Active Directoryの委任とは?権限委任で管理者の負担を軽減しよう!【連載:ADについて学ぼう~応用編(1)~】

ADAudit Plus, ADManager Plus, ADSelfService Plus | June 19, 2016 | 1 min read

Reading Time: 1 minutes

【目次】 連載:ADについて学ぼう

ドメイン内には多くのOUが存在しており、さらに各OUには多くのユーザーやグループといったオブジェクトが存在しています。そんなOUに対する管理変更(パスワードリセットやユーザー作成や削除など)を、ドメイン管理者が全て行っている場合、ドメイン管理者の負担は大変大きくなりがちです。

そこで、Active Directoryの機能の一つである「制御の委任」を行うことにより、OU単位で、特定の管理作業だけを任せることができるようになります。これにより、Active Directory内の管理作業を分担することが出来るため、ドメイン管理者の負担を軽減することが可能です。

%e5%9b%b312

今回はセキュリティ管理者にとって、特に負担が大きくなりがちな「パスワードリセット」の権限委任を例に、委任の設定方法をご紹介していきたいと思います。

1.「Active Directoryユーザーとコンピュータ」を起動します。
2.制御の委任を行うOUを右クリックして、「制御の委任」を選択します。

inin

3.「オブジェクト制御の委任ウィザード」が起動します。
4.[追加]ボタンをクリックして、権限委任を行うユーザーまたはグループを選択します。

add

5.委任するタスクの種類を以下の2つから選択します:
(今回は[委任するカスタムタスクを作成する]を選択します。)

task

[次の共通タスクを委任する]
制御を委任できる共通タスクは次の通りです。
・ ユーザー アカウントの作成、削除、および管理
・ ユーザーのパスワードをリセットして次回ログオン時にパスワードの変更を要求する
・ すべてのユーザー情報の読み取り
・ グループのメンバーシップの変更
・ コンピューターのドメインへの参加
・ グループ ポリシーのリンクの管理
・ ポリシーの結果セットの生成 (計画)
・ ポリシーの結果セットの生成 (ログ)
・ inetOrgPerson アカウントの作成、削除および管理を行います
・ inetOrgPerson パスワードをリセットし、次回ログオン時に強制的にパスワードの変更を求めます
・ すべての inetOrgPerson 情報を読み取る

[委任するカスタムタスクを作成する]
委任するタスクが上記一覧にない場合は、カスタムタスクを作成することで、より詳細の制御を委任できます。

6.委任するオブジェクトの種類を選択します。(今回は[ユーザーオブジェクト]を選択します。)

object

このフォルダ、このフォルダ内の既存のオブジェクト、およびこのフォルダ内の新しいオブジェクトの作成:OU内のすべてのオブジェクトの権限を委任する場合に選択します。
フォルダ内の次のオブジェクトのみ:一部のオブジェクトに対してのみ権限を委任する場合に選択します。

7.委任するアクセス許可を選択します。(今回は[パスワードのリセット]を選択します。)

inin2

全般:既定の表示です。アクセス許可の一覧に、ウィザードの前のページで選択したすべてのオブジェクトに共通するアクセス許可が表示されます。
プロパティ固有:アクセス許可の一覧に、 ウィザードの前のページで選択したオブジェクトの種類の固有のプロパティが表示されます。
特定の子オブジェクトの作成または削除:アクセス許可の一覧に、ウィザードの前ページで選択した、オブジェクトの種類の[子オブジェクトの作成と削除]に対する固有のプロパティが表示されます。

8.最後に[完了]をクリックしてウィザードを終了します。

以上の手順により、パスワードリセットの権限委任を行うことが出来ました。

設定内容を確認してみよう!!

1.「Active Directoryユーザーとコンピュータ」を起動します。
2.メニューの “表示” → “拡張機能” にチェックが入っていることを確認します。
入っていなければ選択してチェックを入れます。これにチェックが入っていると、オブジェクトの拡張セキュリティ設定にアクセスすることができます。
3.先ほど権限委任を行ったOUを右クリックして、プロパティを開きます。
4.[セキュリティ]タブに移動すると、権限を付加したユーザーが追加されているのが確認できます。

OU
5.[詳細設定]をクリックして設定内容の詳細を表示します。
6.アクセス許可のエントリ一覧を見ると、権限を付加したユーザーにパスワードリセットの権限が付加されているのが確認できます。

access

以上が設定内容の確認方法になります。

最後に、今回ご紹介した「制御の委任」ですが、ADManager Plusを使用することでより簡単に行うことが出来ます!興味のある方は、ぜひ下記サイトをご参照ください。

「Active Directoryの管理操作をオペレーターに委任」
https://www.manageengine.jp/products/ADManager_Plus/windows-active-directory-helpdesk-delegation.html

「ADMPを使って、Euro2016 フランス代表選手をインポートしてみた」
https://blogs.manageengine.jp/import-les-blues/

<< 導入編(1) Active Directoryのユーザーアカウント作成とは?
>> 応用編(2) ダイナミックアクセス制御と設定方法


関連ホワイトペーパーのご紹介

Active Directory 特権アクセスに対するセキュリティ対策ソリューション

Active Directoryの特権アカウントに対するセキュリティを向上させるためには、どこに注意し、どう対策をとるべきかを多方面から解説しています。特権アカウントに対するセキュリティを向上させたいという方、特権アカウントに対するコントロール不足を課題に感じている方に特におすすめです。

▼▼ダウンロードはこちら ▼▼
特権アクセスに対するセキュリティ対策ソリューション


【他シリーズのActive Directory連載記事はこちら】
MicrosoftのMVP解説!Active Directoryのハウツー読本第1回 Active Directoryの必要性
MicrosoftのMVP解説!AzureADの虎の巻第1回 AzureADを利用する意味

Tags : Active Directory / OU / 制御 / 委任 / 権限
ManageEngine事業部

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。

Comments are closed.