連載
» 2007年12月13日 00時00分 公開

Windows Server 2008の基礎知識:第6回 強化されたActive Directoryサービス(前編) (3/3)

[高添修(IT Proエバンジェリスト),マイクロソフト株式会社]
前のページへ 1|2|3       

ディレクトリ・アクセスの詳細な監査

 Active Directoryは、複数のサイト(拠点やビルなど)や複数の国を1つの仕組みの中で管理できるため、管理権限を少人数の管理者に集中させるのではなく、必要に応じて必要な権限のみを複数のメンバーに委任することが可能だ。

 当然、信頼されるメンバーにのみ権限を割り当てることになるが、操作ミスなどの間違いが起きないとは言い切れないのも事実である。セキュアに管理されるべきActive Directoryでは、そのような状況であっても、ディレクトリ・サービスへのアクセス監査を実施することができる。ディレクトリへの書き込みやプロパティの変更などを監視し、ログとして出力してくれるため、誰がいつ、何にアクセスしたかを確認できるわけだ。

 このディレクトリ・サービスへの監査を実施するには、次の画面のようなグループ・ポリシーによる監査設定と、Active Directoryオブジェクト(例えば組織単位OUなど)に対する監査設定の両方が必要になることはご存じの方も多いだろう。

ディレクトリ・アクセスの詳細な監査(1)
ディレクトリ・アクセスを監査するには、まずグループ・ポリシーで監査監査設定を有効にする。
  (1)この[ディレクトリ サービスのアクセスの監査]を有効にする([成功]および[失敗]の監視を有効にする)。

ディレクトリ・アクセスの詳細な監査(2)
次に、監査対象のActive Directoryオブジェクト(この例では「ADテスト」)に対して、監査の属性を付加する。
  (1)監査対象のオブジェクト名。
  (2)このタブを選択する。
  (3)監査のエントリを作成し、追加する。
  (4)内容を編集/確認するにはこれをクリックする。
  (5)プロパティへの書き込みの成功と失敗を監査する。

 さて、ここまではいままでもできたことだが、Windows Server 2008はディレクトリ・サービスへの監査項目にサブカテゴリが増え、より詳細なログが取れるようになっている。この機能を利用すると、ディレクトリ情報の変更前と変更後のプロパティ情報までもログとして出力可能となり、誰がいつ、何をどのように変更したかを確認することができる。ただしこの機能を有効にするためにはauditpol.exeコマンドを実行し、サブカテゴリに対する監査を有効にする必要があるので注意してほしい。次の画面は「ディレクトリ サービスの変更」というサブカテゴリに対して設定を行ったところである。

サブカテゴリに対する監査の有効化
audiopolコマンドで、ディレクトリ情報の変更前と変更後のプロパティ情報をログとして取得するには、auditpolコマンドでサブカテゴリに対する監査を有効化する。

 ディレクトリ・サービスへのアクセスに関するサブカテゴリは以下の4つなので、必要に応じて使い分けていただきたい。

サブカテゴリの一覧
サブカテゴリにはこの4つがある。
  (1)サブカテゴリの表示。
  (2)4つのサブカテゴリ。

 すべての監査設定を終えた後、監査設定が有効になっているオブジェクトの設定を変更して、実際に取得できるログを見てみよう。ここでは、ユーザーの事業所プロパティを「東京」から「幕張」に変更してみた。その結果、プロパティの削除と追加の2つのログが、イベントID「5136」として出力されていることが分かる。

オブジェクトの変更に対する監査結果
監査を有効にした後、オブジェクトを変更すると、2つのログが記録される
  (1)変更前のオブジェクト。これが「削除」された。
  (2)変更オブジェクト。これが「追加」された。
  (3)査結果のイベントID。

