Comments
Description
Transcript
110729_Active Directoryに関する説明資料
Active Directoryに関する参考資料 作成日:2011/07/06 更新日:2011/07/20 作成者:株式会社レップワン 1 1. Active Directoryについて ■Active Directoryとは Active DirectoryとはWindows 2000 Serverからサポートされているドメインの管理形態で、Windowsプラッ トフォームの認証基盤、セキュリティ基盤、ネットワーク上のリソースを扱うデータストアなどの機能を提供 するサービス群のことです。 ■Active Directoryサービス群 Active DirectoryはWindows Server 2008以降、IDとアクセス管理の複雑さを緩和するため、関連する各種機 能は「Active Directoryサービス群」として統合し、5つのサービスとして提供されるようになりました。 ・Active Directoryの5つのサービス 2 サービス 説明 ①Active Directoryドメインサービス (AD DS) Active Directoryドメインの基本機能を提供するサービス。ユーザーオブジェクトや コンピューターオブジェクトなどの一括管理・認証を行う。 ②Active Directory証明書サービス (AD CS) 証明書の作成や発行、登録などの管理するサービス。 ③Active Directoryライトウェイトディ レクトリサービス(AD LDS) アプリケーション向けのディレクトリサービスを提供するサービス。 ④Active Directoryフェデレーション サービス(AD FS) 異なる組織間の認証情報を連携してシングルサインオンを提供するサービス ⑤Active Directory Rights Managementサービス(AD RMS) ドキュメントや電子メールの閲覧・編集・印刷を制限するなど、情報保護を提供する サービス。 ① Active Directoryドメインサービス ■Active Directoryドメインサービスとは Active Directoryドメインサービス(AD DS)はActive Directoryの基本機能を実行するサービスのことです。 AD DSの役割を追加したコンピューターをドメインコントローラといい、ドメインコントローラーにはデー タベースが作成され、ユーザーやコンピューターなどのオブジェクト登録情報、共有フォルダやプリンタ情 報、システムやアプリケーションの構成情報などが保存されます。ドメインコントローラによってユーザー の認証やオブジェクトの一元管理、セキュリティ設定の一括した定義をすることができます。 ドメインコントローラ Active Directoryデータベース ・ユーザー情報 ・コンピュータ情報 ・アプリケーション情報 ・共有フォルダ情報 ・プリンタ情報 セキュリティ設定 ユーザー認証 Active Directoryドメインサービス 3 ■AD DSの構成要素 AD DSを構成する要素として頻繁に用いられる用語を以下に説明します。 ●ドメイン ドメインとはユーザーやコンピューターなどのオブジェクトを登録・管理する範囲のことです。 また、オブジェクトの管理方法が複数ある場合に複数ドメインを作成することができます。このとき親ドメインの下 に子ドメインを作成し、これを「ドメインツリー」いいます。親子関係のドメインはそれぞれのドメインのリソース を利用できる関係となり、この関係性のことを「信頼関係」とよびます。 親ドメイン 信頼関係 example.local ドメインツリー 子ドメイン osaka.example.local 4 ●フォレスト Active Directoryで管理できる最もおきな単位のことをフォレストといい、フォレストは1つ以上のドメインで構成さ れます。フォレストには複数のドメインやドメインツリーを含むことができます。 フォレストは新規ドメインを構築した時に自動で作成されます。 親子ドメインの ドメインツリー example.local costoso.local 親子ドメインの ドメインツリー このフォレストには4つのドメインと 2つのドメインツリーを含んでいる osaka.example.local tokyo.costoso.local フォレスト 5 ●サイト サイトはActive Directoryにおける論理的なネットワークの範囲のことで、物理ネットワーク(TCP/IPのIPサブネッ ト)に基づいて構成されます。 例えばAD DSで構成された1つのドメイン内に東京本社と大阪支社が所属しており、それぞれドメインコントローラ があるとします。各ドメインコントローラは既定のDefault-First-Site-Nameサイトに所属しており物理的な場所で 社内のリソースが区別されることはありません。