Active Directoryの管理は、ドメインやフォレストの設定、ADの整理と健全性の維持、グループポリシーの適切な管理、および包括的なバックアップ/リカバリのプロセスによるビジネス継続性の確保など、広範囲にわたるタスクで構成されています。
健全なAD構造の確立
健全なAD構造の確立、または既存のADの整理は、効率的かつ効果的なActive Directory管理に不可欠です。グループポリシーを管理する機能を大幅にシンプル化し、適切な管理権限委任を支援することで、セキュリティを犠牲にすることなく管理ワークロードを行き渡らせ、ユーザアカウントのプロビジョニングおよびレポート作成などの一般的なタスクを合理化できます。
ドメインの確立
ドメインの確立
AD管理の基本ユニットは、単一のADデータベースに保存された、関連ユーザ、コンピュータ、プリンタ、およびその他のADオブジェクトのグループからなるActive Directoryドメインです。ドメインは確実な安定性が求められるエンティティであるため、入念に設定する必要があります。例えば、自社のシカゴ支所にドメインがあり、また別のドメインがサンフランシスコ支所にあるとします。ドメインには管理の境界が存在するため、シカゴの管理者は、サンフランシスコのドメインのユーザを削除できません。同様にサンフランシスコの管理者は、シカゴのドメインのユーザ権限を変更できません。
組織単位を作成する
組織単位を作成する
AD管理をシンプル化するには、各ドメインのオブジェクトを組織単位(OU)としてグループ化します。OUは、多くの場合、組織の構造を反映します。例えば、シカゴ支所の営業、マーケティング、IT、法務などの部署ごとにOUが設定されます。プロジェクトごとにOUを作成して、プロジェクトが終了すると抹消するなど、一時的なOUを設定する場合もあります。ただし、そのような変更を行う場合は系統立てて行うことが不可欠です。一時的な変更が常態化すると、AD構造が混乱し、全体の把握や管理が非常に困難になります。
スキーマを定義する
スキーマを定義する
データベーススキーマについては入念に計画しましょう。このスキーマには、作成可能なすべてのオブジェクトクラスと、ADオブジェクトに設定できるすべての属性の正式な定義が含まれます。Active Directoryにはデフォルトのスキーマがありますが、特定のビジネスニーズに合わせて調整する必要があるでしょう。計画段階では、スキーマの設計を注意深く行います。後から変更すると、ADは認証および承認において中心的役割を果たしているため、ビジネスに大きな混乱が発生する可能性があります。
命名基準を導入する
命名基準を導入する
ドメイン、OU、スキーマのすべてのレベルにおいて、命名基準を作成し、それに従うようにします。そうすることで、適切なユーザに連絡する、ある会議室のマシンを特定するなどの作業が容易になります。ユーザのプロビジョニングおよび再プロビジョニングを容易かつ正確に実行できるよう、ADセキュリティグループの命名において系統的に行うことが特に重要です。また、各セキュリティグループの目的の明確な説明を追加しておくとよいでしょう。ほんの数秒の手間で、将来的に重大な問題の回避に役立ちます。
ADの健全性を監視する
IT環境は動的な場所です。どれほど完璧にドメイン、OU、スキーマなどの計画を立てたとしても、ただActive Directoryを設定して、後は放っておくというわけにはいきません。ユーザ、コンピュータ、プリンタ、およびその他のADオブジェクトは作られては消えて行きます。したがって、プロビジョニングとプロビジョニング解除の手順が必要になり、その手順は認証ベースのワークフローによりできる限り自動化する必要があります。また、定期的にアクティブではないユーザやコンピュータアカウントを特定し、不正に使われる前に削除する必要があります。
より広い視点では、ドメインコントローラの健全性と、コントローラ間でのデータ複製をリアルタイムで監視する必要もあります。そうしなければ、ユーザのログイントラブルや、業務に必要なリソースにアクセスできないなどの問題が発生することが考えられます。
Microsoftでは、 Windows PowerShell、Active Directoryユーザとコンピューター(ADUC)、ローカルユーザおよびグループ、およびMicrosoft管理コンソール(MMC)のActive Directoryスキーマスナップインなど、数種のActive Directory管理ツールを提供しています。ただし、ネイティブツールの機能は限られており、ツール同士の切り替えも手間がかかります。またタスクが手動になることが多く、時間がかかる上にエラーの可能性も高まります。
サービスアカウントを徹底追跡する
サービスアカウントを徹底追跡する
多くの場合、スクリプトやアプリケーションを扱うには、一般ユーザアカウントよりも上位のアクセス権が必要になります。しかしながら、そこで管理者アカウントを使うべきではありません。アプリケーションに必要以上のアクセス権を付与することになり、管理者アカウントへのセキュリティ侵害のリスクが高まります。ベストプラクティスでは、最小権限の原則に従い、管理者アカウントを使用せず、アプリケーションごとのサービスアカウントを作成して、そのアカウントに必要な権限のみを付与します。
ただし、そのアカウントを放置してはいけません。サービスアカウントにはIT環境の重要なリソースへのアクセス権があるため、各サービスアカウントが何を実行しているのか追跡する必要があります。アカウントのセキュリティ侵害や不正使用の兆候となり得る、通常と異なるアクティビティや無許可のアクティビティをプロアクティブに見つけ出します。
グループポリシーを管理する
グループポリシーを管理する
Active Directory管理の重要な側面には、 グループポリシーの管理もあります。グループポリシーとは、グループポリシーオブジェクト(GPO)と呼ばれるポリシーのセットで、ドメイン全体または一部のOUのみに適用することができます。例えば、グループポリシーを使用すると、シカゴドメインのユーザすべてに複雑なパスワードの使用を要求する、シカゴドメインの財務OUのみすべてのコンピュータで外付けメディアの使用を禁止する、などを実行できます。Microsoftでは、自分で設定可能なGPOを数百種類提供しています。
グループポリシーは非常に影響力が強いため、設定を適切に行い、変更の管理に注意を払うことが重要です。不適切な変更がたった一度行われただけで、ダウンタイムやセキュリティ侵害の原因になる可能性があります。残念ながら、ネイティブのツールでは、グループポリシーの制御を継続することは容易ではありません。
- PSTファイルの作成を無効化
- ユーザのブラウザに使用頻度が高いサイトを追加
- 有用なネットワークドライブのマッピング
- すべてのコンピュータにカスタムのレジストリ値を設定
