【解説】
「Active Directory」ドメインサービスの7つの強化ポイント

内部統制時代を迎え、進化するディレクトリサービス

（2008年04月22日）

Active Directoryは、Windowsネットワークのための本格的なディレクトリサービスとしてWindows 2000 Serverで初めて実装され、メッセージングやアプリケーション基盤のためのディレクトリストアとして拡張されてきた。Windows Server 2008では、IDとアクセス管理の複雑さを緩和するために、関連する各種サービスが「Active Directoryサービス群」として統合された。本稿では、中心となるActive Directoryドメインサービスにフォーカスし、その強化点を明らかにする。

三華和夫

基本アーキテクチャはそのままに
よりきめ細やかに、より柔軟に

　Active Directoryサービス群は、 (1) 基本的なディレクトリサービスである「Active Directoryドメインサービス（AD DS）」を中心に、 (2) 汎用的なLDAP（Lightweight Directory Access Protocol）サーバである「Active Directoryライトウェイトディレクトリサービス（AD LDS）」、 (3) 組織を超えた認証基盤の連携を可能にする「Active Directoryフェデレーションサービス（AD FS）」、 (4) 情報保護機能を提供する「Active Directory Rights Managementサービス（AD RMS）」、 (5) エンタープライズ環境向けのPKI（Public Key Infrastructure）基盤を提供する「Active Directory証明書サービス（AD CS）」で構成される。

　これらはWindows Server 2008の役割として、必要になった場合にはいつでも追加し、迅速に構成できる。

　Active Directoryドメインサービスは、基本的なアーキテクチャに変更はなく、既存のWindows 2000 Server/Windows Server 2003のActive Directory環境に組み込むことも可能だ。一方、多様化する利用形態における課題への対処、内部統制といった時代が求める役割への対応、ITインフラとしての管理性、ツールの操作性の向上など、さまざまな改善、強化が施されている。

　以降では、特に注目すべきActive Directoryの7つの強化点を紹介しよう。

強化ポイント【1】
内部統制時代のための監査機能
ディレクトリアクセスの監査

　内部統制が重要視されるようになった現在、「ログ（履歴）」は重要な情報ソースである。Active Directoryのようなディレクトリサービスは、セキュリティの基盤であり、そのログは特に重要だ。これまでのActive Directoryでもログを取得することはできた。

　しかし、どの属性が変更されたかということは記録されるが、それがどのように変更されたか、といったことまではわからなかった。

　Windows Server 2008のActive Directoryドメインサービスでは、監査機能が大幅に強化され「どのオブジェクトが」「だれによって」「どのように変更されたか」ということを、監査ポリシーとして詳細に記録できるようになる（画面1）。

画面1●　「ディレクトリサービスの変更」サブカテゴリの監査ログは、イベントID「5136（変更）」「5137（作成）」「5138（削除の取り消し）」「5139（移動）」としてセキュリティログに記録される。古い属性値と新しい属性値の両方が記録されていることに注目してほしい

　Windows Server 2003以前は、「ディレクトリサービスのアクセスの監査」という1つの監査ポリシーしかなかった。Active Directoryドメインサービスでは「ディレクトリサービスのアクセス」「ディレクトリサービスの変更」「ディレクトリサービスのレプリケーション」「詳細なディレクトリサービスレプリケーション」の4つにサブカテゴリ化され、監査対象をより細かく制御できるように変更された。

　監査できる変更の種類は、オブジェクトに対して実行された「作成」「変更」「移動」「削除の取り消し」の操作で、これらの操作はイベントログの「セキュリティログ」に記録される。

　4つのサブカテゴリのうち「ディレクトリサービスの変更」では、ディレクトリに対する変更が成功した場合に、以前の属性値と新しい属性値の両方が「削除の記録」と「作成の記録」というかたちで残る。

　新しいオブジェクトを作成した場合は、作成した時点の属性値が記録され、オブジェクトが移動された場合には、移動元と移動先の両方の場所が記録される。オブジェクトが削除された場合には、変更の監査イベントは生成されないが、「ディレクトリサービスのアクセス」サブカテゴリによって、削除イベントを記録することが可能だ。