グループ・ポリシー関連の新機能

 Windows Server 2008では、グループ・ポリシーに関しても以下のような変更が行われている。

  • 管理項目数の増加
  • 設定項目のXML化(ADMX)と多言語環境への対応
  • ポリシー設定項目のセントラル・ストア

 まずは概要の記事(第2回「2.強化されたActive Directory関連サービス」)でも簡単に触れたが、1つはポリシーの項目数で、Windows Server 2003とWindows XPのころには1600超だったものが、Windows Server 2008とWindows Vistaでは約2700項目に増えた。この増加により、Windows Vistaで強化された多くの機能がグループ・ポリシーで制御可能となっている。より詳細な管理がグループ・ポリシーで実行できるのは管理者にとってのメリットでもあるが、項目数が増えた分、管理者の負担も増えているかもしれない。Windows Server 2008のグループ・ポリシー管理コンソールに追加された「スターターGPO」という機能は、そのような状況への対応も考慮されている。いくつかの定義済み項目をスターターGPOとして登録しておけば、新しくグループ・ポリシーを作成する際にテンプレートとして選択可能になり、同様の作業を繰り返さずに済むようになる。

スターターGPOテンプレートを使ったGPOの作成
新しいGPOを作成する場合、テンプレートをベースにすることができる。
  (1)新しいGPOの名前。
  (2)テンプレートとなるGPOを指定できる。

 そしてもう1つ、いままではグループ・ポリシーの数が増えると、ポリシーの設定情報が保存されるSYSVOLというフォルダの容量が大きくなるという問題があった。このSYSVOLフォルダはドメイン・コントローラ間の複製の対象となっているため、この問題はすべてのドメイン・コントローラに、そしてネットワーク全体に関係していた。そこでWindows Server 2008ではSYSVOL内で管理される設定情報量を抑制し、言語ごとに保管していたポリシーを言語非依存のポリシー定義部分(ADMX)と言語依存部分(ADML)に分けて管理するなどの工夫が行われている。

 また、それらのポリシー定義ファイルをドメイン全体で共有する「セントラル・ストア構成」を取ることができる(関連記事参照)。ローカルで管理していたポリシーの定義を集中管理することで、独自の定義などで拡張した場合でも、意識することなく複数のドメイン・コントローラ間で複製されるため、メンテナンス効率も向上するだろう。ちなみに、セントラル・ストアを利用するには、ローカル・フォルダ%systemroot%\PolicyDefinitionsを、%systemroot%\sysvol\domain\policies配下にコピーすればよい。以下は、ポリシー定義をローカルから取得した場合の画面と、フォルダをコピーした後にセントラル・ストアから読み込まれた場合の画面である。

2種類のポリシー定義ファイル
ポリシー定義ファイルは、ローカルのファイル(ADMX)をベースとするか、セントラル・ストアをベースとするかを選択できる。<</font>
  (1)ローカル・コンピュータ上に保存されたポリシー定義ファイルの場合。
  (2)セントラル・ストアから取得したポリシー定義ファイルの場合。

読み取り専用ドメイン・コントローラ

 Windows Server 2008のActive Directoryでは、読み取り専用ドメイン・コントローラという新しい動きをするドメイン・コントローラが提供される。もちろん、Windows Server 2008だからといってすべてが読み取り専用ドメイン・コントローラになるわけではないのでご安心いただきたい。さて、この読み取り専用ドメイン・コントローラは、ブランチ・オフィス・シナリオに密接にかかわってくるため、次回の後編で詳しく解説する。


 Windows Server 2008のActive Directoryの新機能を調べると、おそらく読み取り専用ドメイン・コントローラが真っ先に出てくることだろう。しかし今回取り上げた内容の中には、実際にActive Directoryを管理しているエンジニアの方にとって、利用してみたい機能がいくつか含まれているだろうと期待する。

 今回触れなかった読み取り専用ドメイン・コントローラや、これを中心としたブランチ・オフィス・シナリオ(支店や拠点における新しい認証基盤)については次回をお待ちいただきたい。


「  Windows Server 2008の基礎知識 ―― 新サーバOSで何が変わるのか? ―― 」のインデックス

  Windows Server 2008の基礎知識 ―― 新サーバOSで何が変わるのか? ―― 

前のページへ 1|2|3       

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。