2.1.2 管理の分散が困難である
一般的に,ごく小規模なネットワークを除いて,すべてを一人で管理することはあり得ない。作業量の問題もあるが,「管理者が不在になったら設定を一切更新したり変更したりすることができなくなる」というのでは,何かと不都合が生じるからである。したがって,管理作業は複数の人間に分担させるのが普通である。
しかし,たとえばIT部門の担当者にのみ管理を分担させると,セキュリティレベルは高くなる半面,末端の組織(部や課)で些細な設定を変更する場合でも,いちいちIT部門の担当者が手を煩わさなければならなくなる。このような場合には,各部署ごとに管理者を任命すればよい。とはいえ,セキュリティを考えれば,部署の管理者にネットワーク全体に及ぶような権限を割り当てるべきではない。
効率よく管理作業を分担するためには,「ある部署の管理者はその部署にかかわる管理権限のみを所持し,それ以外の場面では通常のユーザーと同じ権限しか持たない」というような設定が必要になる。しかし,NTドメインの管理単位はドメインであるため,NTドメインではこのように管理作業を分担させることはできない。つまり,ドメイン全体に対する完全な管理権限を割り当てるか,あるいはドメイン全体に対して一部の作業を実行可能な管理権限を割り当てるかのどちらかでしかない。ドメインの一部,たとえば特定のグループに対してのみ,特定の操作(ユーザーの追加やパスワードの変更)を許可することは不可能である。NTドメインで管理を分担させるためには,実質的にドメインを分割するしかない。
 |
Chapter 2 3/19 |  |
