Active Directoryは、複数のサイト(拠点やビルなど)や複数の国を1つの仕組みの中で管理できるため、管理権限を少人数の管理者に集中させるのではなく、必要に応じて必要な権限のみを複数のメンバーに委任することが可能だ。
当然、信頼されるメンバーにのみ権限を割り当てることになるが、操作ミスなどの間違いが起きないとは言い切れないのも事実である。セキュアに管理されるべきActive Directoryでは、そのような状況であっても、ディレクトリ・サービスへのアクセス監査を実施することができる。ディレクトリへの書き込みやプロパティの変更などを監視し、ログとして出力してくれるため、誰がいつ、何にアクセスしたかを確認できるわけだ。
このディレクトリ・サービスへの監査を実施するには、次の画面のようなグループ・ポリシーによる監査設定と、Active Directoryオブジェクト(例えば組織単位OUなど)に対する監査設定の両方が必要になることはご存じの方も多いだろう。
さて、ここまではいままでもできたことだが、Windows Server 2008はディレクトリ・サービスへの監査項目にサブカテゴリが増え、より詳細なログが取れるようになっている。この機能を利用すると、ディレクトリ情報の変更前と変更後のプロパティ情報までもログとして出力可能となり、誰がいつ、何をどのように変更したかを確認することができる。ただしこの機能を有効にするためにはauditpol.exeコマンドを実行し、サブカテゴリに対する監査を有効にする必要があるので注意してほしい。次の画面は「ディレクトリ サービスの変更」というサブカテゴリに対して設定を行ったところである。
ディレクトリ・サービスへのアクセスに関するサブカテゴリは以下の4つなので、必要に応じて使い分けていただきたい。
すべての監査設定を終えた後、監査設定が有効になっているオブジェクトの設定を変更して、実際に取得できるログを見てみよう。ここでは、ユーザーの事業所プロパティを「東京」から「幕張」に変更してみた。その結果、プロパティの削除と追加の2つのログが、イベントID「5136」として出力されていることが分かる。
Windows Server 2008では、グループ・ポリシーに関しても以下のような変更が行われている。
まずは概要の記事(第2回「2.強化されたActive Directory関連サービス」)でも簡単に触れたが、1つはポリシーの項目数で、Windows Server 2003とWindows XPのころには1600超だったものが、Windows Server 2008とWindows Vistaでは約2700項目に増えた。この増加により、Windows Vistaで強化された多くの機能がグループ・ポリシーで制御可能となっている。より詳細な管理がグループ・ポリシーで実行できるのは管理者にとってのメリットでもあるが、項目数が増えた分、管理者の負担も増えているかもしれない。Windows Server 2008のグループ・ポリシー管理コンソールに追加された「スターターGPO」という機能は、そのような状況への対応も考慮されている。いくつかの定義済み項目をスターターGPOとして登録しておけば、新しくグループ・ポリシーを作成する際にテンプレートとして選択可能になり、同様の作業を繰り返さずに済むようになる。
そしてもう1つ、いままではグループ・ポリシーの数が増えると、ポリシーの設定情報が保存されるSYSVOLというフォルダの容量が大きくなるという問題があった。このSYSVOLフォルダはドメイン・コントローラ間の複製の対象となっているため、この問題はすべてのドメイン・コントローラに、そしてネットワーク全体に関係していた。そこでWindows Server 2008ではSYSVOL内で管理される設定情報量を抑制し、言語ごとに保管していたポリシーを言語非依存のポリシー定義部分(ADMX)と言語依存部分(ADML)に分けて管理するなどの工夫が行われている。
また、それらのポリシー定義ファイルをドメイン全体で共有する「セントラル・ストア構成」を取ることができる(関連記事参照)。ローカルで管理していたポリシーの定義を集中管理することで、独自の定義などで拡張した場合でも、意識することなく複数のドメイン・コントローラ間で複製されるため、メンテナンス効率も向上するだろう。ちなみに、セントラル・ストアを利用するには、ローカル・フォルダ%systemroot%\PolicyDefinitionsを、%systemroot%\sysvol\domain\policies配下にコピーすればよい。以下は、ポリシー定義をローカルから取得した場合の画面と、フォルダをコピーした後にセントラル・ストアから読み込まれた場合の画面である。
Windows Server 2008のActive Directoryでは、読み取り専用ドメイン・コントローラという新しい動きをするドメイン・コントローラが提供される。もちろん、Windows Server 2008だからといってすべてが読み取り専用ドメイン・コントローラになるわけではないのでご安心いただきたい。さて、この読み取り専用ドメイン・コントローラは、ブランチ・オフィス・シナリオに密接にかかわってくるため、次回の後編で詳しく解説する。
Windows Server 2008のActive Directoryの新機能を調べると、おそらく読み取り専用ドメイン・コントローラが真っ先に出てくることだろう。しかし今回取り上げた内容の中には、実際にActive Directoryを管理しているエンジニアの方にとって、利用してみたい機能がいくつか含まれているだろうと期待する。
今回触れなかった読み取り専用ドメイン・コントローラや、これを中心としたブランチ・オフィス・シナリオ(支店や拠点における新しい認証基盤)については次回をお待ちいただきたい。
Copyright© Digital Advantage Corp. All Rights Reserved.