【AD】今更聞けないセキュリティ関連知識の紹介と解説2

パソコン知識入門
スポンサーリンク

久々の投稿です。今更ですが年始にPS4のペルソナ5を買いまして、ずっとそれをやり続けていたら更新が疎かになっておりました・・・。

↓前回の記事はこちら

【資産管理ソフト】今更聞けないセキュリティ関連知識の紹介と解説1
昨今は企業の情報システムにおけるセキュリティの重要性が非常に増しております。 ランサムウェアの巧妙化や高度化、悪質性も増しており、インシデントが発生した場合の対応を誤ると、企業の存続まで危うくなる時代になってまいりました。 ただ...

では今回も情シスのお仕事として知っておくべきセキュリティ関連の知識の紹介を致します。

今回は・・・これです!

AD(Active Directory)

まず前回と同様に特徴を列挙

  • Windowsパソコンのログオン認証で使用する。
  • Windowsの認証方式はドメイン方式とワークグループ方式があり、ADはドメイン方式。
  • ユーザーアカウントの一元管理を可能にする。
  • グループポリシー機能を使用することで管理下のWindowsに様々な制限や設定の管理が可能。
  • LDAPの仕組みを利用することで、異なるシステムからの認証連携が可能。
  • ファイルサーバに対するアクセス制限などもADの仕組みを利用。
  • ActiveDirectoryという”サービス”を提供するのがDC(ドメインコントローラー)と呼ばれるサーバのミドルウェア。

簡単には上記のようなものです。

皆さんの会社のパソコンにログインする際に、まずCtrl+Alt+Delを押せと毎回指示される場合はADが導入されていると理解して頂いて結構です。もしCtrl+Alt+Delを押さなくてもWindowsのログイン画面が出てくる、またはユーザー名、パスワードを入力しなくてもデスクトップが表示される場合はADが導入されていないと思われます。

 

ドメイン認証とワークグループ認証の違い

Windowsのユーザー認証の仕組みとしては、ドメイン方式とワークグループ方式の二種類が有り、ADの仕組みを使用するのはドメイン方式です。社員が100人以下の企業で、パソコンもそれほど無ければ、ADを導入しなくても何とかユーザーアカウントの管理は出来るでしょうが、それ以上の台数のパソコンと利用者が存在する場合は、ADが無いとユーザーアカウントの厳密な管理は難しいです。

このドメイン方式とワークグループ方式で何が違うかというと、ドメイン方式は、DC(ドメインコントローラー 略してドメコン)サーバ内に管理下のユーザーアカウントの情報を全て保持します。ワークグループ方式では、各個別のパソコン内にWindowsのユーザーアカウントを作って管理します。

ワークグループ認証の仕組み

ワークグループ方式におけるWindowsへのログオン時の動きとしては以下です。

  1. ログオン画面でユーザー名とパスワードを入力する。
  2. 自パソコン内のWindowsで作成されているユーザーアカウントのユーザー名、パスワードと入力された認証情報が合致しているか確認する。
  3. 合致していたら、自パソコン内のユーザープロファイル情報を読み込んで対象ユーザーのデスクトップを表示する。

 

ドメイン認証の仕組み

ドメイン方式におけるWindowsへのログオン時の動きは以下です。

  1. ログオン画面でユーザー名とパスワードを入力する。
  2. 入力されたユーザー名とパスワードが正しいかを、ネットワークを介してDCへ問合せをする。
  3. ユーザー名、パスワードが正しい場合は、DCで管理しているプロファイル情報やグループポリシーで設定されているWindowsの制限や各設定を読み込んでデスクトップを表示する。

簡単には上記の様な違いがあります。

例えばシステム管理者の業務でよくあるのが、社内のユーザーが「パスワードを忘れてWindowsにログオンできない」と問い合わせが来て対応するケースです。この場合に、ワークグループ方式ですと、ログオン時の認証情報はそのパソコン内で管理されており、確認する術がありません。

これがドメイン方式で運用している場合ですと、DC側で認証情報を管理しているので、DC側のユーザー管理画面でパスワードを別の文字列に上書きしてしまえば、その新しいパスワードでログオン出来るようになります。ユーザーアカウントがDCで一元管理されているとこういったトラブル時にも非常に便利だということがお分かり頂けましたでしょうか?

逆にワークグループ方式ですと、各パソコン内で個別にユーザーアカウントを作られて個別に管理されてしまうと、例えばPCの故障などでシステム管理者がそのパソコンにログオンしようとしてもパスワードがわからなかったりしてデータ退避作業が出来なかったり、運用の手間が増大します。なので、ユーザーアカウントの管理を一切しないような環境でしか使えないと思ってもらえばよいです。※例えばユーザー名とパスワードが全社共通とか、部署ごとで共通といった環境など。

因みに私が以前にシステム管理者をしていた会社では、諸事情からADが未導入にも関わらず、管理端末台数は400台程度あり、多くのパソコンは共通のローカルユーザー、ログオンパスワードで管理されていました。たまに「意識の高い系社員」が勝手にアカウントを作ったりパスワードを変更していることがあり、そういう時は怒りに震えながら対応していたこともありました(本来はちゃんと独自のパスワードを設定してアカウントも分ける使い方の方が正しいので、その社員は間違ってはいないのですが・・・)。

今回はActiveDirectoryにおける、WindowsPCへのログオン認証について解説致しました。尚、ADは他にも「グループポリシー」という機能で管理下のユーザーアカウントでログオンしたWindowsPCのIEの設定をグループ毎に変更したり、Windowsの各設定を変更したりできます。

また、ADのユーザーアカウントとパスワードでの認証をWindowsへのログオン認証だけではなく、他社ソフトやシステムのログイン認証でも連携することができ、ユーザーアカウントの一元管理が行えます。

こういった知識もActiveDirectoryを語るうえで重要な内容になるので、また別の機会に紹介させて頂こうと思います。

今回も読んで頂きありがとうござました。

タイトルとURLをコピーしました