/* */

ADって美味しいの?

美味しいの? シリーズ第二弾です。
ActiveDirectory(AD)ってITインフラエンジニアにとってどうなのよ、という話です。

結論から言うと。

結構おいしいと思う。

知っておいて損はないし、知ってればインフラ全体が見渡せる可能性がある。

AD単体で切り離してみると、山ほど機能があって、焦点がボケがちなのですが、田中の認識でADはWindows世界におけるユーザ・PC・サーバーの超便利管理ソフトです。

ポイントは以下の二点でしょうか。

  • ドメインに参加したユーザ、PC、サーバに対して強力なポリシー適用機能提供する。
  • ユーザの属性情報をため込んでおき、リソース(サーバ)の認証機能を提供する

要するに、たくさんのサーバーやPCがあった場合に、管理がとても楽になり、工数(コスト)が削減できる、ということです。

これだけだとよくわからんと思うので、実際のケースで説明します。

ADがないとしぬケース

セキュリティ事故があり、PCの設定全部変えないと…。

  • 情報漏洩があり、USB禁止、パスワード厳しくしろ、となどと突然言われるのは日常茶飯事
  • 1台1台丁寧に丁寧に変えていかなければならない。何千台もあったらしぬ。
  • ADならグループポリシーでボタン一発で解決。

システムへのアクセス権限を、情報システム部門や営業などのメンバーで分けたい…。

  • システム一つ一つにユーザーとグループを登録していかなければならない。
  • システムが多数あり、ユーザがたくさんいたらしぬ。
  • ADならセキュリティグループにユーザ登録すれば一発解決

オフィスに無線入れたので、PCの設定入れたい

  • 証明書とか使う意識高い系設定なので、ユーザにやらせると絶対間違う…。
  • PC何百台とあるので、管理者が1台1台丁寧に丁寧に変えていったらしぬ。
  • ADならグループポリシーでボタン一発で解決。

それ以外にも、組織変更でアクセス権を一斉に変えたいとか、PCの設定を一斉に変えたいとか、山ほど要求あるので、この一斉変更のコスト(工数)を大きく下げられるのがADのメリットであり、動かしがたい優位性なわけです。

そう、ADならね

とか言いたくなっちゃう。
キレイに管理できるOSはWindowsに限るけど…。

このあたりの優位性については、すでにWindows2000の段階で確立されてたはずで、あとの機能はだいたい拡張とかオマケだと田中(゜p゜)は思います。
色々機能があって複雑に見えますけどね…。コスト削減の主要因はシンプルなのです。

とは言いつつも

権限やポリシーというのは企業の組織の構造に深く関わってます。
すぐ思いつくのは、部署ごとにフォルダー作ってアクセス権管理したいとか、開発者や偉い人はPCで何でも使わせたいのでポリシー緩めたい、とか。

ま、最初はそういう風に設計していくのでキレイなんですけどね。組織変更のたびにカオスが広がるんですよね。
ADを長く使ってるどの企業も、以下の構造はだいたいカオスです。

  • グループポリシー
  • フォルダ構造とアクセス権
  • セキュリティグループ

以下、田中(゜p゜)の妄想かもしれない悲劇の例を紹介します。

経年に伴う悲劇の例

  • 凸凹社は部署ごとにフォルダとセキュリティグループを作成して、アクセス権を管理してました。そこに突然、部署統合、分割が社長から言い渡されました
  • セキュリティグループの中身は属人化して複雑に階層構造になっており、かつフォルダの構造も同様の状態なので、どちらの部署に移せばいいのか、誰も判断できません
  • 仕方ないので古いセキュリティグループを残し、新しいセキュリティグループに引っ越しました。
  • ある日、情報漏洩事故が起こり、メディアに報道され、凸凹社の株価は大きく下がりました
  • 犯行は内部の協力会社の人で、データをぶっこ抜いて競合他社に売り渡していました。原因はお察し

ならどうするか(理想論)

  • システム側だけではなく、全社的にどの「組織(グループ)」がどの「業務(システム)」を執り行い、どのような権限を持つべきなのか、運用ポリシーを可視化するしかないと思います。システムにしろフォルダにしろ、業務設計のマトリクスをベースにする等。
  • ユーザに移管するとカオスが広がるので、可能な限り主管部門で運用した方が良いです。
  • 棚卸ルールを定め、組織変更のタイミング等で捨てる、移動する処理も必要です。

理想論の部分については、実現できている企業は見たことないです。自分でやってみたいとは思います。
このあたりの設計は運用コスト削減のキモだと思うのですが、AD屋は業務なんて知ったこっちゃないので大抵は組織変更一発でカオスです。セキュリティ事故も起こります。

なんだか後半はデメリットばかりになってしまいましたが、こうした経年カオスによるデメリットを差し引いても、ユーザ、権限、ポリシーを一括管理できるメリットはデカいんですよねー。

まとめ

  • ADは超便利な「ユーザ」「PC」「サーバー」管理ツールで、対象がたくさんあるほど大きくコスト削減になる。
  • 権限やグルーピングが企業の組織の構造と深く関わっているので、組織変更のたびにカオスが広がり、いずれセキュリティ事故になる。