Active Directory の基本機能
Active Directory は、「認証基盤」、「ネットワーク リソース一元管理」、「セキュリティ更新プログラム/ポリシーの展開」という 3 つの基本機能を提供します。
Active Directory を利用することで、認証/承認を前提としたユーザーおよびコンピューターの管理の簡素化、ネットワークへのシングル サインオン (SSO) アクセス、グループ ポリシーを活用したネットワーク リソースの効率的な管理、格納情報や通信に関するプライバシーおよびセキュリティの強化、そして、セキュリティ管理に向けたシステム運用の徹底と効率化を実現することができます。
図 : Active Directory 3 つの基本機能 [
拡大図
]
主要機能 1 : 認証基盤としてユーザー アカウントを一元管理
複雑化する IT 環境において、運用管理コストを削減し、変化に迅速かつ効率的に対応するためには、ID とアクセスの管理を掌握することが重要です。複数のシステムやアプリケーションで ID が別々に管理されていると、適切な管理が困難になるだけでなく、ID の使い分けやパスワード管理の煩雑さにより、エンド ユーザーの労働生産性を低下させます。たとえば、企業内ネットワークにある複数のシステム(営業管理システム、CRM システム、人事管理システム、さらに、グループウェア システムなど)にアクセスする際に、それぞれ独自のアカウントを使用して個別にログインを行っていると、それだけでユーザーに予想以上の非効率を強いることになってしまいます。
図 : Active Directory でユーザー アカウントを一元管理 [
拡大図
]
そこで、Active Directory を導入し、ユーザーを含むすべてのネットワーク リソースを Active Directory のドメイン配下に集約し、全社的なアカウントの一元管理を行うことで、ユーザーは 1 つのアカウントで、すべての社内リソースにアクセスできるようになります。
また、ID 管理の複雑化や脆弱なパスワードが、セキュリティ上のリスクを高めます。Active Directory は、Windows ベースのネットワークのためのディレクトリ サービスとして登場し、基本的なアーキテクチャを維持しながら、さまざまなサービスやアプリケーション設定を一元管理するためのディレクトリ ストアとして拡張されてきました。Windows Server 2008 では、ID とアクセス管理の複雑さを緩和するために、Active Directory を中心とした各種サービスを再編成し、Active Directory サービス群として統合しました。
主要機能 2 : グループ ポリシーによるクライアント PC 管理の効率化
多数のユーザーとリソースが存在する企業システムでは、人事異動などに伴うユーザーとリソースなどの組み合わせが頻繁かつ大量に発生します。
Active Directory では、グループ ポリシーを使って多数の PC を集中管理し、ドメイン全体や OU (Organization Unit: 組織単位) ごとにグループ ポリシーを定義できます。たとえば、人事異動で営業部から人事部に移った社員がいた場合でも、該当社員 (ユーザー) を人事部 OU から営業部 OU に移すだけで、該当社員はすぐに顧客情報など営業部のみが参照する情報を利用できるようになります。このように、Active Directory の OU を活用することで、アカウント管理作業を大幅に効率化することができます。
主要機能 3 : 強化されたグループ ポリシー
Active Directory のドメインを構成すると、グループ ポリシーを使用したユーザーやコンピューターの一元管理が可能になります。Windows Server 2008 R2 では、Windows 7 の構成と管理に対応するため、グループ ポリシーが拡張されています。また、膨大な数のポリシー項目を効率的に管理できるように、グループ ポリシー エディターのフィルター機能が強化されています。
AppLocker によるソフトウェアの制限
AppLocker は、Windows Server 2008 R2、Windows 7 Enterprise、および Windows 7 Ultimate でサポートされる、新しいアプリケーション制御テクノロジーです。Windows Server 2003 および Windows XP 以降では、ソフトウェア制限ポリシーが利用できますが、そのしくみが分かりにくいうえ、規則の定義やメンテナンスが難しく、効果的に運用するのが困難でした。AppLocker は、ソフトウェアの制限ポリシーの問題点を改善し、より柔軟かつ簡単にアプリケーションに対する制限を展開することができます。