しかし大阪支社のユーザーがログオンする際に東京のドメインコン トローラで認証を受ける場合があり、ネットワークの状態によっては非常に時間が掛かる可能性があります。 こういった場合に大阪支社のユーザーを大阪支社のドメインコントローラで優先的に認証させるため、物理ネット ワークに合わせて論理的に分割したサイトを構成します。 サイトに分割することによって、ディレクトリデータベースのレプリケーショントラフィックの最適化やログオン認 証トラフィックの最適化、グループポリシー適用範囲の変更などが可能になります。 大阪支社のユーザーが東 京本社のドメインコントロー ラで認証され、ログオンに時 間が掛かる 大阪支社のユーザーは優 先的に大阪支社のドメイン コントローラで認証される 大阪サイト Default-First-Site-Nameサイト 6 東京本社のリソースと大阪支社のリソースに区別はない 東京サイト 物理ネットワークに合わせて東京サイトと大阪サイトを構成 ●Active Directoryオブジェクト Active Directory オブジェクトは、ユーザーやグループ、コンピュータアカウントなど、Active Directoryで管理さ れる情報の最小単位のことです。以下は一番触れる機会の多いActive Directoryオブジェクトです。 ・ユーザーアカウント ユーザーアカウントはユーザーがドメインにログオンするために使用するオブジェクトで、ドメイン内で実行でき る権限やアクセスできるリソースなどの情報を含んでいます。 ・グループアカウント グループアカウントは同じ権限やアクセス許可を与えるユーザーアカウントを1つにまとめるためのオブジェクト です。グループアカウントを使うことによって、1つ1つのユーザーアカウントに権限やアクセス許可を設定する手 間を省いたり、権限やアクセス許可の有無をまとめて管理することができます。 ・コンピュータアカウント コンピュータアカウントはドメイン参加を許可されたコンピュータの登録情報のことです。ユーザーがドメインに ログオンするにはドメインのメンバであるコンピュータでログオンする必要があります。 ・ OU(組織単位) Active Directoryオブジェクトの中にはオブジェクト内部に別のオブジェクトを含むことができるコンテナオブ ジェクトがあります。OUはコンテナオブジェクトの1つで、ユーザーの所属部署や立場、コンピュータの場所など の管理ポリシーに合わせて作成し、その管理対象となるオブジェクトを配置するためのものです。 OUにユーザーアカウントやコンピュータアカウントを配置することによって、それぞれのOUで異なる管理方針で の運用が可能となります。 7 ②Active Directory 証明書サービス ■Active Directory証明書サービスとは Active Directory証明書サービス(AD CS)は公開キー証明書の発行・登録・管理をするためのサービスを提供 します。 証明書を利用することで高セキュリティのVPN、ワイヤレスネットワーク、S/MIME(電子メールの暗号 化) 、EFS(ファイル暗号化システム)、スマートカードログオンなどを使用することが可能になります。 メール システム 証明書の発行・管理 AD CS AD DS S/MINE VPN 無線LAN 8 社外 スマートカードログオン 社内ネットワーク ③Active Directory ライトウェイディレクトリサービス ■Active Directoryライトウェイディレクトリサービスとは Active Directoryライトウェイディレクトリサービス(AD LDS)は特定のアプリケーションにディレクト リサービスとデータストアを提供するサービスです。 AD LDSはActive Directoryドメインから独立して機能し、AD DSの様にドメインコントローラやDNSは必 要せず、ワークグループ環境でも構成することがきます。そのため、ファイアーウォールを超えた社外にあ るポータルアプリケーションなどで利用することができます。 AD LDSとAD DSを組み合わせて、セキュリティアカウントの一元管理をAD DSに、アプリケーション構成 データの管理はAD LDSに分離することでシステムのセキュリティと運用効率を向上することができます。 WEBアプリケーションはAD LDSのデータストアを参照し て認証を行う。 WEBアプリケーション 社外のアプリケーションに対 してディレクトリサービスを 提供する。 9 AD LDS 外部顧客やパート ナー企業などのユ ーザーIDを保持 ファイアーウォール AD DS 企業内部のユー ザーIDのを保持 ④Active Directory フェデレーションサービス ■Active Directoryフェデレーションサービスとは Active Directoryフェデレーションサービス(AD FS)は組織を越えたシングルサインオンを提供するサー ビスです。