第2回 Active Directoryのキホン(1)【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ Active Directoryのキホンとなる3つのキーワード (ドメイン、フォルスト、信頼関係) について解説 前回よりActive Directoryのコラムを担当している新井です。前回は、Active Directoryの必要性や、ワークグループとドメインの違いについて解説しました。今回は、このコラムの本題となるActive Directoryを管理していく上で「キホン」となる概念やキーワードについて解説してきます。ただ、その「キホン」となるキーワードはボリュームが多いため、2回に分けて解説していきますので、次回のコラムと併せてお読みいただければと思います。今回は、「ドメイン」、「フォレスト」、「信頼関係」という3つについてピックアップして解説します。 ■ ドメイン ドメインとは、Active Directoryの「オブジェクトを管理する単位」です。オブジェクトとは、Active Directoryに登録されるアカウント (ユーザー、コンピューター、グループなど) やリソースの総称です。オブジェクトの管理方法などについては次回以降の連載で解説しますが、現時点ではオブジェクトは「アカウントなどの総称」として捉えていただければと思います。さて、本題となるドメインに話を戻しますが、ドメインはオブジェクトを管理する単位であるため、1つのドメイン内ではドメインコントローラー (DC) 同士が複製の仕組みを使用して同じオブジェクトの情報を共有します。逆にドメインが分かれている場合にはオブジェクトの管理も分かれるということになります。例えば、下の図のようにAドメインとBドメインがある場合、保有するオブジェクトはそれぞれ別物であるということになります。 ■...

ADAudit Plus , ADManager Plus 1 min read

Office365のライセンス使用状況をツールで効率的に可視化!

Reading Time: 1 minutesこの記事の所要時間: 約 2分 本ブログでは、Office365のライセンスを適切に管理することの難しさと、ADManager Plusのレポート機能を使用した場合の効率的な運用方法についてご紹介します。 Office365の利用を開始する際、多くの組織は、業務の中で使用することが予想される数を見積もった上で、ライセンスを購入します。しかし、たとえ正確に見積を出した場合でも、時がたつにつれて組織で必要となるライセンス数は変動するものです。例えば、従業員の退職や、組織内の特定のチームから外れたりした場合などは余剰ライセンスが発生します。このような例は往々にして起こり得るため、未活用のライセンスが発生しやすく、適切な管理のためには、企業は常日頃からライセンスの利用状況を正しく分析する必要があります。 また、組織変更の都度、管理者が手動でライセンスを再配置することは殆ど不可能なことだといえます。ライセンスの配置を効果的に実施するためには、管理者はライセンス/ユーザー/グループの情報を「正確」に把握する必要があります。しかし、デフォルトで利用可能なツール「Office365管理センター」には、包括的に情報を表示できるようなレポートが用意されていません。また、自動的なライセンス管理をPowerShellスクリプトの実行により実現しようとした場合、一定の技術が必要となり、時間もかかります。そこで、管理者がOffice365をより効率的に可視化するためのツールが必要となります。 ManageEngineが提供するActive Directory運用管理ソフト「ADManager Plus」では、Office365におけるライセンス/ユーザー/グループといった包括的な情報をレポート化する機能が備わっています。以下に、ADManager Plusが搭載しているレポートの一部をご紹介します。   Office365ユーザーレポート Office365のすべてのユーザー、非アクティブなユーザー、一度もログオンしていないユーザーなどを表示することができ、ユーザーに対するライセンスの付与/除外を行う際に有用です。 [ Office365のすべてのユーザー ] レポート Office365ライセンスレポート Office365のライセンス情報を確認し、さらにライセンスが付与されているユーザー、付与されていないユーザーを抽出することが可能です。管理者はこのレポートを使用して、ライセンスの付与状況が適切かどうかを判断することができます。 [ Office365 ライセンスのあるユーザー ] レポート...

