読者です 読者をやめる 読者になる 読者になる

Windows Serverをゆるゆると愛でる

Windows Server(主にActive Directory関連)について割とヌルく取り上げるブログです。

ドメインの機能レベルを考える(7)Windows Server 2012

こんにちは。
ドメインの機能レベルについてあーだこーだ言うブログ、7回目はWindows Server 2012です。だいぶ近づいてきましたね。
この一連のブログを書き始めて、改めて「よく知らない」ことを知らされる感じです。
特に業務などでもほとんど扱ってこなかったWindows Server 2008までのドメインの機能レベルについては「こんなこともあるのか...」と今更のように驚かされるばかりです。より精進していきたいと思います。
Windows Server 2012で追加された機能は1つ。

1. Kerberos認証の強化

説明文には長々と書いてあったのですがタイトルらしきものがなかったので勝手に付けました。Kerberos認証に3つの機能が追加されました。

  • 信頼性情報
  • 複合認証
  • Kerberos防御

この機能自体の制御はグループポリシーの管理テンプレートにあります。既定は「無効」と同じです。

[コンピューターの構成]-[ポリシー]-[管理テンプレート]-[システム]-[KDC]-
[KDC で信頼性情報、複合認証および Kereberos 防御をサポートする]

ではこれを何に使用するか?Windows Server 2012で追加されたダイナミックアクセス制御(DAC:Dynamic Access Control)です。詳細についてはMSの安納さんのブログ記事にかなり詳細かつ分かりやすい内容があります。

blogs.technet.microsoft.com

Windows Server 2012ではドメイン自体の機能追加というよりはWindows Server 2012で追加された機能に合わせて機能拡張を行なっているような感じです。今までセキュリティグループでしかアクセス制御ができなかったことを考えると、ユーザーやデバイスの属性を使用してアクセス可否を制御できるのは画期的だと思います。ただ、これまでのActive Directory自体はどちらかと言うと認証(Authentication)に重きを置いていて、承認(Authorization)についてはあまり力点を置いていなかったように思います。つまり、ログオンの認証はするけど、ファイルサーバーなどリソースにアクセスするためにADから提供される情報は各ユーザーが所属するセキュリティグループくらいで、それ以外の属性はあまり積極的に活用してこなかったように思います(氏名、メールアドレス、電話番号くらい?)。上記のような機能を効率よく使用していくために、属性をしっかりと割り当ててやる必要があります。FIMなどのID管理製品と上手く連携していくことを意識しないといけないかもしれないですね。