ディレクトリの監査を構成する

　Active Directoryドメインサービスの監査ポリシーは、ドメインレベルのデフォルトのグループポリシー（Default Domain Policy）で設定できる。「監査ポリシー」にある「ディレクトリサービスのアクセスの監査」を有効にすると、4つのサブカテゴリすべてについて「成功」と「失敗」の監査ポリシーが有効になる（画面2）。

画面2●　実は、Windows Server 2008では初期状態で「ディレクトリサービスのアクセスの監査」が有効であり、このグループポリシーを定義しなくても（未定義の状態）、監査ポリシーは有効になっている

　4つのサブカテゴリそれぞれについて監査ポリシーを細かく設定するには、「Auditpol.exe」ツールを使用する（画面3）。

画面3●　サブカテゴリごとの監査ポリシーの設定は「AuditPol.exe」ツールを使用する。ディレクトリサービス以外を含め、すべての監査ポリシーをリストするには、「Auditpol /list /subcategory:*」を実行する

　監査ポリシーが有効になっていても、オブジェクトが監査対象になっていなければ、変更の監査イベントはログに記録されない。これを制御するのが、各オブジェクトが持つ「SACL（Security Access Control Lists）」になる。

　OU（Organizational Unit：組織単位）やグループ、ユーザーオブジェクトのSACLに、適切なアクセス制御エントリを追加することで、どの属性に対するどのような操作をログに記録するかということを制御できる。

　例えば、特定のOUに含まれるすべてのオブジェクトの、すべての属性への書き込みを対象にしたければ、OUのプロパティの「セキュリティの詳細設定」を開き、「監査」タブに「Authenticated Users：すべてのプロパティの書き込み」を設定する（画面4）。なお、「Active Directoryユーザーとコンピュータ」でオブジェクトやコンテナの「セキュリティ」タブを表示するには、「表示」メニューの「拡張機能」をチェックすればよい。

画面4●　このように設定することで、このOUに含まれるすべてのオブジェクトの、すべての属性への書き込みが、「ディレクトリサービスの変更」監査ポリシーの対象となる

【column 01】
Active Directoryの導入は、引き続きDcpromoで

　Windows Server 2008の「役割の追加ウィザード」には、Active Directoryドメインサービスを追加するための項目が用意されている。ただし、この項目を選択してインストールしても、ドメインコントローラを構成できるわけではない。「Active Directoryドメインサービス」を選択してインストール後、従来と同じように「Dcpromo.exe」を実行してインストールウィザードを起動し、ドメインコントローラとして構成する必要がある。

　「役割の追加ウィザード」の項目は、ドメインコントローラのインストールを可能にするためのバイナリをインストールするにすぎない。実は、最初から「Dcpromo.exe」を実行しても、必要なバイナリの存在が検索され、必要に応じてバイナリがインストールされる。

　「Active Directoryドメインサービスのインストールウィザード（Dcpromo.exe）」では、ドメインの機能レベルを指定する必要がある。

▲「役割の追加ウィザード」で「Active Directoryドメインサービス」を追加しても、バイナリが展開されるだけだ。実際のインストールは、従来と同様「Dcpromo.exe」を実行して行う

　機能レベルとしては「Windows 2000」「Windows Server 2003」「Windows Server 2008」の3つが用意されている。これらは、ドメインに存在する（将来追加されるものを含む）ドメインコントローラの最も古いバージョンに合わせて選択する。

　すべての新機能を利用できるのが「Windows Server 2008」になる。「Windows Server 2003」レベルとの違いは、「SYSVOL共有のDFSR複製のサポート」「KerberosのAES 128/256ビット暗号化のサポート」「最後の対話ログオン情報の記録」「きめ細やかなパスワードポリシー（後述）」の4点だけだ。

　つまり、Windows Server 2008のActive Directoryの基本機能は、Windows Server 2003のActive Directoryからほとんど変更されていないのだ。言い換えれば、クライアントに影響を与えず、既存ドメインをActive Directoryドメインサービスに移行したり、既存ドメインにWindows Server 2008ドメインコントローラを追加したりできるということになる。

　ただし、既存ドメインにWindows Server 2008ドメインコントローラを追加する場合は、スキーマの拡張やアクセス許可の更新といった準備が必要だ。それには、Windows Server 2008のインストールDVDの「Sources\Adpres\Adprep.exe」（Active Directory Preparation Tool）を実行する必要がある。