アカウントと権限の一元管理（Active Directory）

主機能① アカウント管理

通常、PCを使うにはユーザー名とパスワードでログインが必要です。 ADサーバがない場合は、PCの初期設定時にユーザー名とパスワードを登録しますが、これではアカウント情報はPC内に保存されており、複数のPCのアカウントの状態を把握することは困難になります。 ADサーバを利用すれば、アカウント情報は管理者が一元管理することができます。 パスワードを忘れてしまった際の再発行手続きや、退職者のアカウント削除などを、漏れなく処理することができます。

主機能② 権限管理

権限管理の代表例として、ファイルやフォルダのアクセス権が挙げられます。 ADアカウントはグループ単位での管理もできるため、営業部フォルダには営業部グループに所属しているアカウントからしかアクセスできないようにしたり、役職によって、平社員はアクセス不可で課長職以上で読む(開く)だけはでき、部長職以上で読み書き(開く・保存する)ができるようにするなど、組織の構成や役割にあわせて設定することができます。

主機能③ 機能管理

PCでは色々なことができますが、会社のPCで勝手に何でもされてしまっては困ることも多々あることと思います。 PCの機能を一元管理することで、セキュリティレベルを統一化できます。 例えば、 ・パスワードは3カ月に1度変更が必要 ・パスワードは8文字以上必要 ・バックアップは金曜日の18時から実行 ・USBメモリの利用制限 ・規定ソフト以外のインストール制限 このようなルール(ポリシー)を決めて運用することで、社内PCの安全な運用が可能になります。

一般的に、ADサーバを導入するにはWindowsサーバを導入し、社内環境にあわせてADサーバを構築します。
Windowsサーバを導入するには、サーバマシンの調達、サーバ構築、ADサーバ自体ののバックアップやセキュリティ対策等、コストと手間がかなりかかります。
サイバーセキュリティソリューションズでは、アプライアンス製品でのADサーバ導入をおすすめしております。
アプライアンス製品とは、あらかじめ機能がセットアップ済みの機器のことで、コストを安く抑え、かつ運用の手間を軽減することができます。

ADサーバをアプライアンス製品で導入するにあたってはSynology社NASがおすすめです。
本来ファイル共有サーバのためのNAS製品なのですが、NAS以外の機能も豊富にあり、その中の一つにADサーバ互換機能があります。
ここではSynologyNASのAD機能に絞ってご紹介します。

SynologyNASはLinuxベースの独自OSで動作しており、安定した高速動作が期待できます。
SynologyNASの管理画面は、ブラウザからIDとパスワードでログインするだけで、簡単に管理することができます。

[管理画面（ログイン）]

管理画面は直観的に操作することができ、専任の情報システム担当者でなくても容易に操作可能です。

[アカウント管理（ユーザー追加）]

管理画面から容易にユーザーを追加・更新・削除ができます。ここからユーザーを追加すれば、PCへのログイン、ファイル共有サーバーへのアクセス、プリンタサーバーへのアクセス等が一元管理できます。

[機能管理（ポリシー設定）]

一般的なアプライアンス製品のADサーバ機能では、アカウント管理はできても機能管理（GPO）はできないケースが多いのですが、SynologyNASの場合、パスワードルールやパスワードを間違えた際のロックアウトルールを容易に設定することができます。また、管理用PCにGPOコンソールをインストールすることで、USBメモリの利用制限等のさらに詳細な機能管理も可能にしています。

当然ながら、ファイル共有サーバとしても動作しますので、ADサーバと連携したフォルダアクセス権を管理することができます。

また、バックアップの機能も充実しておりますので、万一に備えたシステム設計ができます。

SynologyNASでActive Directoryサーバーを構築することは、アカウントと権限の一元管理を実現するための「導入コスト」と「運用コスト」と「運用の手間」を最も抑えられるソリューションです。

⇒SynologyNASについて詳しくはこちら

サイバーセキュリティソリューションズでは、ADサーバの導入前相談から、機種選定、導入作業、運用までを一貫して行っております。 お気軽にお問い合わせ下さい。

・Kaspersky Security Center(KSC)クラウド