Active Directory環境の近代化

Windows 2000で初めてMicrosoft Active Directory（AD）がリリースされました。当時の主なタスクは、PCユーザーとWindowsサーバーの集中認証と認証を提供し、ディレクトリ対応アプリケーション（Microsoftなど）交換）。

最近では、ADの使用と管理に多くの変更が加えられています。これには、作業組織の改善に関するMicrosoftからの推奨事項や、システムの企業管理スタイルが含まれます。 ADの開発に影響を与える多くの規制要件が作成されました。 最新の状態に保つために、組織はActive Directoryへのアプローチを再検討し、それを近代化する必要があります。 これにより、管理が容易になり、システムのパフォーマンスが向上します。

ADを改善することの価値と、最新のインフラストラクチャを作成するために重点を置くべき領域を見てみましょう。

ADの変更
Active Directoryの最初のリリース以降、テクノロジーとビジネスの両方の世界が変わりました。 ほとんどすべての組織が、サービスのこのような変更の影響を受けました。

• ADの作業構成に関するマイクロソフトの推奨事項。
• 各ユーザーの独自の標準。
• 組織におけるADの役割の増加。
• 機密データのセキュリティおよびアクセス制御に関する規制要件の強化。

これらの各変更は、Active Directoryをアップグレードする必要性において個別の役割を果たします。

Microsoftの推奨事項と新しいシステム機能を変更する
AD自体と同様に、システムの管理に関するマイクロソフトの推奨事項は大幅に変更されました。 使用されなくなったが、システムの以前のバージョンに特徴的な2つの原則を見てみましょう。

空のフォレストルートドメイン
最初に、Microsoftは最初のフォレストドメインが特に重要であり、常に空のままであると考えられていたため、組織が空のADルートドメインを作成することを推奨しました（図1）。 マイクロソフトは長い間このアドバイスを拒否しており、システムを複雑にせず、追加のセキュリティ要件で過負荷にならないように、必要なドメインのみを作成することを推奨しています。 ただし、多くの場合、2つ以上のドメインと未使用のルートディレクトリでADフォレストが作成されます。


図 1.空のルートドメインを使用する

セキュリティ境界としてのドメイン
マイクロソフトは、セキュリティと管理の観点からフォレストを相互に統合するのが難しいため、フォレストの数の増加を避けることを推奨しました。 さらに、Active Directoryドメインはセキュリティのフロンティアと見なされていました。 これにより、2つのドメインのフォレストで、ドメインAとドメインBのユーザーとリソースを簡単に分離できました。

次に、あるドメインの管理者が同じフォレスト内の別のドメインのリソースを制御することがいかに簡単かを示す一連の記事が出されました。その後、マイクロソフトは推奨事項を変更し、ドメインではなくフォレストをセキュリティ境界と見なすように促しました。 特定のドメインのユーザーまたはリソースを分離する場合は、別のフォレストを構築する必要があります。 そのため、現在、組織には通常、多くのフォレストがあります。たとえば、開発フォレストを運用フォレストから分離したり、特別なインターネット指向のフォレストから分離したりします。 この分離の結果、企業は複数のフォレストを管理する際に困難に直面しました。

AD自体の開発により、他の推奨事項が変更されました。 システムの改善には、アクセス権の委任、レポート、拡張性（Windows 2000ではグループメンバー5000人に制限がありました）、回復性（スナップショット機能とごみ箱）、自動化（Microsoft PowerShellでのAD管理）が含まれました。 新しいアプローチにより、Active Directoryの保護、管理、および回復が大幅に改善されました。

管理モデルの変更
変更が発生した別の領域は、管理方法です。 以前は、管理者の小さなグループが、インフラストラクチャから最終的にディレクトリに至るコンテンツまで、システムに関連するすべての側面を担当していました。 ITインフラストラクチャに対するADの重要性が高まるにつれて、その管理モデルはより複雑になりました。 現在、組織では、多くの人々がADの操作に関与しています。1人はユーザー、ユーザーグループとそのプロパティの管理、もう1人はアプリケーションに関連するデータ、3人目はセキュリティなどの管理を担当しています。 これには、ロールベースのアプローチをカタログ管理に適用し、構造、つまり組織単位の配布と保護を確認することにより、ADの保護とデータ共有を改善する必要があります。 最初のAD設計はもはや関連性がなく、クリーニングと再構築が必要になる場合があります。