ADManager Plus 1 min read

特権グループに所属しているメンバーを調査する

Reading Time: 1 minutesこの記事の所要時間: 約 3分 Active Directoryのセキュリティを強化するためには、適切なメンバーに対して特権が付与されている状態を、しっかりと保つことが大切です。グループに所属するメンバーの情報を取得すること自体は、複雑な作業ではありません。しかしながら、「継続的に」メンバーの情報を取得すること、そして「権限が昇格されたグループ」まで正しく把握することは、決して簡単なことではありません。そこで、本ブログでは、グループに所属するメンバーの一覧を効率的に取得し、レポート化するための方法について案内します。 まずは、Active Directoryにて特権が付与されているグループの一覧を列挙します。Active Directoryで管理されているグループは、大きく以下の3つに分けられるかと思います。 1. 組み込みの特権グループ・・インストール時に自動登録されるグループ 例) Domain Admins、Enterprise Admins、Administrators、DNSAdmins、Group Policy Creator Ownersなど 2. サービスとアプリケーショングループ・・アプリケーションやサービスを利用されるために使用されるアカウント 例) Exchange Administrative Group、Sharepoint Administrative Group...

ADManager Plus 1 min read

パスワードの有効期限が切れるユーザーを簡単!抽出

Reading Time: 1 minutesこの記事の所要時間: 約 1分 企業には、必ず一つ以上のアカウントが存在します。それはサービス、アプリケーション、開発や一般的な従業員など、様々な用途で使用されており、企業は、アカウントがロックアウトされていないか、パスワードが更新されているかなどを、きちんと監視する必要があります。また、サービスやアプリケーションに紐づけられているアカウントの有効期限が切れた場合、ログオンができず、動作に影響する恐れもあるため、特に注意が必要です。 パスワードの有効期限を管理しているプロパティ情報は、ユーザーオブジェクトの属性に含まれています。しかし、その値はGUI(Active Directoryユーザーとコンピューターなど)からは直接確認することができず、「ユーザーとコンピューター」のカスタムクエリを使用しても、簡単には抽出できません。Active Directoryの知識に長けている人であれば、スクリプトやPowershellを使用して抽出する方法がありますが、今回は 誰でも簡単に パスワードの有効期限切れが近いユーザー、あるいはすでに有効期限が切れているユーザーを抽出することができるツール『ADManager Plus』についてご紹介します。 ADManager Plusとは、Active Directoryのユーザー、コンピューター、ファイルサーバーといったリソースを、WebベースのGUIから管理し、レポート化することができるツールです。本ツールには、パスワードに関するレポートも豊富に用意されており、それぞれワンクリックで生成可能です。 【パスワード レポート】 ・ N日以内にログオンに失敗したユーザー ・ パスワードを変更できないユーザー ・ パスワードが無期限のユーザー ・ パスワード変更が必要なユーザー ・ パスワードの期限切れのユーザー...

ADManager Plus 1 min read

セキュリティ基準を設けることの重要性

Reading Time: 1 minutesこの記事の所要時間: 約 1分 セキュリティ管理者に求められる重要なポイントの一つに、Active Directoryのセキュリティ対策における、現在の自分たちの立ち位置を正確に把握することが挙げられます。そのためには、Active Directoryに関する情報を広範囲にわたり収集することが大切です。 Active Directoryに対するセキュリティ基準の策定 まずは、現在行われているセキュリティ設定の中でコンプライアンスに準拠しないもの、または全体のセキュリティ要件を満たさないものを洗い出し、対策をとることが求められます。 以下が、調査と対策のために見るべき設定の一例です: ・ 特権を有するセキュリティグループ ・ ユーザーの権利 ・ パスワードポリシー ・ アカウントロックアウトポリシー ・ Active Directory 委任 ・ グループポリシー 委任...