- すべてのWindows Serverマシンおよびその他のコンピュータに標準オペレーティングシステムとその他のソフトウェアを導入
- コンピュータの起動時やシャットダウン時、またはユーザのログイン/ログアウト時に特定のスクリプトを実行
変更管理を実装する
変更管理を実装する
意図的であるかどうかにかかわらず、Active Directoryやグループポリシーに不適切な変更が加えられると、重要なサービスで障害が発生する、正当なユーザによるリソースへのアクセスが阻害されるなどの事態になり、ビジネス運用上の被害を受けることになります。問題を回避するためには、あらゆる変更において計画を立て、文書化し、テストを実施して、変更が予想外の問題を引き起こした場合は確実に元の環境を復元できるようにする必要があります。
さらに、権限の強い管理者セキュリティグループや重要なGPOなど、重要度が最も高いADオブジェクトへの変更を防止することが肝要です。QuestのChange AuditorおよびGPOADminは、変更管理を合理化し、Active Directory管理を強化します。
ビジネス継続性を確保する
最後に重要な点として、Active Directory管理を適切に行うことは、ビジネス継続性の確保につながります。これを実現するためには、信用性の高いバックアップ/リカバリのプロセスと、繰り返しのADタスクの自動化が必要です。
バックアップと復旧
バックアップと復旧
生産性とビジネス継続性を確保するためには、ADのバックアップを定期的に作成し、フォレスト全体のオブジェクトや属性、ディレクトリ、およびオペレーティングシステムの各レベルで、事故や災害から迅速に復旧できるようにする必要があります。ADのごみ箱機能は、最近削除されたオブジェクトの一部のクイックリカバリは可能ですが、 これはエンタープライズレベルのバックアップ/リカバリのソリューションにはならず、またそのような意図で作られたものでもありません。
Active Directoryの完全かつ信頼性の高いバックアップを作成することの重要性を証明したのが、国際的な巨大配送企業であるMaersk社が被害者となった事件でした。同社は2017年、マルウェア「NotPetya」による攻撃を受けたのです。このマルウェアは、数時間でネットワークに拡散され、Maersk社の業務は大きく阻害されました。世界各地にあった150のドメインコントローラがほぼすべてダウンしましたが、同社は復元作業に使用するActive Directoryのバックアップをまったく作成していませんでした。幸運だったのは、マルウェアの攻撃時に、ガーナのドメインコントローラが1つオフラインになっており、データが無傷で残っていたことです。ただし、ガーナ支社の通信帯域幅は非常に狭く、ドメインコントローラからデータをアップロードしようとすれば何日もかかってしまいます。また、同支社には英国のビザを持っている者がいなかったため、復旧チームは貴重なマシンを英国本社まで、何時間もかけてまるでリレーのように手渡さなければなりませんでした。最終的には、このマシンを使用して、他のドメインコントローラを再構築することができました。
ADタスクの自動化
ADタスクの自動化
Active Directory管理タスクの多くは非常に手間と時間がかかるため、作業の延期や、エラー発生のリスクが高まります。自動化により、ITのワークロードを削減し、人間によるエラーを排除して、重要でありながら日常的なタスクを適切な時期に完了できます。例えば、以下のタスクが候補として挙げられます。少なくとも一定のレベルの自動化が可能です。
- ユーザアカウントの作成、修正、および削除
- コンピュータのプロビジョニングおよび使用停止
- ソフトウェアの導入およびパッチ適用
- インベントリ
- レポート作成
- ディレクトリのクリーンアップ
Active Directoryについて詳しく知るには
Active Directoryは現代のビジネスで成功するための中核を成します。Active Directoryの最も重要な領域におけるベストプラクティスの詳細については、次のページも参考にしてください。
ブログ
The anatomy of Active Directory attacks
Learn the most common Active Directory attacks, how they unfold and what steps organizations can take to mitigate their risk.
8 ways to secure your Active Directory environment
Taking the right steps to secure your Active Directory has never been more critical. Learn 8 Active Directory security best practices to reduce your risk.
Active Directory forest: What it is and best practices for managing it
Active Directory forest is a critical — but often underappreciated — element of the IT infrastructure. Learn what it is and how to manage it.
Active Directory disaster recovery: Creating an airtight strategy
Businesses cannot operate without Active Directory up and running. Learn why and how to develop a comprehensive Active Directory disaster recovery strategy.
5 Active Directory migration best practices
Active Directory delivers key authentication services so it’s critical for migrations to go smoothly. Learn 5 Active Directory migration best practices.
Active Directory security groups: What they are and how they improve security
Active Directory security groups play a critical role in controlling access to your vital systems and data. Learn how they work.