グループ

第9回 オブジェクトの管理(2)【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ Active Directoryデータベース内で管理されているオブジェクト「コンピューター」と「グループ」について解説 前回のコラムでは、Active Directoryデータベース内で管理されるオブジェクトのうち、OUとユーザーという2種類のオブジェクトの管理方法について解説しました。今回は、それ以外の代表的なオブジェクトである、コンピューターとグループについて解説します。 ■ コンピューター コンピューターとは、ドメインに参加しているコンピューター自体を認証するためのオブジェクトで、コンピューターアカウントとも呼ばれます。ドメインに参加するコンピューターは、起動時にコンピューターアカウントを使用して、ログオンをおこなっています。私たちからは見えていませんが、コンピューターを起動してユーザー認証がおこなわれる前に、コンピューター自体の認証がおこなわれているのです。 そして、コンピューターアカウントにもパスワードが設定されており、コンピューターアカウントの名前とパスワードを使用した認証がおこなわれています。コンピューターアカウントのパスワードは、私たちが決めるものではなく、Active Directoryによって生成されます。ドメインに参加した時点で、コンピューター名からコンピューターアカウントの作成および関連付けがおこなわれ、パスワードが生成されてドメインコントローラーからそのコンピューターに通知されます。また、ユーザーアカウントのパスワードと同じように、このパスワードは定期的に変更されます。既定では30日に1度のタイミングで変更され、このような動作をおこなうことで、コンピューター名を偽装してドメインへアクセスがおこなわれることを防いでいます。 コンピューターアカウントのプロセスはバックグラウンドでその都度おこなわれているため、そのコンピューターを定期的に起動して使用していれば、特別な管理は必要ありません。ただし、長期間使用しないコンピューターがある場合には、不正利用できないようにコンピューターアカウントを無効にして、ドメインの認証を禁止します。また、コンピューターアカウントにはパスワードが設定されているため、古いActive Directoryデータベースを復元した場合や、クライアントコンピューターのディスクイメージを復元した場合などでは、クライアントコンピューターとコンピューターアカウントのパスワードの不一致が起き、認証に失敗することがあります。コンピューターアカウントの認証に失敗しても、ユーザーの画面はユーザー認証の画面が表示されますが、ユーザー名とパスワードを正しく入力しても、以下のエラーでサインインできない状況になります。 このような状況になった場合は、コンピューターアカウントのリセットが必要です。リセットの方法はいくつかありますが最も一般的なのは、Active Directoryユーザーとコンピューターの管理ツールからコンピューターアカウントのリセットをおこなった上で、コンピューターのドメイン参加をやり直す方法です。 ■ グループ グループは、リソースへのアクセス許可の管理を効率的におこなうことを目的として使用されるオブジェクトで、グループアカウントとも呼ばれます。たとえば、同じアクセス許可や権限を複数のユーザーに割り当てたい場合、個々のユーザーに対してその割り当てをおこなうのは非効率であり、後でそれをまとめて変更したい場合も面倒です。グループを作成し、複数のユーザーなどをそのグループのメンバーとして設定すれば、グループの単位でアクセス許可や権限の割り当てがおこなえます。 グループ自体に設定するパラメーターの1つに、スコープがあります。スコープは、所属するメンバーとグループの使用範囲を決定するパラメーターであり、スコープの選択肢としては3種類があります。つまり、どのスコープでグループを作成するかによって、どのようなものを含められるかが異なるというわけです。3つのスコープのそれぞれに含めることができるオブジェクトは以下の通りです。 グループの作成を無計画におこなってしまうと、却って管理が煩雑化してしまいます。マイクロソフトが推奨するグループ作成および管理方針の1つにID-G-DL-A(またはID-G-U-DL-A)があります。これはID(Identities:ユーザーやコンピューター)をG(Global...

ADManager Plus , セキュリティ , 一般 1 min read

第4回 Azure ADのユーザー・グループの管理(1)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 7分 ◆ 今回の記事のポイント ◆ ・ PowerShellでAzure ADへ接続する方法について解説 ・ CSVファイルのインポートによるAzure ADアカウントの一括登録方法について解説 ・ CSVファイルのインポートによるグループへの登録方法について解説 前回、Azure ADディレクトリの作成方法についてみてきました。Azure ADのディレクトリが作成できたら、オンプレミスのActive Directoryの時と同じように続いてユーザーとグループを作成します。そこで今回はユーザーとグループを効率よく管理するための方法について見ていきます。 最も簡単なAzure ADのユーザーとグループの作成方法はGUIの画面から作成することです。Office 365の管理画面であるMicrosoft 365 管理センター(https://portal.office.com/)や、Azure AD専用の管理画面であるAzure Active...

ADAudit Plus , セキュリティ , 一般 1 min read

特権グループに所属しているメンバーを調査する

Reading Time: 1 minutesこの記事の所要時間: 約 3分 Active Directoryのセキュリティを強化するためには、適切なメンバーに対して特権が付与されている状態を、しっかりと保つことが大切です。グループに所属するメンバーの情報を取得すること自体は、複雑な作業ではありません。しかしながら、「継続的に」メンバーの情報を取得すること、そして「権限が昇格されたグループ」まで正しく把握することは、決して簡単なことではありません。そこで、本ブログでは、グループに所属するメンバーの一覧を効率的に取得し、レポート化するための方法について案内します。 まずは、Active Directoryにて特権が付与されているグループの一覧を列挙します。Active Directoryで管理されているグループは、大きく以下の3つに分けられるかと思います。 1. 組み込みの特権グループ・・インストール時に自動登録されるグループ 例) Domain Admins、Enterprise Admins、Administrators、DNSAdmins、Group Policy Creator Ownersなど 2. サービスとアプリケーショングループ・・アプリケーションやサービスを利用されるために使用されるアカウント 例) Exchange Administrative Group、Sharepoint Administrative Group...

ADManager Plus 1 min read

ADSelfService Plusでドメインユーザーが使用できる操作のポリシーを設定する

Reading Time: 1 minutesこの記事の所要時間: 約 0分 本ブログでは、Active Directory アカウント管理セルフサービスソフトADSelfService Plusのポリシー設定について紹介します。 ADSelfService Plusでは、ドメインユーザーが使用できる操作についてポリシーを設定できます。主なポリシーの内容は次のとおりです。 ・パスワードのリセット ・アカウントロックの解除 ・セルフアップデート ・パスワードの変更 ポリシーの設定方法は次のとおりです。 1. [設定]メニュー – [ポリシー設定]に移動 2. [ポリシーの追加]をクリック 3. ポリシー名を入力 4. ドメインユーザーの操作として許可する項目にチェックを入れる 5....

ADSelfService Plus 1 min read