ADロールを変更する
以前は、ほとんどの組織におけるActive Directoryの役割は非常に控えめでした。 Eeは、Windows PCユーザーに集中ログインとセキュリティを提供するため、または代替として、またはシステムをWindows NT 4セキュリティアカウントマネージャ（SAM）またはNovell NetWareに置き換えるために使用されました。 時間が経つにつれて、ADはIT組織で行われるほとんどのイベントの焦点になり（図2）、そのような機能を提供します。

• Windows以外のシステム（Linuxサーバー、Macデスクトップ、ラップトップなど）の認証と承認。
• Microsoft SharePoint Webサイト、Javaアプリケーションサーバー、NAS（NAS）、HP Integrated Lights-Out（iLO）やIntegrated Dell Remote Access Controller（iDRAC）などの管理ツールなど、複数のプラットフォームにわたる認証と承認）;
• ADセキュリティグループを介した大量の企業データ（機密データを含む）へのアクセスの承認。
• 企業カタログおよび組織図のホワイトページ。
• サービスとしてのソフトウェア（SaaS）モデルを使用して、クラウドにあるアプリケーションの認証。 ADの使用におけるこの比較的新しい方向性により、セキュリティが低下し、多くのIT部門でADを使用する際に以前に使用されていた「セットアップして忘れる」アプローチよりもインフラストラクチャにより多くの注意が必要です。

図 2.多くのITリソースの中心にあるActive Directory

多くの組織で、ADはインフラストラクチャの最重要要素になっています;そのセキュリティと管理は、最も重要なビジネスプラットフォームと同じくらい注目されています。 特に、組織はITサービスの提供に対するハイブリッドアプローチを開発しており、アプリケーションの一部は企業のデータセンターに配置され、もう一方は外部プロバイダー企業の「クラウド上」に保存されます。 ほとんどの場合、これら2つの環境は、認証によって統合され、ADを介した統合を通じてアクセスを提供します。 適切に保護され、適切に管理されたADがなければ、ハイブリッドアプローチは、それが役に立たないという点でビジネス上の方法になります。

残念ながら、ADはITスタッフから十分な注意を払われない場合があります。 これには、ADの変更管理への不十分な注意から、「すべてがこのように機能するため、負担をかけられない」という仮定に至るまで、多くの兆候があります。 このアプローチはIT部門に利益をもたらしません。一般的な統合とクラウドソリューションとの統合が非常に重要な役割を果たすからです。

立法上の変更
Active Directoryの最初のリリース以来、現在の法律に従ってITが動作することを保証することに関連する課題が増えてきました。 現在、組織は多くの複雑な規制法に取り組んでおり、多くの場合、それらを扱うための主要なツールとして機能するのはADです。

Active Directoryの使用に関する監視とレポートの必要性が大幅に増加しています。 規制法の遵守と適切なレベルでのメンテナンスには、ADの管理と関連するアクティビティの検証のためのより複雑なプロセスの使用が必要です。 現在、ディレクトリシステムに誰がどのような変更を加えたのかを知らないことは、単に受け入れられません。 AD関連のアクティビティを無視すると、企業データの整合性が損なわれる可能性があります。 認証および認可の問題におけるこのシステムの重要性を考慮し、最も機密性の高いデータの適切な保護を確保するために、変更を制御不能にしないでください。 ADを管理するための有能で現代的なアプローチは、規制とセキュリティのコンプライアンスを確保するために必要です。

ADのアップグレードの重要な手順
多くの組織は長年にわたってActive Directoryを変更せずに使用してきたため、現在ではActive Directoryを操作する構造と実践を更新する必要があります。 近代化の主な用途は次のとおりです。

• ADの再構築。
• 管理および管理の最適化。
• ADとそのデータの保護。
• システムの柔軟性を提供および維持します。
• ADの可用性と回復可能性を確保します。
• ADガイドラインの実装。

