none
ロールベースのアクセス制御 RRS feed

  • 質問

  • Active Directoryを用いてツールへのアクセス制御を行う際に、OUの単位ではなくロールベースで制御を行いたいのですが、

    オンプレのActive Directoryで行うことはできますか?

    2018年3月28日 0:41

回答

  • チャブーンです。

    ご質問ですが、まず前提として「ツールへのアクセス権」という概念はActive Directoryにはなく、そう見えるものの実体は、「Active Directoryオブジェクト自体のアクセス許可」で表現されます。OUを境界として、OU上位のオブジェクトはドメイン管理者が制御し、OU下位(OUの中身)のオブジェクトを特定ユーザーやグループが制御する状況を「委任」と呼ぶのです。

    その意味でいうと、ドメイン最上位の「ドメインオブジェクト」に対して、セキュリティグループ単位でアクセス許可を与えれば、OUには関係なく下位コンテナ、オブジェクトすべてを制御することはできます。しかしドメイン全体のセキュリティレベルが変更されるため、慎重に対応したほうがいいでしょう。

    うえの対象セキュリティグループを「ロール(役割)」と呼ぶのであれば、ご要望は可能ということになります。セキュリティグループはビルトインだけでなく、自身で新設したグループも使うことができます。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク TMYHNIU0924 2018年3月29日 12:57
    2018年3月28日 1:42
    モデレータ

すべての返信

  • チャブーンです。

    ご質問ですが、まず前提として「ツールへのアクセス権」という概念はActive Directoryにはなく、そう見えるものの実体は、「Active Directoryオブジェクト自体のアクセス許可」で表現されます。OUを境界として、OU上位のオブジェクトはドメイン管理者が制御し、OU下位(OUの中身)のオブジェクトを特定ユーザーやグループが制御する状況を「委任」と呼ぶのです。

    その意味でいうと、ドメイン最上位の「ドメインオブジェクト」に対して、セキュリティグループ単位でアクセス許可を与えれば、OUには関係なく下位コンテナ、オブジェクトすべてを制御することはできます。しかしドメイン全体のセキュリティレベルが変更されるため、慎重に対応したほうがいいでしょう。

    うえの対象セキュリティグループを「ロール(役割)」と呼ぶのであれば、ご要望は可能ということになります。セキュリティグループはビルトインだけでなく、自身で新設したグループも使うことができます。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク TMYHNIU0924 2018年3月29日 12:57
    2018年3月28日 1:42
    モデレータ
  • チャブーンさん

    ご回等ありがとうございます。

    OUやセキュリティグループの基本から学びなおしてみます。

    2018年3月29日 12:46