それぞれの組織で管理しているユーザーアカウントの認証情報を連携し、交換し合うことで、異 なる組織のユーザーを認証することが可能となります。 親会社 AD FS ④ユーザー認 証情報を送信 ②ユーザーの認 証情報を要求 ①親会社のWEBアプリケー ションに接続する。 10 子会社 AD FS AD DS ③ドメインコントローラーから 認証情報を取得 ⑤Active Directory Rights Managementサービス ■Active Directory Rights Managementサービスとは Active Directory Rights Management サービス(AD RMS)はOfficeドキュメントやWEBデータ、電子 メールなどを情報漏洩や改ざんから保護するためのサービスです。 AD RMSで設定されたアクセス制御はデータ自体に組み込まれます。そのため、データが外部に持ち出され てもアクセス制御が維持されたままとなりデータを保護します。 またドキュメントとドキュメントを使用するユーザーの関係を管理し、きめ細かな権限設定を行うことがで きます。 AD RMS 閲覧・編集可能 閲覧のみ 印刷禁止 ドキュメントを保護 転送禁止 社外へ流出 ドキュメントや電子メール 11 アクセス不可 2. Active Directoryの導入をしていない会社の問題点 ・ 管理の問題点 → PCが複数台あるが、1台1台を設定・管理を行っているため管理コストが掛かる。 → 社員がPCを好き勝手に使えるのでトラブル対応が大変である。 → PCや社内システムにアカウントが乱立して管理者が把握しきれない。 ・ セキュリティの問題点 → PCのアプリケーションの追加や削除は社員が自由にできるので、ウィルス対策ソフトがインストールされ ていなPCやファイル共有ソフトがインストールされたPCから機密情報が漏洩する可能性がある。 → PCのセキュリティプログラム更新は社員1人1人が個別に行っているため、セキュリティプログラム更新が されていないPCを経由して情報漏洩や悪意のある侵入を許す可能性があります。 Active Directoryを導入すると上記の様な問題を一括して解決できます。 12 3. Active Directory導入のメリット ①アカウントの一元管理 Active Directoryを導入し、ユーザーや社内リソースをActive Directoryのドメイン配下に集約することでアカウ ントの一元管理を行うことができます。 ②クライアントコンピューターの均一化 Active Directoryを導入し、クライントコンピューターを集中管理することによって、1台1台のコンピューター に対して個別の設定作業やトラブル対応が不要となり、管理コストの削減が可能になります。 ③セキュリティ向上と情報漏洩対策 インストールされているアプリケーションやアンチウィルスソフト、USBメモリやCD/DVDメディアの使用許 可などを状況に応じて正確に管理・把握することができます。 ④シングルサインオンによる業務の効率化 社内にある複数のシステム(会計・経理システム 、顧客管理システム、人事管理システム、グループウェアな ど)に独自アカウントで個別にログオンしている場合の非効率性を改善し、ユーザーは1アカウントで全てのシ ステムへのログオンが可能となります。 13 4. Active Directoryでできること ■アカウントの一元管理とシングルサインオン ユーザーアカウントをまとめて管理し、社内システムと連携してのシングルサインオンが可能になります。 今までの社内システム AD導入後 1つのユーザーIDと パスワードで全ての システムのログオン できるので便利にな った システム毎に個別 のユーザーIDとパ スワードの認証が 必要で面倒だ ユーザーID1 パスワード1 顧客管理システム ユーザーID2 パスワード2 勤怠システム ユーザーID3 パスワード3 Active Directory グループウェア 顧客管理システム 14 ユーザーID パスワード 勤怠システム グループウェア ■ユーザーごとのアクセス権限管理 部門や役職、または個人に紐づいたアクセス権の設定をすることができます。 <ファイルサーバー> 営業部フォルダには営業部全員 がアクセスできるが他部署の社 員はアクセスできない <営業部フォルダ> <総務部フォルダ> 総務部フォルダには総務部の社 員はアクセスできるが派遣社員 はアクセスできない 管理職フォルダには管理職はア クセスできるが一般社員はアクセ スできない <管理職フォルダ> 営業部社員 15 <営業部> 総務部社員 部長 <総務部> 派遣社員 ■クライアントコンピューターの制御 クライアントコンピューターの設定を一括で設定して均一化できます。また、PCごとにスタートメニューの項 目やデスクトップの設定などを細かく制御することができます。 社員AさんのPC 社員が使うPCの基 本設定。 業務に必要な機能 のみに制限するし、 不要なアプリケーシ ョンは使えない。 