Reading Time: 1 minutes

◆ 今回の記事のポイント ◆
・ Active Directoryデータベース内で管理されているオブジェクト「コンピューター」と「グループ」について解説

前回のコラムでは、Active Directoryデータベース内で管理されるオブジェクトのうち、OUとユーザーという2種類のオブジェクトの管理方法について解説しました。今回は、それ以外の代表的なオブジェクトである、コンピューターとグループについて解説します。

■ コンピューター

コンピューターとは、ドメインに参加しているコンピューター自体を認証するためのオブジェクトで、コンピューターアカウントとも呼ばれます。ドメインに参加するコンピューターは、起動時にコンピューターアカウントを使用して、ログオンをおこなっています。私たちからは見えていませんが、コンピューターを起動してユーザー認証がおこなわれる前に、コンピューター自体の認証がおこなわれているのです。

そして、コンピューターアカウントにもパスワードが設定されており、コンピューターアカウントの名前とパスワードを使用した認証がおこなわれています。コンピューターアカウントのパスワードは、私たちが決めるものではなく、Active Directoryによって生成されます。ドメインに参加した時点で、コンピューター名からコンピューターアカウントの作成および関連付けがおこなわれ、パスワードが生成されてドメインコントローラーからそのコンピューターに通知されます。また、ユーザーアカウントのパスワードと同じように、このパスワードは定期的に変更されます。既定では30日に1度のタイミングで変更され、このような動作をおこなうことで、コンピューター名を偽装してドメインへアクセスがおこなわれることを防いでいます。

コンピューターアカウントのプロセスはバックグラウンドでその都度おこなわれているため、そのコンピューターを定期的に起動して使用していれば、特別な管理は必要ありません。ただし、長期間使用しないコンピューターがある場合には、不正利用できないようにコンピューターアカウントを無効にして、ドメインの認証を禁止します。また、コンピューターアカウントにはパスワードが設定されているため、古いActive Directoryデータベースを復元した場合や、クライアントコンピューターのディスクイメージを復元した場合などでは、クライアントコンピューターとコンピューターアカウントのパスワードの不一致が起き、認証に失敗することがあります。コンピューターアカウントの認証に失敗しても、ユーザーの画面はユーザー認証の画面が表示されますが、ユーザー名とパスワードを正しく入力しても、以下のエラーでサインインできない状況になります。

このような状況になった場合は、コンピューターアカウントのリセットが必要です。リセットの方法はいくつかありますが最も一般的なのは、Active Directoryユーザーとコンピューターの管理ツールからコンピューターアカウントのリセットをおこなった上で、コンピューターのドメイン参加をやり直す方法です。

■ グループ

グループは、リソースへのアクセス許可の管理を効率的におこなうことを目的として使用されるオブジェクトで、グループアカウントとも呼ばれます。たとえば、同じアクセス許可や権限を複数のユーザーに割り当てたい場合、個々のユーザーに対してその割り当てをおこなうのは非効率であり、後でそれをまとめて変更したい場合も面倒です。グループを作成し、複数のユーザーなどをそのグループのメンバーとして設定すれば、グループの単位でアクセス許可や権限の割り当てがおこなえます。

グループ自体に設定するパラメーターの1つに、スコープがあります。スコープは、所属するメンバーとグループの使用範囲を決定するパラメーターであり、スコープの選択肢としては3種類があります。つまり、どのスコープでグループを作成するかによって、どのようなものを含められるかが異なるというわけです。3つのスコープのそれぞれに含めることができるオブジェクトは以下の通りです。

グループの作成を無計画におこなってしまうと、却って管理が煩雑化してしまいます。マイクロソフトが推奨するグループ作成および管理方針の1つにID-G-DL-A(またはID-G-U-DL-A)があります。これはID(Identities:ユーザーやコンピューター)をG(Global group)でまとめ、これをDL(Domain Local group)に入れて、DLにA(Access)の許可を与えるという考え方です。
例えば、以下のようなフォレストでAドメインとBドメインのメンバーに対して、Bドメイン上の共有フォルダーに対してアクセス許可を設定したい場合、この考え方に沿うと以下のような構成になります。

このように構成すると、グローバルグループへのメンバー登録および削除をおこなうだけで、結果的にアクセス許可を割り当てできます。また、グローバルグループはドメイン毎に作成および管理をおこなっているため、グローバルグループのメンバーの変更は各ドメインの管理者がおこないます。つまり、上の図の場合、Bドメインのリソースのアクセス制御を、Aドメインの管理者が自ドメインで管理しているグローバルグループのメンバーの追加や削除によって簡単に実現できます。

今回のコラムでは、前回に続いてオブジェクトの管理方法について解説しました。次回のコラムでは、コマンドによるオブジェクト管理について解説します。

筆者紹介
新井 慎太朗 (あらい しんたろう)
株式会社ソフィアネットワークに勤務し、2009年よりマイクロソフト認定トレーナーとしてトレーニングの開催やコース開発に従事。前職である会計ソフトメーカー勤務時には、会計ソフトの導入サポート支援や業務別講習会講師を担当。これらの経歴も活かして、ユーザー視点や過去の経験談なども交えながらのトレーニングを提供。主にWindows OS、仮想化技術関連のマイクロソフト認定コースを中心に講師として活動しながら、近年の書籍の執筆などの活動も評価され、2017年からMicrosoft MVP for Enterprise Mobilityを受賞。
主な著作は『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』『徹底攻略MCP問題集 Windows 10』(インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。

 

 

ゾーホー社員のつぶやき

こんにちは、ゾーホージャパンの前田です。今回は、Active Directoryデータベース内で管理されているオブジェクトのうち、「コンピューター」と「グループ」について学びました。その中で、「期間使用しないコンピューターがある場合には、不正利用できないようにコンピューターアカウントを無効にして、ドメインの認証を禁止します」という記載がありましたが、みなさまは使用されていないコンピューターアカウントの棚卸を定期的に実施されていますか?PowerShellを使用する場合、以下のコマンドよりデータの抽出が可能です。

Search-ADAccount -AccountInactive -DateTime “xxxx/xx/xx” -ComputersOnly | Format-Table Name | Out-File computer.txt

※ -DateTimeにて、いつからログオン記録のないコンピューターオブジェクトを抽出するかを指定します。

しかし、「さらに可視性を高めたい」「指定期間内使用されていないコンピューターアカウントを定期的にレポートとして出力したい」という場合は、ManageEngineが提供する「ADManager Plus」をご活用いただければと思います。本製品にはActive Directoryの現在の状況を可視化するレポートを豊富にご用意しており、一定期間活動のないコンピューターもワンクリックで抽出することが可能です。

■ ADManager Plusとは?
WebベースのGUIでActive Directoryのユーザー/コンピューター/ファイルサーバーを管理し、自動化/ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。

ADManager Plusについて詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスください。

【ADManager Plusの製品ページ】
https://www.manageengine.jp/products/ADManager_Plus/

【ADManager Plusのダウンロードページ】
https://www.manageengine.jp/products/ADManager_Plus/download.html



▼▼ 過去記事はこちら ▼▼
第7回 操作マスター【MicrosoftのMVP解説!Active Directoryのハウツー読本】
第8回 オブジェクトの管理(1)【MicrosoftのMVP解説!Active Directoryのハウツー読本】

▼▼ 別シリーズのブログ記事もチェック! ▼▼
第1回 AzureADを利用する意味【MicrosoftのMVP解説!AzureADの虎の巻】
第2回 Azure ADを使って安全にクラウドサービスへアクセスする【MicrosoftのMVP解説!AzureADの虎の巻】


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。