PR
あなたはActive Directoryドメインの管理者である。管理者の負担を分散させるため,DNSサーバーの管理権限を委任したい。ただし,権限の割り当ては「最小権利の原則」に従い,必要最小限にとどめたい。あなたがすべき適切な作業はどれか。

1:DNSサーバーの管理者をDnsAdminsのメンバーにする。
2:DNSサーバーの管理者をDomain Adminsのメンバーにする。
3:DNSサーバーの管理者をDnsUpdateProxyのメンバーにする。
4:DNSサーバーの管理者に,「DNSサーバーの管理」権限を与える。


適切なものを1つ選んでください。
正解:1

 大規模な組織では,特定の管理権限を分散させたい場合がある。例えば,DNS(ドメイン・ネーム・システム)の管理権限やDHCP(動的ホスト構成プロトコル)の管理権限などである。この場合に重要なことは,必要かつ十分な権限だけを管理者に与えることだ。これを「最小権利の原則」と呼ぶ。


図1●DnsAdminsグループのスコープを変更する
[画像のクリックで拡大表示]

 Windows NTでは「最小権利」という考え方がまだ徹底されておらず,ローカル・コンピュータ(またはドメイン内のドメイン・コントローラ)に対する全管理権限を持つAdministratorsグループや,ドメイン全体の管理権限を持つDomain Adminsを使って管理者に権限を割り当てていた。

 こうしたグループはコンピュータ単位やドメイン単位で権限を分散する方法であって,サービスごとの分散ではない。そのため,Domain AdminsはDNSサーバーの管理権限を持つが,その他の管理作業を実施する権限も持つ。これでは最小権利の原則に反する。

 Windows NTでは,機能別の管理権限を持つグループとして,ユーザー・アカウントだけを管理できるAccount Operatorsやプリンタ管理だけを実行可能なPrint Operatorsなどがあった。しかしながら,ネットワーク・サービスについては考慮されていなかった。

 Windows 2000ではネットワーク・サービスに対して,次のような管理権限を持つドメイン・ローカル・グループが新設された。(1)DHCPの管理権限を持つ「DHCP Administrators」,(2)DHCPデータベースを参照する権限がある「DHCP Users」,(3)DNSの管理権限を持つ「DnsAdmins」,(4)WINS(Windowsインターネット・ネーム・サービス)データベースを参照する権限がある「WINS Users」——である。

 これらのグループは対応するサービスを追加した時点で自動的に作成されるため,例えばWINSがインストールされていなければ「WINS Users」は存在しない。また,Active Directoryドメインがネイティブ・モードなら,これらのグループをユニバーサル・グループ(フォレスト・レベルで権限が有効なグループ)に変更することも可能だ(図1[拡大表示])。

 このほかWindows Server 2003では,そのコンピュータのネットワーク構成を変更する権限を持つグループ「Network Configuration Operators」も追加された。これはビルトイン・ローカル・グループなので,OSをインストールした直後から利用できる。ただし,ビルトイン・グループのスコープ(権限が有効な範囲)は変更できない。

 なお,Windows 2000にはコンピュータ・アカウントをメンバーとして持つグループもいくつか存在する。例えばDnsUpdateProxyは,DHCPサーバーなどのようにクライアントの代理でDNSレコードを更新するコンピュータに権限を与える目的で利用される。Windows NTではコンピュータをメンバーとするグループは利用されていなかったが,Windows 2000以降は積極的に利用されているので併せて学習しておきたい。