16 開発者BさんのPC 特殊な業務に就く 社員のPC。 開発ツールなどを 自由にインストール できるが一定のセ キュリティは確保す る。 【設定例】 【設定例】 ■利用可能アプリケーションの制限 ・Office関連ソフト → ○ ・インターネットブラウザ → ○ ・コマンドプロンプト → × ・新規アプリケーションの追加 → × ・インストール済みアプリケーションの削除 → × ■利用可能アプリケーションの制限 ・Office関連ソフト → ○ ・インターネットブラウザ → ○ ・コマンドプロンプト → ○ ・新規アプリケーションの追加 → ○ ■PCの機能制御 ・デスクトップに業務アプリケーションのショートカットを表示 ・コントロールパネルの「プログラムと機能」へのアクセス禁止 ・スタートメニューからシステムツールを非表示 ・10分間操作がないとPCを自動でロック ・USBメモリの使用を禁止 ・インターネットブラウザを起動するとはじめに自社WEBサイトが開く ・レジストリ・エディタの使用禁止 ■PCの機能制御 ・USBメモリの使用時は自動で暗号化 ・10分間操作がないとPCを自動でロック ・インターネットブラウザを起動するとはじめに自社WEBサイトが開く ・レジストリ・エディタの使用禁止 ■ユーザー毎PC環境をログオン時に適応 移動プロファイルやフォルダリダイレクト機能を使えば、どのPCでログオンしても各ユーザーごとのデスク トップ環境が適応されます。 シフト勤務で使うPC が毎回違うAさん どのPCがでログオン しても同じ環境で仕事 ができます 人事異動でPCが変 わったBさん 本社ネットワーク 出張先でも本社で使って いる自分PCと同じ環境で 仕事ができます。 PCは変わったのにデスク トップやマイドキュメントは 今までと同じだ 地方拠点に出張中 のCさん ログオン毎に社内ネット ワークのファイルサーバ ーに保存された個人の 設定を適応する 拠点ネットワーク 拠点間VPN <AさんのPC環境> <BさんのPC環境> <CさんのPC環境> Active Directory 17 社内ファイルサーバー ■セキュリティ更新プログラム配布 Active Directory と Windows Server Update Services (WSUS)を利用することで、クライアント コンピュー ターに複数バージョンの OS やアプリケーションが混在する環境に対し、最適なセキュリティ更新プログラムの 配布や更新プログラム適用状況レポートが可能になります。 各ユーザーが手動でセキュリティプログラムを更新 ADとWSUS導入後は管理者が更新プログラムを一括管理 社内にセキュリティプ ログラムの更新依頼 を通知する必要がな くなった 新しいセキュリティプ ログラムの更新を適 応して下さい。 OSやアプリケーションごと に最適な更新プログラム が適応されるのでセキュリ ティリスクが大幅に減った システム管理者 社内に通達 わかりました システム管理者 わかりました Active Directory WSUS 面倒なので今度やろう セキュリティプログラムの更 新がされなかったPCから不 正アクセスの対象になったり 情報漏洩を引き金になる可 能性が! OSがWindows XP のPC 18 OSがWindows 7 のPC 5. Active DirectoryのWindows Server 2008/2008R2への移行 ■ 最新のWindows Server 2008/2008R2へ移行するメリット Windows Server 2008/2008R2より追加された新機能により、大幅な運用の改善と管理性能の 向上が可能となります。 ① 読み取り専用ドメインコントローラ(RODC)を利用することで管理者不在の拠点でも安全な管理を行う ことが可能になります。 ② きめ細かなパスワードポリシーを利用することで、1つのドメイン内でも複数のパスワードポリシーを定義 す ることができます。 ③ 今まで9個だった監査ポリシーが53個に増えたことによって、詳細な監査が可能になります。 ④ OSを停止させずにドメインサービスのみの停止・再起動が行えるようになり、容易なメンテナイスが可能 となります。 ⑤ PowerShellのActive Directoryモジュールによって管理作業の自動化を行うことができます。(2008R2か らの機能) ⑥ GUI管理ツール「Active Directory管理センター」によって管理性の向上が可能です。(2008R2からの機 能) 19 ⑦ Active Directoryのごみ箱を利用することで削除してしまったオブジェクトを容易に復活させることができ ます。(2008R2からの機能) ①読み取り専用ドメインコントローラ(RODC) 読み取り専用ドメインコントローラ(RODC)は、管理者が不在の支店や地方拠点などで役に立つ機能です。 物理的に離れたネットワークにある拠点でユーザーがログオンする際に本社のドメインコントローラで認証し ていると、WANやVPN経由ではログオンに時間がかかり、ネットワークにも負荷を与えます。 