ユーザー・権限管理
ユーザー・権限管理
Active Directory環境でのユーザーアカウントとアクセス権の管理は、ひとり情シスの日常業務の中核です。入退社対応、人事異動、共有フォルダの権限設定を正確に行うスキルが求められます。
ユーザーアカウントの種類
- ドメインユーザーアカウント:AD上で管理。ドメイン内のどのPCからでもログオン可能
- ローカルユーザーアカウント:個々のPC上で管理。そのPCでのみ使用
- サービスアカウント:アプリケーションやサービスが使用する専用アカウント
ユーザー管理は「Active Directoryユーザーとコンピューター」(dsa.msc)で行います。PowerShellのNew-ADUserコマンドを使えば、CSVからの一括作成も可能です。
グループの種類と活用
| 分類 | 種類 | 用途 |
|---|---|---|
| スコープ | グローバルグループ | 同一ドメインのユーザーをまとめる(部門単位等) |
| スコープ | ドメインローカルグループ | リソースへの権限付与に使用 |
| スコープ | ユニバーサルグループ | フォレスト全体で使用(マルチドメイン環境) |
| 種類 | セキュリティグループ | アクセス権の付与に使用 |
| 種類 | 配布グループ | メール配布リスト用 |
権限付与のベストプラクティスはAGDLPの原則です。
- A(Account):ユーザーアカウントを
- G(Global group):グローバルグループに入れ
- DL(Domain Local group):ドメインローカルグループに入れ
- P(Permission):ドメインローカルグループに権限を付与
NTFS権限と共有アクセス権
ファイルサーバーでは「NTFS権限」と「共有アクセス許可」の2層で制御されます。
- NTFS権限:ファイルシステムレベル。ローカルアクセスでもネットワークアクセスでも有効
- 共有アクセス許可:ネットワーク経由のアクセスのみに適用
- 実効アクセス権:両方の権限の「より制限的な方」が適用される
管理権限の委任
すべての管理作業をひとり情シスが行うのは負担が大きいため、一部の権限を委任することも検討しましょう。
- パスワードリセット:各部門のリーダーに委任可能
- OUの管理委任ウィザード:特定のOU内に限定した権限を委任
実務ポイント:入退社対応のフローを標準化しましょう。入社時はテンプレートユーザーをコピーして作成すれば、グループ所属やホームフォルダ設定の漏れを防げます。退職時はアカウントを即時無効化し、一定期間後に削除するルールを設けます。「退職者のアカウントが放置されている」というのはセキュリティ監査で最も指摘される項目の一つです。
✅ 完了済み