ADの再構築
ADの再構築はより一般的になってきており、組織の現在および将来のニーズに合わせてディレクトリを作り直すのに最適な方法です。 組織単位を変更するだけで、ADの管理と保護に大きな影響を与える可能性があります。 そのため、組織単位の構造は、企業の部門や地理的な場所など、ビジネスの構造に焦点を合わせていました。 このアプローチは、カタログの残りのニーズに常に適合するとは限りませんでした。 たとえば、グループポリシーの利益のために、図に示すように、使用するOSバージョンの種類によってユーザーPCを組織単位に分割できます。 3、しかし、すべてのPCが同じITグループの一部である場合、このソリューションはグループの権限の委任と管理を複雑にします。


図 3.委任ではなくグループポリシーに最適化された組織単位構造

最新のカタログシステムの設計は、妥協点を目指しています。 このようなAD構造を作成するには、組織のさまざまなニーズを考慮することが重要です。

AD自体の再構築にはいくつかの形態があります。 データ管理と保護を改善するために、ドメインとフォレストの数を減らす必要がある場合があります。 他の状況では、セキュリティ上の理由から、一部のリソースを個別のフォレストに分割する必要がある場合があります（クライアントが利用できるリソースについて説明しています）。 場合によっては、最初からやり直して美しいAD構造を構築し、不要な要素をすべて削除したい場合があります。 このアプローチは、ユーザーとリソースを古いAD環境から新しいAD環境に移行するために追加の時間を必要とするため、非常に効率が悪い場合があります。

どのような再構築においても、ADはさまざまな開発者のツールに注意を払うのに役立ち、移動を「痛みのない」ものにします。 文書化の不十分なシステムからより構造化されたシステムにデータを転送する場合、これは特に重要です。転送の進行を常に予測できるとは限らないためです。

管理および管理の最適化
ADを改善するもう1つの分野は、ディレクトリの管理です。 通常、最初に削減するのは、AD全体で無制限に入場できる管理者の数です。 重要なのは、管理者がアクセス権を持っている権限の少ない管理モデルを作成し、管理者が担当するシステムの部分のみに変更を加えることです。 これらのサイトは次のとおりです。

• ADの外部のインフラストラクチャ：ドメインコントローラ、ドメインネームシステム（DNS）、ディレクトリシステムスキーマなど、それをサポートするサーバーとサービス。
• AD内のデータ：ユーザーアカウントのプロパティからユーザーが属するキーグループまでの任意のデータ。

これらの領域には、権利の委任の異なるモデルがあります。 また、システムのインフラストラクチャ要素を誰が管理するかがそれほど重要でない場合は、その内部のデータセキュリティモデルが明らかに最も重要です。 したがって、ADサーバーとその関連インフラストラクチャの管理、およびAD自体のデータの作成、読み取り、更新、削除を制御する必要があります。

ADグループのメンバーシップは、サーバー管理者権限から財務データに至るまですべてにアクセスできます。 したがって、これらのグループへのアクセスを注意深く監視し、アクセス権の認証を定期的に実施する必要があります。

Active Directoryとそのデータの保護
近代化に関しては、委任を検討する価値があります。ADオブジェクトとそのプロパティを変更できるユーザーを制御します。 このトピックは、許可されたユーザーのみがその中のオブジェクトを変更するようにすることと密接に関連しています。 多くの場合、組織は差し迫った問題を解決するためのアクセスを提供し、不要になったときにキャンセルしないでください。

Active Directoryで委任を管理するには、役割ベースのフレームワークを作成して、そのオブジェクトとその属性へのアクセスを提供する必要があります。 ADは現在、たとえば特権グループのメンバーシップを変更したり、ユーザー属性を変更したりするために管理者が実行する必要のある各タスク（または少なくともミッションクリティカルな各タスク）にロールベースのテンプレートを作成しています。

コンプライアンス、メンテナンス、確認の達成
Active Directoryの受信データを制御する場合、このデータに対して実行されるアクションを常に確認する必要があります。 このような検査は、内部（IT部門向け）および外部（監査組織向け）の両方の要件を満たす必要があります。 Microsoft Windows ServerおよびActive Directoryには、最初に発生したイベントを監査する機能がありましたが、ロードされた環境には大量のデータが含まれており、すぐにオーバーフローするため、実質的に意味がありません。

