなくても、システムが使いやすい環境になる
企業のメリット
- 作業の自動化によりコスト削減につながる
- 業務効率が向上し利益が増える
- セキュリティ事故発生時に被害の拡大を防止できる
- Active Directoryの活用がセキュリティ対策としてアピール材料になり、顧客からの信頼を獲得できる
Active Directoryでセキュリティ対策強化ができるのか
Active Directoryの導入は、企業内におけるセキュリティ対策としての一面を持ちます。Active Directoryはパソコンを一括管理するための機能ですが、一括管理することで、最新のセキュリティ対策ソフトやセキュリティパッチを管理下のパソコンに同時に抜けなくインストールすることができます。それとは逆に許可していないソフトウェアのインストールを禁止することができ、外部からのマルウェア感染のリスクを減らすことも可能です。
Active Directoryにおける認証機能は、ユーザーがパソコンにログオンしたログを記録できます。これにより不正アクセスの防止や、アクセスした人物の特定ができます。何らかの内部犯行を抑止することにもつながるでしょう。
まとめ
Active Directoryは企業内で管理しているパソコンをドメインと呼ばれる領域の内部で一括管理できる機能です。Windows Serverに標準で搭載しているソフトウェアですが、しっかりとした運用には少なからずコストが発生します。
しかしActive Directoryを導入すれば、お客様の負担軽減や、リモートによるパソコンのメンテナンス、そして無駄のないユーザーIDとパスワードの管理など様々なメリットが得られます。さらにセキュリティ対策としての一面も持ちます。
Active Directoryを活用すれば、業務効率を向上させるだけでなく、無駄のないシステム管理を行うことができるでしょう。
Active Directoryにご興味がありましたら是非EZ-netまでご連絡ください。
