Active Directoryのアクセス制御とは?【連載:ADについて学ぼう~応用編(5)~】

ADAudit Plus, ADManager Plus, ADSelfService Plus | July 10, 2016 | 1 min read

Reading Time: 1 minutes

【目次】 連載:ADについて学ぼう

記念すべき第10回目の連載では、Active Directoryのアクセス制御機能についてご紹介します。

システム上には、さまざまな共通リソースが存在しているかと思います。そのようなWindowsの共通リソースに対して、誰でも好き勝手にアクセス出来てしまったら、社内セキュリティ上問題があります。
そこでActive Directoryでは「ACL (アクセス制御リスト)」機能を使用して、リソースに対するアクセスの有無をあらかじめ設定することにより、適切なユーザーやグループのみがリソースにアクセスできるように、管理を行うことが可能です。

■ アクセス制御リストの関連用語
——————————————————————

アクセス制御リストの設定方法について記載する前に、まず、関連用語をご紹介していきたいと思います。

・ ACL(Access Control List)
システム上のセキュリティ向上を目的とした機能で、対象リソースに対するアクセス権利の有無を設定します。「DACL」と「SACL」の2種類があります。

・ DACL(Discretionary Access Control List)
基本的にACLというと、DACLを指します。DACLは、オブジェクトに対するアクセスの許可、あるいは拒否のアクセスエントリ一覧を指します。DACLが存在しない場合は、全員にフルアクセス権が付与されますが、DACLが存在してもエントリが含まれていない場合、全員に対してアクセスが拒否されます。

・ SACL(System Access Control List)
オブジェクトへのアクセス時に発生する、成功・失敗イベントを監査するか否かを設定します。対象リソースに対して、SACLを有効化することで、アクセス発生時にイベントビューアーへログを残すことが可能となります。既定では、オブジェクトの作成者と所有者が含まれています。

・ ACE(Access Control Entry)
アクセス制御リストの構成要素です。複数のACEが集まったものがACLとなります。ACEでは、「誰が」「どのリソース」に対して「アクセスを許可/拒否」するかといった情報が含まれています。

ACE
■ ACLの設定
——————————————————————

次にACLの設定画面を、簡単にご紹介していきたいと思います。

【プロパティ画面】
(1)ACLの設定状態を確認するには、フォルダを右クリックして「プロパティ」をクリック後、[セキュリティ]タブに移動します。
(2)下のスクリーンショット画面の赤枠部分がACEの一覧です。
(3)[詳細設定]をクリックすることで、ACLの詳細設定画面を表示することが可能です。

【詳細設定画面】
(4)詳細なACLの一覧が表示されます。種類は「拒否」と「許可」の2つがあり、ACEの適用順序は「拒否」→「許可」の順となっています。そのため表示される際には「拒否」のACEが先に、「許可」のACEが下に列挙されます。
(5)ACLを追加するには下の[追加]をクリックします。

【エントリの追加/編集画面】
(6)プリンシパルを指定することで、指定したリソースに対するACEのエントリを追加/編集できます。
(7)デフォルトでは「フルコントロール」や「変更」といった基本のアクセス許可一覧が表示されています。
(8)右上の[高度なアクセス許可を表示する]をクリックすることで、設定可能な権限全てを表示することが可能です。
(9)「これらのアクセス許可を、このコンテナーの中にあるオブジェクトやコンテナーにのみ適用する」のチェックボックスをオンにすることで、継承先をサブフォルダーまでに限定することが出来ます。チェックボックスがオフの場合、継承先を「このフォルダーのみ」としない限り、どこまでも継承されます。

ACL

以上がACLの関連用語、そしてACLの設定画面のご紹介になります。

<< 応用編(4) Active DirectoryのFSMOとは?[2]
>> 応用編(6) 実は簡単!GPOのバックアップと復元方法


関連ホワイトペーパーのご紹介

Active Directory 特権アクセスに対するセキュリティ対策ソリューション

Active Directoryの特権アカウントに対するセキュリティを向上させるためには、どこに注意し、どう対策をとるべきかを多方面から解説しています。特権アカウントに対するセキュリティを向上させたいという方、特権アカウントに対するコントロール不足を課題に感じている方に特におすすめです。

▼▼ダウンロードはこちら ▼▼
特権アクセスに対するセキュリティ対策ソリューション


【他シリーズのActive Directory連載記事はこちら】
MicrosoftのMVP解説!Active Directoryのハウツー読本第1回 Active Directoryの必要性
MicrosoftのMVP解説!AzureADの虎の巻第1回 AzureADを利用する意味

Tags : ACL / Active Directory / DACL / SACL / アクセス / アクセスエントリ / アクセス制御
ManageEngine事業部

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。

Comments are closed.