アクティブディレクトリ権限についての解説
アクティブディレクトリ(AD)ネットワーク内のユーザーは、ファイルやフォルダ、コンピュータ、プリンターなど、ネットワークのリソースへのアクセスを得ることができます。しかし、すべてのユーザーがネットワークの全リソースへのアクセスを必要とするわけではありません。このような場合にAD権限が重要な役割を果たします。AD権限によって、ADネットワークのユーザーは必要なリソースにのみアクセスできるようになっています。これにより、ネットワーク内でのリソースの誤用が防がれます。この記事では、AD権限が何であるか、子オブジェクトへの権限継承、及びADで権限を割り当てるための2つの異なる方法を詳しく見ていきます。
アクティブディレクトリ権限とは?
AD権限は、オブジェクトがディレクトリ内の他オブジェクトやファイルを閲覧または変更する権限をどの程度有するかを定義する一連のルールです。AD権限とは重要な機能です。なぜならば、全てのオブジェクトがディレクトリ内のあらゆるものにアクセスする必要があるわけではないためです。例えば、組織のセールスパーソンには、組織全体のドメインを変更する権限は必要ありません。このようなシナリオは、ADオブジェクトとグループ権限がなければ、組織の重要情報が流出したり、システム全体のハッキングを許すことにつながるため、セキュリティハザードになりかねません。したがって、AD内の権限はセキュリティ機能として機能します。AD権限はオブジェクト固有です。例えば、コンテナオブジェクトに権限を割り当てる際、親コンテナの権限を継承しないようにコンテナ内の特定のオブジェクトを制限するコントロールを得ることができます。そのようなコントロールにより、管理者はAD権限を使って細かく調整された権限のカスタマイズが可能となります。これを権限継承と呼び、以下で説明します。
オブジェクトの権限を表示する
ユーザーの権限またはオブジェクトの権限を表示するには、オブジェクトのプロパティタブを使用します。権限を表示するには、
1. 「スタート」に移動し、「管理ツール」をクリックします。
2. 「Active Directory ユーザーとコンピュータ」をクリックします。
3. 目的のオブジェクトを見つけ、右クリックします。
4. 「プロパティ」をクリックします。
5. 「セキュリティ」タブをクリックすると、オブジェクトの権限を確認できます。
オブジェクトの権限を変更する
オブジェクトに対するAD権限を構成する方法は2つあります。
方法1: グループポリシー管理コンソールでGPOを構成する
1. 「スタート」に移動し、「管理ツール」をクリックします。
2. 「グループポリシー管理」をクリックします。
コンソールで、「グループポリシーオブジェクト」を右クリックし、「新規作成」をクリックして新しいGPOを作成します。そして、このGPOを通じてユーザー/グループセットに必要な権利を付与できます。
方法2: ADUCの「セキュリティ」タブを使用する
1. 「スタート」に移動し、「管理ツール」をクリックします。
2. 「Active Directory ユーザーとコンピュータ」をクリックします。
3. 目的のオブジェクトを見つけ、右クリックします。
4. 「プロパティ」をクリックし、「セキュリティ」タブを選択します。
オブジェクトの標準権限が表示され、それらの権限を許可または拒否できます。オブジェクトのすべての権限のリストを表示するには、「セキュリティ」タブで「詳細」をクリックし、次に「編集」をクリックしてすべての権限を表示および変更します。
アクティブディレクトリの権限の種類
セキュリティタブでは、オブジェクトの基本的な権限を確認できます。この権限セットは標準の権限であり、「フルコントロール」、「読み取り」、「書き込み」の権限で構成されています。オブジェクトのクラスによっては、標準セクションに追加の権限がある場合があります。
ただし、ADには特別な権限と呼ばれる、より包括的な権限セットも存在します。これらの権限には、「権限の変更」、「所有者の変更」などの追加特権が含まれています。セキュリティタブ内の[詳細]をクリックし、編集をクリックすることでアクセスできます。タブはオブジェクトに与えられたすべての権限のリストを表示し、変更することができます。チェックボックスを使用して、これらの権限を許可または拒否することができます。また、権限が選択したオブジェクトのみに適用されるか、その子オブジェクト全てに適用されるか、またはその子孫のコンピューターオブジェクト、コンタクトオブジェクトなどにのみ適用されるかを定義することもできます。これにより、選択したオブジェクトだけでなく、それに属するすべてのオブジェクトに対して、権限を精巧にコントロールすることができます。
オブジェクト権限の継承
オブジェクトへの権限は、2つの方法で継承される可能性があります:
-
そのオブジェクトが作成された親オブジェクトクラスから
-
そのオブジェクトが配置されたグループから
オブジェクトに権限が割り当てられたとき、その子オブジェクトすべて、選択したいくつかの子オブジェクト、あるいはオブジェクト自体のみに権限を適用するかどうかを選択できます。例えば、従業員と部門を表す複数のユーザーオブジェクトとグループオブジェクトを含むOUを持っているが、インターンに割り当てられた複数のコンピューターオブジェクトもあります。インターンを除いてOU内の全員に「子オブジェクトの削除」権限を許可したい場合は、権限を設定し、「適用先」セクションで「子孫のグループオブジェクト」を選択します。これにより、OU内のグループに対してのみ子オブジェクトの削除権限が与えられ、グループの外側にあるコンピューターには権限が与えられないことを保証できます。
オブジェクト権限の優先順位
オブジェクトとその子孫の権限を設定する際、オブジェクトの権限とそれが含まれているコンテナーの権限が衝突することがあります。そのような場合、最小権限の原則が適用されます。拒否された権限は許可された権限よりも優先されます。例えば:
-
ジョンは「マーケティングスペシャリスト」というグループに所属しています。
-
ジョンは「インターン」というグループに対する「フルコントロール」権限を付与されています。
-
しかし、「マーケティングスペシャリスト」グループはインターンのグループに対して「読み取り専用」権限を与えられています。
この場合、ジョンは最終的にインターンのグループを完全にコントロールする特権を拒否され、グループを読むことのみが許可されます。
セキュリティの観点から、オブジェクトが必要な権限を持たずに、特に要求するよりも、不要な権限を持ってしまいそれを悪用するよりは理にかなっています。
また、オブジェクトに直接適用された権限は、対立する任意の権限よりも優先されます。このような権限は明示的な権限と呼ばれます。
ドメインパスワード
ドメインのパスワードおよびアカウントのロックアウトプロパティは、ドメインオブジェクトの属性としてディレクトリサービスに保存されています。これらのプロパティは、ドメインセキュリティポリシーグループポリシーオブジェクトを使用してユーザーインターフェースを通じて管理することもでき、値はディレクトリサービスに同期されます。パスワードポリシーおよびすべてのアカウントポリシーはドメイン全体に適用され、ドメインの全メンバーに適用されます。