View
2.902
Download
0
Category
Preview:
DESCRIPTION
2010年に発表したショートセッションの記録。 Windows Server NTFS上でアクセス制御をするためのTips。 グループとアカウントの組み合わせなどを用いて、「厳しいおきて」で管理しないとグダグダになっちゃうので、こうしてみては?という例示。 保存用です。
Citation preview
「 AD10 周年おめでとう。ウチは7周年-当社での ID 管理事例」
にわか管理者からの報告その2
2010/3/13
黒田 幸智
まずは・・・
Microsoft Active Directory 10 周年
おめでとうございます。
当社も Active Directory 7周年(ぐらい) ありがとうござ
います。おお!縁起の良い 7
トップ
ドメイン A
AD
ドメイン B
さて、始めましょう。
画像は MSWEB から引用
NT ドメインから Active Directory に至るまで(1) 当社では 1997 年まで利用していた「 NT ドメイ
ン」は、 「小規模」を「総当たり」方式で信頼する マルチ・マスタードメイン
・ドメインは小規模であることが多く、ユーザー数や コンピュータ数が少なかった。・ドメインがいっぱい発生し、社内でいがみ合いが多
発。 (ドメイン独立戦争) 自国の領土をまもる部門管理者た
ち
NT ドメインから Active Directory に至るまで(2) 2003 年まで利用していた「 NT ドメイン」は、 「アカウントドメイン」と 「リソースドメイン」による 階層方式信頼 シングル・マスタードメイン
アカウントは中央で一括管理になったが、 リソース管理者権限などを巡り、 社内で特権階級と一般階級の軋轢が発生。 (パスワード強奪戦争) 情報部門とユーザー部門骨肉の争
い
これではいけない。 Active Directory しかない! 2003 年春、発売されてない 2003AD を導入検討
し、 シングルドメイン構成で完全作り替え。 (このとき、初めて情報システムに片足つっこんだの
で・・・)
(1) ドメインアカウント移行はしない など強権実施
「情報システム部門(オレ)に逆らうなよ」「まぁ俺の顔も立ててよ」
Active Directory では、 シングルドメインでスタート
→ユーザーいっぱい →コンピュータいっぱい
Active Directory 入れてみたけど・・・
管理ツール「 ActiveDirectory ユーザーとコンピューター」
作業-1 コンピューターを、 [Computers] コンテナ
から [○○Computers]OU に移すけれど
も、 どう分ける? 作業ー2 ユーザーを、 [Users] コンテナから [○○ Users]OU に移すけれども、 どう分ける?
usersusers
Users OUUsers OU
ComputersComputers
Comp OUComp OU
いろいろ考えてみました。
[ コンピューター ] は基本的に机の上から動かない (いや、頼むから動かさないでください。)
[ ユーザー ] は本人の意志と関係なく、動く (お願いだから、連絡してください。)
[ 場所 ] をトップとして管理する方式が優れていると思う。
できるだけ代わりにくい属性で管理する 方式が優れてい
ると思う。
OU (組織)と GPO (グループポリシー)の関係 GPO は、 「コンピュータ構成」と 「ユーザー」の 両方が構成可
「ひとつで同時に定義できる」 →以外に最初、つまづくことがある。
まずオブジェクトの配置はどうすべきか?
方法(1) コンピュータオブジェクトとユーザーオブジェ
クトを 同じ OU に入れる。
方法(2) コンピュータオブジェクトとユーザーオブジェ
クトを 独立した OU 配下に入れる。 うちの場合は、方法(2)で
構築。
組織で管理する場合や、権限の委譲を検討する場合には有効か?
わかりにくさを避ける。
ユーザー OU の構築はどうすべきか?
方法(1) 会社組織にあわせる
方法(2) 地理的な配備にあわせる
うちの場合は、最初は方法(1)で構築した。
事業本部事業本部
総務部総務部
営業1部営業1部人事課人事課
大阪本社大阪本社
東京本社東京本社
国内国内
総務部総務部
ユーザーオブジェクトは身分で整理するのが得策かも。
「役員」「管理職社員」「一般社員」「バイト」「派遣」・・・
さらに、セキュリティーグループによる制御が必須。
うちでは・・・
ユーザーOUを組織に準拠させたが、 組織は経営者がすぐに替えたがる傾向がある。 →ある実施日で組替えは不可能。(UIでは無
理) 人事は人を動かす時には手厚くても、 情報システムの手間には無情であ
る。 →「1日の人事は秘密だから、前日に廻すよ」
(爆)
コンピュータ OU の構築はどうすべきか?
方法(1) 会社組織にあわせる
方法(2) 地理的な配備にあわせる
うちの場合は、方法(2)で構築した。
事業本部事業本部
総務部総務部
営業1部営業1部人事課人事課
大阪本社大阪本社
東京本社東京本社
国内国内
総務部総務部
うちでは・・・
コンピュータ OU毎に、異なる設定の GPO を 割り当てられるから、管理しやすい。 (1)コンピューターに「ソフトウェア配布」機能を使って
展開するのに計画しやすい。 東京にある PC には、東京の配布ポイントを割り当てる (管理者が複数いると、こうしないと意外にわからない)
(2)部門の PC の実台数を棚卸しするときに便利
人事課にあるコンピュータをばっちり押さえることで、 「コンピューターが遅いから更新してくれ」といったワガ
ママに 「そこのセクションの PC はいいのばかりだよ」と切り返
せる。 →資産管理ツールとの連携が行いやすく、管理しやす
い。
ファイルサーバのアクセス権は?