AppLocker は、実行可能ファイル、Windows インストーラー、およびスクリプトについて、実行を許可または拒否する規則を定義することができます。組み込みの既定の規則を使用することもできますし、標準構成のコンピューターの Program Files パスを走査して、許可規則を自動生成することもできます。規則は、パスのほか、ファイルの電子署名やバージョンなどを条件に、特定のユーザーやグループに対して、柔軟に定義することができます。
図 : グループ ポリシーによる AppLocker の設定
図 : AppLocker の制限により、DVD メディアからのインストールがブロックされたところ
BitLocker To Go の強制
USB メモリはしばしば、情報漏えいやマルウェア感染の媒体として問題視されます。Windows Server 2008 以降では、グループ ポリシーを使用して、使用禁止や書き込み禁止、ドライバーのインストール制限を行うことが可能ですが、Windows Server 2008 R2 では、暗号化を強制するという新しい方法が追加されます。
Windows 7 Enterprise および Windows 7 Ultimate には、BitLocker ドライブ暗号化の機能を、USB メモリなどのリムーバブル メディアに拡張した BitLocker To Go が提供されます。BitLocker To Go を使用すると、リムーバブル メディアのボリューム全体を暗号化して、パスワードやスマートカード認証で保護することができます。Windows Server 2008 R2 のグループ ポリシーは、BitLocker To Go に対応しており、たとえば、USB メモリへの書き込みに BitLocker to Go による暗号化を要求するように構成することができます。
図 : グループ ポリシーを使用すると、USB メモリに対して BitLocker To Go による暗号化を強制することができます
グループ ポリシーのフィルター オプション
グループ ポリシーは、新しい OS バージョンやアプリケーションのサポートを追加するために拡張されてきました。たとえば、Windows Server 2008 では Windows Vista に対応したポリシー項目が、Windows Server 2008 R2 では、Windows 7 に対応したポリシー項目が、多数追加されています。アプリケーションが提供する管理者テンプレートやカスタム テンプレートを追加することで、ポリシー項目はさらに拡張されます。
この膨大なポリシー項目を効率よく管理できるように、Windows Server 2008 R2 および Windows 7 のグループ ポリシー エディター (Gpedit.msc) のフィルター表示機能が強化されました。新しくなったフィルター オプションでは、プラットフォームやアプリケーションの要件、ポリシーの構成状態に加えて、ポリシーのタイトルやヘルプ テキスト、コメントに対するキーワード検索が可能になります。また、管理者テンプレートのノードに “すべての構成”が追加され、管理者テンプレートで提供されるすべてのポリシー項目に対して、フィルターを適用し、一覧表示できるようになります。
図 : グループ ポリシーに新しく追加されたキーワード フィルター。任意のキーワードの指定、スペース区切りによる複数のキーワード指定や、AND/OR 検索が可能です
主要機能 4 : WSUS 連携によるセキュリティ更新プログラム配布
定期的なセキュリティ更新プログラムの適用は、安全な PC 環境を維持するために必要不可欠です。しかし、企業内のクライアント環境には、さまざまなバージョンの OS やアプリケーションが混在しています。適用するセキュリティ更新プログラムも異なるため、手作業で更新プログラムを配布/適用することは現実的に困難です。
このような要件に対して有効なのが、Active Directory と Windows Server Update Services (WSUS) の連携です。グループ ポリシー機能を使い、GPO を WSUS 設定で構成することで、さまざまなバージョンの OS やアプリケーションが混在するクライアント PC 環境に対し、それぞれに応じた最適なセキュリティ更新プログラムの配布や、更新プログラム適用状況レポートが可能になります。また、クライアント PC の更新方法と時期を指定することも可能です。
主要機能 5 : サービス統合による利便性の向上
最新の Windows Server 2008 R2 の Active Directory では、分散していた ID 管理とアクセス制御に関連するサービスを 1 つのプラットフォームとして統合。統一されたアーキテクチャの下で管理することで、各サービス間の連携を強化し、複雑性の排除、展開の簡略化、管理性の向上を実現しています。これにより、新機能が必要となった場合、迅速に構成を行うことが可能となります。