ADAudit Plus , ADManager Plus 1 min read

9/29締切!サイバーセキュリティ対策促進助成金:知りたいポイントまとめ

Reading Time: 1 minutesこの記事の所要時間: 約 3分 2017年7月末、東京都および東京都中小企業振興公社は、都内の中小企業サイバーセキュリティ対策を行う際の支援の一環として、必要な設備等の導入経費の一部を助成する旨を発表しました。 ■報道発表:サイバーセキュリティ対策促進助成金 当助成金制度は、本日(2017年9月1日)より申請の受付が開始されました。受付締切は9月29日に設定されており、スケジュールとしてはタイトです。 弊社の確認では、助成金の財源は東京都で、このような実施は今年度(2018年3月末まで)では今回限りとのこと。また、来年度以降については、検討予定だが未定だそうです。セキュリティ対策を実施したくとも予算面に限りがある企業にとっては大きなチャンスですが、一方で、申請期限や財源枠について考えると狭き門でもあります。ご検討中の方は、ぜひ迅速な申請をお勧めいたします。 以下で、助成金を申請するにあたって知っておきたいポイントをまとめます。 【助成対象「中小企業」とは?】 助成金の対象となっている「中小企業」とは、中小企業基本法(昭和38年法律第154号)第2条に規定する中小企業者のことで、業種によって定義が異なります。これについては、下記をご参照ください。 ・製造業その他:資本金の額又は出資の総額が3億円以下の会社、常時使用する従業員の数が300人以下の会社及び個人 ・卸売業:資本金の額又は出資の総額が1億円以下の会社、常時使用する従業員の数が100人以下の会社及び個人 ・小売業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が50人以下の会社及び個人 ・サービス業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が100人以下の会社及び個人 ちなみに、大企業が株主となっているような以下のケースは含まれませんので、ご留意ください。 (1)発行済株式総数又は出資価額の総額2分の1以上を同一の大企業が所有または出資している (2) 発行済株式総数又は出資価額の総額3分の2以上を大企業が所有または出資している (3) 大企業の役員又は職員を兼ねている者が、役員総数の2分の1以上を占有している また、東京都内に登記をしていることも重要な条件です。本店だけでなく、登記簿上に支店が含まれている場合も該当するようです。なお、東京都内で開業届または青色申告をしている個人事業主も含まれます。 【対象製品・サービスは?】 助成金の対象となる製品やサービスの情報は以下の通りです。この情報は様々なWebページでも出回っています。 (1) UTM...

ADAudit Plus , ADManager Plus , Desktop Central , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , セキュリティ 1 min read

今、Active Directoryが危ない!セキュリティ対策のすすめ

Reading Time: 1 minutesこの記事の所要時間: 約 3分 標的型攻撃が横行する昨今、企業内ネットワークに侵入した攻撃者によってActive Directoryのドメイン管理者アカウントが狙われるケースが多数報告されています。 例えば、2015年5月に起きた日本年金機構の個人情報流出事件でも、Active Directoryのドメインコントローラーとローカルの管理者権限が奪われました。 Active Directoryのドメイン管理者アカウントは、業務用端末や各種サーバーへの横断的なアクセスが可能なため、攻略できればマルウェアの感染拡大や機密情報の流出が容易に行えます。このため、攻撃者の攻略目標となりやすいのです。 攻撃の兆候は、ログを定期的に監査することで事前に検知できると言われています。2017年3月には、 JPCERT/CC( Japan Computer Emergency Response Team Coordination Center )からも対策方法を解説した資料が公開されました。 ■ログを活用したActive Directoryに対する攻撃の検知と対策 【どんな対策をすればいいか?】 Active Directoryのセキュリティ対策と言っても、具体的にはどのような対策を実施すればいいのでしょう。以下で、その内容を簡単にまとめます。 <ログ監査>...

ADAudit Plus , ADManager Plus , Password Manager Pro , セキュリティ 1 min read

ADへ一度もログオンしていないユーザーを見つける方法とは?