明確な監査アグリゲーターと、不要な変更、ADおよび企業リソースの不正使用を特定する分析、およびすべてのITシステムにわたるユーザーアクティビティの追跡機能が必要です。 システムの監査は、システムに関連付けられ、システム内で行われた変更の履歴を提供します。たとえば、ユーザーがネットワークや最も頻繁に起動されるアプリケーションにアクセスするのにかかる時間です。

IT環境全体の変更の制御を確立した後、ディレクトリの整合性に影響を与える可能性のあるインフラストラクチャとデータの変更を含む、ADに関連する重要なタスクに細心の注意を払うことが重要です。

変更管理と監査をフィードバックツールとして使用して、承認済みおよび未承認の変更を追跡すると、ADで発生した変更の全体像を把握できます。 最新バージョンでは、このようなレビューの可能性が実装されています。これにより、誰が何にアクセスできるかが常に表示されます。

ADの可用性と回復の確保
高可用性は、Active Directoryの現代的な使用のもう1つの側面です。 幸いなことに、他のすべてのコンポーネントの作業が確立されている場合、ADはITインフラストラクチャの信頼性の高い柔軟な部分になります。

• ADサーバーのレプリケーションとレプリケーショントポロジ
• ドメインネームシステム（DNS）;
• Microsoftファイル複製サービス
• 仮想マシンおよびハードウェアリソース。

すべてではありませんが、これらのツールのほとんどは、標準またはAD固有の監視ツールを使用して監視できます。 組織におけるADの役割の増加に伴い、そのパフォーマンスを定期的に監視することがますます重要になっています。 これには、認証や検索などの一般的なAD操作の合成トランザクションの作成が含まれる場合があります。これにより、ADサーバーがpingに応答し、そこで実行されるプロセスが正常に進行することを確認できます。

可用性の監視に加えて、適切なバックアップと災害復旧計画を立てることも重要です。 現在、施設レベルなど、バックアップとリカバリのための多くのツールがあり、ディレクトリシステムの小さな変更から重大な障害まですべてを復元できます。 ADに関連する回復には3つのタイプがあります。


表1. AD回復のタイプ

より多くの組織が仮想化技術を使用してADインフラストラクチャを開始するにつれて、障害からの回復がますます一般的になり、フォレストまたはサーバー全体の崩壊はあまり一般的ではなくなりました。 それでも、最も望ましくない状況での行動計画と、最短時間での植林のための適切なツールを持つことが重要です。

ADリーダーシップの実装
ADインフラストラクチャをアップグレードした後、円滑な運用のために信頼できる管理を確保することが重要です。 システムの使用、拡張、管理に関する明確なルールを確立する必要があります。 ADの動作に影響するすべての主要なコンポーネントの説明も作成する必要があります。

ガイダンスには次の要素を含める必要があります。

• システムにあるすべてのタイプのデータの指示。
• ADスキーマを拡張するための推奨事項：いつ、どのように拡張する必要があるか、また、既存の属性を使用してアプリケーション関連データを保存できる場合と使用する必要がある場合。
• ADの権利を委任するための推奨事項。
• セキュリティグループの使用に関する推奨事項。
• ADで使用される標準ツール、アプリケーションプログラミングインターフェイス（API）、およびポート。
• ADクエリ命令。

この推奨事項のリストは、氷山の一角にすぎません。 Active Directoryインフラストラクチャ管理には、さまざまな状況で十分に文書化された行動基準が必要です。

おわりに
時間が経つにつれて、Active Directoryの役割は劇的に成長し、多くの組織にとって重要になりました。 システムがWindows PC、Linuxサーバー、またはJavaアプリケーションの認証と承認に使用されるかどうかに関係なく、システムを正しく動作させるには、高レベルの制御、可用性と効率、保護と監査を維持する必要があります。
ADをアップグレードすると、Windows Serverの最新バージョンと他の開発者のソフトウェアの両方を使用して、これらすべての基準を達成できます。 いずれにしても、Active Directoryを円滑に運用するには、適切な管理と保護が重要です。