アカウントと権限の一元管理(Active Directory)

Active Directory(AD)とは、社内システムのアカウントと権限を一元管理する仕組みです。

下記のような状況の方はまずご連絡下さい。

  • アカウントを一元管理したい
  • ファイルのアクセス権限を部署毎・役職毎に設定したい
  • PCのセキュリティ設定を統一化して一元管理したい
  • PCやファイルサーバ、プリンタ等の社内システムのアカウントを共通にしたい
  • PC管理の手間とコストを抑えたい

主機能① アカウント管理

通常、PCを使うにはユーザー名とパスワードでログインが必要です。 ADサーバがない場合は、PCの初期設定時にユーザー名とパスワードを登録しますが、これではアカウント情報はPC内に保存されており、複数のPCのアカウントの状態を把握することは困難になります。 ADサーバを利用すれば、アカウント情報は管理者が一元管理することができます。 パスワードを忘れてしまった際の再発行手続きや、退職者のアカウント削除などを、漏れなく処理することができます。

主機能② 権限管理

権限管理の代表例として、ファイルやフォルダのアクセス権が挙げられます。 ADアカウントはグループ単位での管理もできるため、営業部フォルダには営業部グループに所属しているアカウントからしかアクセスできないようにしたり、役職によって、平社員はアクセス不可で課長職以上で読む(開く)だけはでき、部長職以上で読み書き(開く・保存する)ができるようにするなど、組織の構成や役割にあわせて設定することができます。

主機能③ 機能管理

PCでは色々なことができますが、会社のPCで勝手に何でもされてしまっては困ることも多々あることと思います。 PCの機能を一元管理することで、セキュリティレベルを統一化できます。 例えば、 ・パスワードは3カ月に1度変更が必要 ・パスワードは8文字以上必要 ・バックアップは金曜日の18時から実行 ・USBメモリの利用制限 ・規定ソフト以外のインストール制限 このようなルール(ポリシー)を決めて運用することで、社内PCの安全な運用が可能になります。

Active Directoryのメリット

  • 煩雑なPCの管理をスッキリ一元管理

    ⇒PCの入れ替え・社員の入退社時のアカウントの発行・削除やパスワード忘れ時の対応など、PC毎に管理・対応することは手間がかかります。ADサーバならアカウントを一元管理できて手間を削減します。
  • 権限管理で重要書類の閲覧制限

    ⇒機密情報や個人情報・マイナンバーなど、限定された社員のみが操作可能な状態にしなければなりません。ADサーバなら部署や役職、担当者単位でアクセス権限を設定できるます。
  • グループポリシーの活用でセキュリティの向上を

    ⇒グループポリシーを利用してPCを機能制限することにより、社内全体のセキュリティレベルを向上させます。ポリシーの追加や変更時もサーバ側で設定するだけで社内の全PCにポリシーを強制できます。

Active Directoryサーバの導入方法

一般的に、ADサーバを導入するにはWindowsサーバを導入し、社内環境にあわせてADサーバを構築します。
Windowsサーバを導入するには、サーバマシンの調達、サーバ構築、ADサーバ自体ののバックアップやセキュリティ対策等、コストと手間がかなりかかります。
サイバーセキュリティソリューションズでは、アプライアンス製品でのADサーバ導入をおすすめしております。
アプライアンス製品とは、あらかじめ機能がセットアップ済みの機器のことで、コストを安く抑え、かつ運用の手間を軽減することができます。

Synologyのご紹介

ADサーバをアプライアンス製品で導入するにあたってはSynology社NASがおすすめです。
本来ファイル共有サーバのためのNAS製品なのですが、NAS以外の機能も豊富にあり、その中の一つにADサーバ互換機能があります。
ここではSynologyNASのAD機能に絞ってご紹介します。

SynologyNASはLinuxベースの独自OSで動作しており、安定した高速動作が期待できます。
SynologyNASの管理画面は、ブラウザからIDとパスワードでログインするだけで、簡単に管理することができます。

[管理画面(ログイン)]
管理画面は直観的に操作することができ、専任の情報システム担当者でなくても容易に操作可能です。

[アカウント管理(ユーザー追加)]
管理画面から容易にユーザーを追加・更新・削除ができます。ここからユーザーを追加すれば、PCへのログイン、ファイル共有サーバーへのアクセス、プリンタサーバーへのアクセス等が一元管理できます。

[機能管理(ポリシー設定)]
一般的なアプライアンス製品のADサーバ機能では、アカウント管理はできても機能管理(GPO)はできないケースが多いのですが、SynologyNASの場合、パスワードルールやパスワードを間違えた際のロックアウトルールを容易に設定することができます。また、管理用PCにGPOコンソールをインストールすることで、USBメモリの利用制限等のさらに詳細な機能管理も可能にしています。

当然ながら、ファイル共有サーバとしても動作しますので、ADサーバと連携したフォルダアクセス権を管理することができます。

また、バックアップの機能も充実しておりますので、万一に備えたシステム設計ができます。

SynologyNASでActive Directoryサーバーを構築することは、アカウントと権限の一元管理を実現するための「導入コスト」と「運用コスト」と「運用の手間」を最も抑えられるソリューションです。

⇒SynologyNASについて詳しくはこちら

サイバーセキュリティソリューションズでは、ADサーバの導入前相談から、機種選定、導入作業、運用までを一貫して行っております。 お気軽にお問い合わせ下さい。

関連サービス

『実演で見る“セキュリティ・ログ”の活用』セミナー2018 (6月26日(火)品川会場・参加費無料)  ~見えないサイバー攻撃を可視化せよ!!~  情報漏洩対策セミナー。ログから情報漏洩を 探す 。実機PCによる情報漏洩デモ有。