素人管理者は、 フォルダに直接、ユーザーリストでアクセス権を付ける。
トレーニングを受けた管理者は、 何となく、 GG-UG-DLGモデルを使うけど、そ
こまで。 「誰」が「どこ」にアクセス権があるのか、 記録簿がしっかり無いとわからな
い。 →セキュリティーの穴になる。
>>たいてい、オフラインの記録には漏れがある<<
ユニバーサルグループ
ファイルサーバのアクセス権は?
セキュリティーグループで制御<基本事項>
「 DL-UG-GGモデル」 グルーバルとドメインローカルは、必須。 将来事業の成功により、他の企業を買収したり! 残念ながら吸収されたりしたときのことを考えるな
ら、 ユニバーサルグループは手間でも作る。 (その逆も考えて下さい。)
グルーバルグループ
ドメインローカルグループ
ユニバーサルグループ
厳しい掟
セキュリティーグループの「名前付け」と「メモ」欄は重要!
グルーバルグループ
ドメインローカルグループ
掟-1(1)セキュリティーグループは種別(グローバルなど)で並べられないので、
DL- 総務部 UG- 総務部 GG- 総務部
のように、接頭詞を付けて、グループ名は替えない!(意外と便利) (注意: UG には同じ名前の GG しか入れてはいけない。また、 DLも同様)
検索するときは、グループの種類は分けられない あちこちの検索ダイアログ画面では、 GG も UG も DLG もみんな同じ扱い。 同じ名前の GG-UG-DLG を作っていると間違え
る! メンバー追加操作時にミスが多発する。
接頭詞が生きてくる
メンバーを追加するとき便利
・ メンバー追加は、「追加」ボタン-「選択オブジェクト欄」で
「 GG-,UG- 」でできる。(間違いが起こりにくい)
厳しい掟
掟ー2:これだけは守る! GG グループのメモ欄に、 「メンバー変更履歴」 をかならず書く。
・掟ー3:これだけは守
る! DL グループ
のメモ欄に、 アクセス制御
する「フォルダ名」 をかならず書く。
フォルダアクセスを設定したフォルダをマークする 掟-4 アクセス権を設定したフォルダの表示アイコンを変更する
・管理者が識別できること。(アイコンの意味) ・カスタムしたフォルダ直下には、 隠しファイル「 Desktop.ini 」が自動生成される。 (注:削除されないよう属性制御必要。また、ユーザーにアイコンを見
せたい 場合は、このファイルとフォルダにアクセス権修正が少し必要。すぐ
できます。)
Nice !
どうしてか?
にわか管理者には必須の UI ツールでは、 「どの GG でどこのフォルダアクセスを設定した
か」 わからなくなるから。
グループとフォルダの関連を見つける方法が
私には見あたらない。
注:MS さん、間違ってたらごめんなさい。 (一部ツールはあるが・・・・後述)
どんなことができるか
①ファイルサーバをてっぺんから検索して、 「 Desktop.ini 」がある場所が、 アクセス制限してある場所だとわかる! (みてもわかるし・・・)
②そこの「アクセス許可」画面 を見れば、権利のある DLG が あるので、リスト化できる。
どんなことができるか
③フォルダをみなくても、 DLG のメモを見れば、 どのフォルダにアクセス権を 割り当てたかわかる。
②と③で、つきあわせるとより正確になる。
④最後に同じ名前の GG の中を見れば、 アクセスメンバの最終確認ができる。
自分よがりなちょっとしたコツ
「アクセス制御」 OU を作って、 [Domain Local ] OU 、 [Universal Group] OU 、 [Global Group] OU を 作って整理してます。(わからなくなるので)
一つ、 GG を作ったら、一気に UG 、 DLG を作ってしまうこと。
(スクリプトを作っておくといいでしょう。) VBScript 、 Power
Shell ・・・
わからないグループがある場合、
セキュリティーグループにも SID がある! →消したら戻せないぞ。
でも、わからんグループが続々残ってしまう。
解決法 「とりあえずこうして→ → → → 苦情をまとう」 (調査もするんだよ )
グループの種類を 「セキュリティ」から「配布」に かえちゃおう。
いろんなツールがありました。
フォルダ-アクセス権マップツール(無償) Microsoft 社提供 現在 VER.2
http://www.microsoft.com/japan/windowsserver2003/activedirectory/ACL.mspx
Active Directory から共有フォルダを取得し、フォルダをリスト選択可能
でも、 Active Directory公開フォルダであるか、絶対UNC を書く必要がある
(参考)フォルダ-アクセス権マップツール
マニュアルから引用しています。
非公開を含むすべてのフォルダアクセス権を管理するには、やはり、努力は必要。
ユーザーオブジェクトの一括管理を行う(有償) カスタムテクノ社:アイデンティティマネー
ジャ 「 SyncTrust 」 (1)一発でユーザー・グループの登録・操作
が可能 おそらく、 「 Microsoft Identity Lifecycle Manager
2007 ( ILM 2007 )」 も同じことができるのでしょうか(未確認)
内部統制ツールを使う(有償) 例:「 BV control 」
現在、当社でも検討中・・・・
いろんなツール
おまけ: GPO にもセキュリティーグループは使える GPO にもセキュリティー権がつけられます。 [ グループポリシーの管理 ] 画面で、 GPO をつかんで、 「スコープ」タブのセキュリティーフィルタ処理の窓のとこ
ろで、 GG-○○ としておけば、 そのグループだけが ポリシーで制御できる。
例:「○○USERS 」 OU トップに仕掛けるけど、 総務部メンバだけに 適用するとか・・・
ご静聴ありがとうございました
Recommended