Reading Time: 1 minutesこの記事の所要時間: 約 2分 Active Directoryデータベースには少なくとも1つのユーザーアカウントが作成されていますが、1度もログオンしていないアカウントが存在している可能性もあります。利用者がログオンしないことは、様々な要因が考えられます。しかし、ログオンされていないアカウントが存在するのは問題です。 それがなぜ問題なのかと思うかもしれません。 そこでユーザーアカウントの作成時のいくつかの一般的な設定の流れを振り返ってみます。 ユーザーアカウントは、従業員が入社する前に数時間前あるいは数日前に作成します 作成時には、共通のパスワードを初期パスワードに設定します 入社後すぐにファイルサーバーや必要なリソースへアクセスするための権限を付与します これらの設定が行われているため、攻撃の起点として使用される可能性のあるユーザーアカウントになっているということを認識しておく必要があります。 既知の共通したパスワードを持つユーザーアカウントが存在するという事は、重大なセキュリティ懸案事項であるため、ログオンしていないユーザーアカウントは何らかの方法で対処する必要があります。 本ブログでは、こういったアカウント情報を収集する方法をご紹介します。 Active Directory ユーザーとコンピューター(ADUC)のクエリ保存機能 ADUCは普段、アカウント作成やOU変更などADを運用する際に通常利用する画面になりますが、ADUCは、事前に定義した条件に一致するオブジェクトを繰り返し表示する方法として、「クエリを保存」するオプションがあります。 例えば、期限が設定されていないパスワード、n日間ログオンしていないユーザーアカウントなどを表示するためのクエリが事前に定義されています。 また、図1のようなカスタムクエリを作成して、ログオンしていないユーザーアカウントを表示することも可能です。 図1.クエリの画面 この方法は、定期的に確認する際に、効率よく確認できます。 しかし、この方法を使用する場合、致命的な問題があります。ログオンしていないアカウントかどうかを知ることは重要ですが、同時にアカウントの作成時期を知ることも重要です。 これにより、管理者は、アカウントがログオンを待っている期間についての洞察を得ることができます。わずか数日または数週間であれば、ユーザーは引き続きアカウントを使用する可能性がありますが、アカウントが1か月以上前に作成された場合、アカウントが使用される可能性は低くなります。 致命的な問題というのは、この保存したクエリからは、各ユーザーの作成日を同時に取得するのは困難であるということです。 ADManager Plus...

ADManager Plus 1 min read

Active Directoryのユーザーアカウント作成とは?【連載:ADについて学ぼう~導入編(1)~】

Reading Time: 2 minutesこの記事の所要時間: 約 6分 【目次】 連載:ADについて学ぼう Active Directoryの代表的なオブジェクトには、「ユーザーアカウント」「グループアカウント」「コンピューターアカウント」などがありますが、この記事ではまず初めに作成するであろう、「ユーザーアカウント」の代表的な作成方法を、3つご紹介していきたいと思います。 目次 1.Microsoftが提供している管理ツールを使用 2.コマンドラインを使用 3.弊社製品の「ADManager Plus」を使用   1.Microsoftが提供している管理ツールを使用 ユーザーアカウントを作成する際に、おそらく最も多くの方が使用している方法が、Microsoft提供の管理ツールなのではないでしょうか。なお、使用可能な管理ツールには、従来からある[ユーザーとコンピューター]と、Windows Server2012R2から追加された[管理センター]の2つがあります。 1-1. [ユーザーとコンピューター]を使用した場合 [コントロール パネル] -> [管理ツール] から、[Active Directory ユーザーとコンピューター]...

ADAudit Plus , ADManager Plus , ADSelfService Plus 2 min read

【なんか遅い!】なぜパスワードのリセットに時間がかかるのか?

Reading Time: 1 minutesこの記事の所要時間: 約 5分 急いでいる時、あるいは外出中に限ってパスワードの有効期限が切れてしまい、PCへのログインや VPN接続ができないといった経験はないでしょうか。 また、そんな急いでいる社員にせかされて、サーバーにログインしてリセット対応するといった経験は ないでしょうか。 本ブログでは、エンドユーザー(社員)から依頼のあるActive Directoryのパスワードリセット要求に対して なぜ対応に時間がかかってしまうのか問題点を確認した上で、ManageEngine ADSelfService Plus、ADManager Plusを使用した場合のパスワードリセットにかかる時間について紹介いたします。 Active Directoryのパスワードリセットは管理者権限やリセット権限が付与されたユーザーでのみ実行 できる処理です。一般のエンドユーザー(社員)権限では自己解決できないため、Eメール、電話、 紙ベースでの申請・問い合わせがおこなわれます。この問い合わせこそ、もっとも時間がかかります。 もちろん、リセット後にエンドユーザーに新しいパスワードをお伝えする必要がある点でも時間がかかる でしょう。 もう1点が、実際にリセットを実行するヘルプデスク担当者や管理者のおこなうリセット作業の時間です。 ドメインコントローラーにアクセスし、Active Directoryが提供するコンソールから実行する場合はそれなりに 時間がかかります。以下の実行手順の場合、2分弱の時間を要します。 【Active Directoryユーザーとコンピューター(ADUC)のコンソールの場合】...

ADManager Plus , ADSelfService Plus 1 min read