このような場合はサイトを構成して、拠点にドメインコントローラを設置することになります。 しかし管理スキルのある社員が不在である拠点や、セキュリティに不安がある拠点に書き込み可能なドメイン コントローラを設置することはリスクになります。 RODCではドメインレベルの管理権限を与えずに限定された権限のみで運用ができ、他のドメインコントロー ラとのレプリケーションは一方通行であるため拠点での誤った変更が全社に複製されることもなく、リスクを 回避することが可能になります。 本社サイト DC 拠点サイト RODC DC 一方通行の複製により、拠点での変更 を全社に伝搬させない。また、・複製に よるネットワークの負荷を軽減する。 20 パスワードキャッシュによってログオンを 高速化。パスワードキャッシュを拠点サイ トのみに制限して、情報漏洩時の被害を 最小限に抑制する。 管理者にドメインの管理権限を与える必 要はなく、新規オブジェクト作成が不可で あったりと、機能も制限されているため管 理者不在の拠点に適している。 ②きめ細かなパスワードポリシー Windows Server 2003以前のActive Directoryでは、パスワード設定とアカウントロックの設定はドメインに1 つしか設定できませんでした。 Windows Server 2008以降はパスワード設定の機能が強化され、1つのドメイン内で複数のパスワード設定とア カウントロック設定が可能になりました。これらの設定は個別のユーザーか、セキュリティグループに適応す る事ができます。 ③強化された監査ポリシー Windows Server 2003以前は「アカウントログオンイベントの監査」など、9 個のセキュリティ監査イベント がありました。Windows Server 2008では、監査可能イベントの数が 9 個から 53 個に増え、更に細かく監査 が可能になりました。ただし、以前からあった9個の監査イベントはグループ ポリシーとして適応可能ですが、 新規追加された監査イベントに関してはAuditpol.exe コマンド ライン ツールを使用する必要があります。 Windows Server 2008R2では53個のすべての監査イベントがグループ ポリシーで適応可能となりました。 強化された監査ポリシーを利用することで、 •「誰が」アクセスしているのか •「どのリソースに」アクセスしているか •「どこから」アクセスしているのか •「いつ」アクセスしたのか •「どのような方法で」アクセスしたか などを、管理者が把握することが出来ます。 21 ④再起動可能なActive Directoryドメインサービス Windows Server 2008ではAD DSがWindowsサービスとして動作するようになったため、停止や再起動が可能 になりました。これにより、AD DSを停止してドメインコントローラに関するセキュリティ更新プログラムを インストールしたり、サーバーを再起動することなくActive Directoryデータベースの最適化をオフラインで実 行可能になります。 ⑤ PowerShellのActive Directoryモジュール Windows Server 2008 R2の新機能として、Active Directory専用のPowerShellモジュールが実装されました。 この機能によってPowerShellスクリプトによるActive Directory管理作業の自動化をより簡単に行うことが可 能になります。 ⑥管理ツール「Active Directory管理センター」 Windows Server 2008 R2ではGUI管理ツールとしてActive Directory管理センターが新機能として追加されま した。 Active Directory管理センターを利用すればユーザーアカウント管理やセキュリティグループ管理など、 最低限の運用管理タスクを複雑なオペレーションなしに直感的に実行するこが出来ます。 また、強力な検索機能も備えており、今まで特定の条件のユーザーをVBスクリプトで抽出する、といったタス クもGUIで簡単に行えるようになります。 22 ⑦ Active Directory Recycle Bin(ごみ箱)機能 これまでADのオブジェクトを誤って削除してしまった場合、ディレクトリ復元モードや専用のバックアップソ フト、 Deleted Objects コンテナなどから復旧する必要がありました。ただ、これらの方法で復旧した場合、 復旧作業に時間がかかったり、その間ドメインコントローラを停止する必要があったり、復旧後にオブジェク トの属性値が削除されているため再設定が必要であったりと非常に手間がかかる作業でした。 しかし、Windows Server 2008R2で追加されたActive Directory Recycle Bin(ごみ箱)機能を利用すれば、ド メインコントローラを停止することなく、全ての属性値を正常に復旧することが可能になります。 ●ユーザーアカウントを削除した場合の動作例 ・ユーザーID ・SID ・氏名 ・部署名 ・所属グループ ・メールアドレス ・ホームディレクトリ 移動 アカウントが有効な状態 23 一定期間内(既定では180日)で あれば属性値を含めて復旧可能 一定期間内(既定では 180日)を過ぎると完全に 削除される 一定期間内(既定では 180日)を過ぎると属性値 が削除されて保管される 削除されると ごみ箱へ移動 ・ユーザーID ・SID ・氏名 ・部署名 ・所属グループ ・メールアドレス ・ホームディレクトリ ADのごみ箱 移動 ・ユーザーID ・SID 消滅 Tombstone 注:削除してしまったオブジェクトを同じ名前でつくり直しても、ADのオブジェクトはSID (セキュリティ識別子)で管理されているため、別のオブジェクトとして認識されます。 ■OSごとのActive Directoryドメイン/フォレストの機能レベル比較 ○機能レベルについて 機能レベルにはフォレストの機能レベルとドメインの機能レベルという2種類があり、WindowsサーバOSごとの機能レベルによっ て利用可能な機能に違いがあります。新しいWindowsサーバOSでは新しい機能レベルがサポートされますが、古いOSのドメイン コントローラが存在する場合はドメインやフォレスト全体で古いOSのドメインコントローラに合わせた機能レベルを選択する必要 があります。 項番 1 2 3 4 24 ドメインの機能レベル 有効になる機能 サポートするOS Windows 2000 既定の Active Directory の機能すべて • ユニバーサルグループ、グループの定義、グループの種類の 変換、SID(セキュリテ識別子)の履歴 Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008R2 Windows Server 2003 項番1の機能と以下の機能 • ドメイン管理ツール(Netdom.exe) • ログオンタイムスタンプの更新とレプリケート • 承認マネージャーの承認ポリシーの Active Directory ドメイ ン サービス (AD DS) への格納 • 制約付き委任 • 認証の選択のサポート Windows Server 2003 Windows Server 2008 Windows Server 2008R2 Windows Server 2008 項番1,2の機能と以下の機能 • SYSVOL のDFS-Rによるレプリケーション • KerberosのAES128ビットとAES256ビット暗号化 • 対話型の最終ログオン情報の記録 • きめ細かな設定が可能なパスワードポリシー Windows Server 2008 Windows Server 2008R2 Windows Server 2008R2 項番1,2,3の機能と以下の機能 • 認証メカニズム保証 • SPN(サービスプリンシパル名)の自動管理 Windows Server 2008R2 項番 1 Windows 2000 有効になる機能 サポートするOS 既定の Active Directory の機能すべて Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008R2 項番1の機能と以下の機能 • フォレスト間の信頼 • ドメイン名の変更 • リンクされた値のレプリケーション • Windows Server 2008 を実行する読み取り専用ドメイン コン トローラ(RODC)の展開 •KCC(知識整合性チェッカー ) の強化されたゕルゴリズム • 強化された ISTG アルゴリズム • 動的な補助型クラス(dynamicObject) • inetOrgPerson オブジェクト インスタンスの User オブジェ クト インスタンスへの変換 • 新しい種類のグループのインスタンスを作成する機能 •スキーマの属性およびクラスの非アクティブ化と再定義 Windows Server 2003 Windows Server 2008 Windows Server 2008R2 2 Windows Server 2003 3 Windows Server 2008 項番1,2の機能と同様。ただしこのフォレストに今後追加され るドメインはすべて、既定で Windows Server 2008 ドメイン の機能レベルで動作する Windows Server 2008 Windows Server 2008R2 Windows Server 2008R2 項番1,2,3の機能と以下の機能 • Active Directory のごみ箱 このフォレストに今後追加されるドメインはすべて、既定で Windows Server 2008 R2 ドメインの機能レベルで動作する Windows Server 2008R2 4 25 フォレストの機能レベル