この特集のトップページへ

Deployment of Active Directory 2... NTドメインの再設計
sankaku.gif セキュリティ設計

 Windows 2000にはさまざまなセキュリティ機構が搭載されているが,Active Directoryドメインに移行する際に検討すべきポイントは,(1) グループポリシー,(2) リソースへのアクセス制御,(3) ディレクトリへのアクセス制御,(4) トラフィックの暗号化,の4つである。ここでは,トラフィックの暗号化については割愛し,グループポリシー,リソースへのアクセス制御,ディレクトリへのアクセス制御について概説する。

●グループポリシー

 Active Directoryにおけるポリシーとは,「どのユーザーにシステムを利用させるのか」,「ユーザーにデータ操作をどこまで許すのか」,「ユーザーのデスクトップ環境をどのように設定するのか」といった,さまざまな運用ルールの集合のことである。Windows NT 4.0には,ユーザーのデスクトップ環境やユーザーによる操作を制御する「システムポリシー」という機能が提供されていたが,Windows 2000における「ポリシー」は,より広範囲なシステム運用のルール全般を含む概念となっている。Windows NT 4.0のシステムポリシーに相当する概念は,Windows 2000では「グループポリシー」と呼ばれる。グループポリシーを効率よく設定するため,Windows 2000には,ドメインに対するルールを定めた「ドメインセキュリティポリシー」,ドメインコントローラに対するルールを定めた「ドメインコントローラセキュリティポリシー」,特定のコンピュータに対するルールを定めた「ローカルポリシー」というテンプレートが用意されており,Windows 2000をインストールしたコンピュータの役割に応じて,これらに対応する管理ツールが自動的にインストールされる。

 Active Directoryでドメインツリーを構成している場合,原則的に上位ドメインのドメインセキュリティポリシーは下位ドメインにも継承される(継承を拒否するように設定している場合は別である)。ドメインセキュリティポリシーを設定するときには,Active Directoryのドメインコントローラ上に用意される[ドメインセキュリティポリシー]管理ツールを利用すると便利である。[ドメインセキュリティポリシー]管理ツールで設定可能なドメインセキュリティポリシーには,次のようなものがある。

  • アカウントポリシー
    • パスワードのポリシー
    • アカウントロックアウトのポリシー
    • Kerberosポリシー
  • ローカルポリシー
    • 監査ポリシー
    • ユーザー権利の割り当て
    • セキュリティオプション
  • イベントログ
  • 制限されたグループ
  • システムサービス
  • レジストリ
  • ファイルシステム
  • 公開キーのポリシー
    • 暗号化されたデータの回復エージェント
    • 自動証明書要求の設定
    • 信頼されたルート証明機関
    • エンタープライズの信頼
  • Active DirectoryのIPセキュリティポリシー

 Active Directoryでは,ドメイン以外にも,組織単位やサイトに対してグループポリシーを割り当てることもできる。この場合,ドメインセキュリティポリシーの設定を上書きするか否かなどを,システム管理者がきちんと設計し,把握しておく必要がある。システム管理者は,ドメイン,組織単位,サイトに対して割り当てられたさまざまなポリシーを混乱しないように管理しなければならない。

 グループポリシーの適用順序は,(1) 各コンピュータのローカルポリシー,(2) サイトに割り当てられたグループポリシー,(3)ドメインに割り当てられたグループポリシー,(4) 組織単位に割り当てられたグループポリシー,となる。原則的に,割り当てられたグループポリシーは,上位から下位に適用され,同じオブジェクトに割り当てられている場合には設定順に適用される。

 また,グループポリシーの適用対象となるのは,Windows 2000がインストールされているコンピュータだけである。Windows 98,Windows 95,Windows NT 4.0に対しては,従来どおりWindows NT 4.0互換のシステムポリシーを利用することになる。

注意 Windows NT 4.0のドメインコントローラをWindows 2000のドメインコントローラにアップグレードした場合,NetLogon共有(%systemroot%\System32\repl\import\scripts)にシステムポリシーファイル(ntconfig.polなど)が存在すると,そのままWindows NT 4.0クライアントやWindows 95クライアント,Windows 98クライアントにシステムポリシーを適用することができる(このとき,Windows 2000のグループポリシーは適用されない)。

 なお,Active Directoryのグループポリシーは,Windows NT 4.0におけるシステムポリシーのように不可逆なものではない。しかし,Windows NT 4.0互換のシステムポリシーやテンプレートを拡張して設定するようなグループポリシーのなかには不可逆なものもあるので,注意を要する。

 グループポリシーについて詳しくは,連載記事『徹底レビュー!! Windows 2000 Server』の「Active Directoryによるポリシー管理」を参照していただきたい。

prevpg.gif Deployment of AD−Part1 13/17 nextpg.gif