連載の第1回目(「Windows 2000のアカウント管理」)で述べたとおり、OU(Organization Unit)とはActive Directoryで新たに採用された管理単位である。NTのドメインユーザーマネージャがアカウントを単に並べるだけなのに対して、OUは地域別のオブジェクトや組織別オブジェクトなどを管理者が任意に格納できる。OUによって管理者の作業がシンプルになる。
なぜOUが便利なのか?
大規模運用の現場では、ユーザーアカウントの追加/変更/削除は本社で行い、リソースは各部門で管理したいという要望があるだろう。逆に部門によっては、部門のオブジェクトをすべて管理したいという要望もあるだろう。これらに共通していることは、ほかの部門の管理者に勝手に操作してほしくないということである。
ではWindows NTの場合、上記の要望にこたえるためにはどのように設定すればよいのだろうか? ユーザーアカウントの管理を本社で、リソースの管理を各部門で行うことを例に考えてみよう。
Windows NTドメインの権限委譲ではセキュリティ上の問題が
セオリーどおりなら、マスター/リソースドメインモデル(「マスター/リソースドメインモデル」の詳細は連載の第1回目を参照)を作り、マスターである本社側でユーザーアカウントを追加して、各部門にリソースを管理する形態となることが多いだろう。Windows NTの場合、部門ごとにユーザーアカウントを作成することが難しい。Windows NTドメインの場合はシステム管理作業を行うためには、Domain Admins(またはAdministrators)グループに所属する必要がある。しかし、Domain Adminsグループだとすべての管理作業が可能になってしまう。
つまり、部門管理者のユーザーアカウントをドメインの管理者に追加させることになり、ほかの部門のユーザーアカウント変更の権利も同時に与えてしまうことになる。これは、必要以上に権限が与えられるため、セキュリティ上好ましくない。
Active Directoryでは権限委譲の細かい制御が可能
一方、Active Directory上にオブジェクトを作成できるのは、デフォルトではActive Directoryドメイン管理者(Administrators/Account Operatorsグループ)だが、OU/ドメイン/サイトなどの単位で特定のグループオブジェクトやユーザーオブジェクトに権限を委任することができる。ちなみに、ユーザー個人に権限を委任するよりは、グループ単位で権限を委任し、ユーザーをグループに所属させることが推奨される。これは人事異動の際、ユーザーが別の部署に異動しても権限を削除することを忘れてしまい、権限を持ったままということがありえるからだ。
では、権限の委任の例を見てみよう。例えば社内にMarketing部門とSales部門があるとする。Sales OU管理者グループにOUの管理の委任をすると、Sales OUにはメンバーの追加/変更/削除などオブジェクトの管理はできるが、Marketing OUにはアクセス権がない、といった設定ができる。
また、会社の組織形態に合わせてOUを作る必要はない。大前提としては、管理者が楽になるようにOUを設計する。部門内でOUの管理をしたい場合は、会社の組織に合わせてもかまわないし、プリンタのみのOUやクライアントPCのみのOUを作ってもかまわない。
Active Directoryでの「権限の委任」の手順
権限の委任は「制御の委任」ウィザードを使うと楽だ。
(1) 管理ツールの「Active Directoryユーザーとコンピュータ」を起動、制御の委任をしたいOUを選ぶ
(2) (1)で選択したOUを右クリックするとサブメニューが表示されるので「制御の委任」を選ぶ
(3) 「制御の委任」ウィザードが起動する
(4) 委任したいグループ(ユーザー)を追加する。追加ボタンを押すと、画面5のダイアログボックスが表示される
(5) 委任するタスクの種類を「次の共通タスクを委任する」「委任するカスタムタスクを作成する」のいずれかから選ぶ。ここでカスタムタスクを選択すると、より詳細な単位で制御を委任できる。ここでは、ユーザーがパスワードを忘れてしまった場合の解除を「IS admins」に委任してみる
(6) 委任するタスクの対象をユーザーオブジェクトだけに限定する
(7) 「アクセス許可」を「パスワードの変更」と「パスワードのリセット」のみに限定する
(8) これらの設定をすべて行えば、オブジェクト制御委任ウィザードは完了する
設定内容を確認する
では実際に、どのように追加されているのか確認してみよう。再び「Active Directoryユーザーとコンピュータ」を開いて対象OUを選び、右クリックでプロパティを表示させる。表示されたダイアログのセキュリティタブをクリックすると、「IS admins」が追加されていることが分かる。
次に、設定内容の詳細を確認してみよう。画面10のダイアログボックスで「詳細」ボタンを押し、アクセス許可のエントリを表示する。IS adminsに、ユーザーオブジェクトのパスワードのリセットとパスワードの変更のアクセスが許可されていることが分かる。
これらの設定は、「制御の委任」ウィザードを使わずに手動でも設定することができるようになっている。画面11にある「追加」ボタンでグループの追加、「表示編集」ボタンでアクセス許可のエントリが表示される。ここで使用したいアクセス権のチェックを入れる。ちなみに、制御を委任されるユーザーが複数のグループに所属している場合は、許可よりも拒否が優先される。
第5回のポイント
- Windows NTドメインでは部門ごとの管理は難しい
- Active Directoryを使うとOU/ドメイン/サイトごとに管理を委任できる
- 委任には「制御の委任ウィザード」を使うと楽だ
- 「制御の委任」ウィザードは、管理ツール「Active Directoryユーザーとコンピュータ」で呼び出す
- ウィザードを使わずに手動で委任を設定することもできる
Copyright © ITmedia, Inc. All Rights Reserved.