内部システム(AD、グループウェア)について | 情シスのお仕事(2019年度改訂版)

内部システム(AD、グループウェア)について | 情シスのお仕事(2019年度改訂版)





対象とする読者

・情シスが何をやっているか知りたい人
・ADやグループウェア管理で何をやっているか知りたい人
話の要点
・ADでユーザー/コンピューター管理、DNS、DHCP、WSUS、グループポリシーやってます。
・(慣れた人だと)ADでのファイルサーバの権限管理は便利です。
・GSuiteはWindowsの権限管理と考え方が違うので注意。
・ストレージは有限です。誰がなんと言おうと有限です。異論は認めません。

今回の「情シスのお仕事」はActiveDirectoryやグループウェアなど内部向けシステムを取り上げます。
改めて「情シスのお仕事」で取り上げる弊社情シスの業務範囲を貼っておきます。
各業務を紹介する記事のリンクになっているのであわせて見ていってください。

1.デジタルシフトマネジメント(計画)
2.デジタルシフトマネジメント(業務改革)
3.デジタルマーケティング管理・保守(MA、Web等)
4.営業支援システム保守(SFA、CRM)
5.基幹業務システム保守(ERP、PJ管理等)
6.バックオフィスシステム保守(人事給与、財務会計等)
7.コミュニケーションシステム保守(ファイル転送、チャットツール等)
8.内部システム保守(AD、グループウェア)★今回はココ
9.情報セキュリティ(個人情報管理、資産管理、ウイルス対策、教育等)
10.ソフトウェア管理(ライセンス、バージョンアップ等)
11.ハードウェア管理(パソコン、サーバ、スマデバ、ネットワーク機器等)
12.ネットワーク管理(無線、拠点内LAN、拠点間VPN、インターネット)
13.その他インフラ(電話/FAX、プリンタ、プロジェクタ、デジカメ等)
14.上記1~13についての問合せ対応

AD、グループウェア管理について

インフラに限りなく近い存在


ゼロトラストネットワークという概念により社内・社外のネットワークの垣根が無くなると言われ始めていますが、弊社は典型的な社内ネットワークを構築しており、オンプレミスのActiveDirectoryサーバ(以下ADサーバ)を設置しています。

ユーザー管理、コンピューター管理、DNS、DHCP、WSUS、グループポリシー管理を一通りやっており、SE時代のMCP(マイクロソフト認定プロフェッショナル)取得が今になって役に立ちました。
取得していたのは2003 Server時代の「Active Directory および ネットワーク インフラストラクチャの設計」ですが、基本的な構成や考え方は同じなので、少し調べればあたりは付けられます。

一方でグループウェアは本ブログでも何度かご紹介していますGSuiteを利用しています。こちらは一転クラウドシステムです。
メールやスケジュール、Web会議等業務インフラとして欠かせないツールです。

どちらも日常業務に欠くことのできない機能を有していますが、毎日何かしらの管理をしなければいけないかという訳ではありません。しかし全く触らないかと言えばそうでもありません。タイミング毎にちょこちょこ触ったり、時々大掛かりに設定を変更したりと常に調整している感じです。

利用者にとっては特別存在を意識せずに使っている、でも止まると多大な影響が出る、まさにインフラなのです。

権限管理はセキュリティの要


ADサーバのドメインコントローラー(以下DC)は多重化しており、片方はWSUS用のWindowsUpdateダウンロードサーバ、もう片方はファイルサーバとして動作しています。

クラウドベースのグループウェアがあっても、結局ファイルサーバが無くなっていないのは何とも言えない状況ですが、まだここまで手が付け切れていないのが実情です。

ファイルサーバがあると権限管理は非常に重要になります。ActiveDirectoryはこの点では(慣れた人には)非常に便利です。ユーザーをOU(オブジェクトユニット)でまとめて、OU単位に権限設定できます。部門OU、役職OUをクロスさせて管理することもできます。あまりややこしい設定をすると人事異動時にちょっと面倒くさいですが、ここをサボるとセキュリティ上のリスクになります。

権限管理はセキュリティにとって重要な機能です。
秘匿性の高いファイルにアクセスできる人を限定することは基本的なセキュリティを確保します。全社員がアクセスできる場所、部門ごとにアクセスできる場所、特定の役職以上がアクセスできる場所など、権限そのものをセキュリティレベルとして機能させることができます。

Windowsで慣れているこれらの管理と、GSuiteの権限の考え方は少し異なります。
所属や階層という権限ではなく、Googleドライブのフォルダ(グループフォルダや共有)に誰がアクセスできるかを個別で作っていきます。フォルダ配下のコンテンツには権限が引き継がれますが、基本的にはそれぞれがアクセス権限は個々が制御することになります。

こうした権限の違いは、その場所に格納してよい資料は何かを決定するための重要な要素になります。

ストレージは有限です


クラウドストレージの容量は日に日に大きくなってきています。
GSuiteのGoogleドライブはGmail、Googleフォトと容量共用でBasicで30GB、Businessの4人以下であれば1人1TB、5人以上の利用で容量無制限になり、チームドライブ(個人に紐づかない共用ドライブ)も容量無制限です。
Office365のOneDriveはSolo、Business、ProPlus、Enterprise E1が1人1TB、E3以上で容量無制限になります。

そんな世の中で「ストレージの容量が足りない」なんて起こらない、なんてことは無いんです。例えばGSuiteのチームドライブはファイルサイズとしての容量は無制限ですが、ファイル/フォルダ数には全体で「100,000 個のファイルやフォルダ」という制限があります。Office365のOneDrive for Businessは「ファイルやフォルダー」が1フォルダ直下に「最大 5,000 個」、1ファイル10GB以下の制限があります。

クラウドと言っても、インターネットの向こうには物理環境があるわけですから、無限のストレージは存在しません。

不要なファイルは削除する、無意味なバックアップは残さない、フォルダ構造はルールを定めて何がどこにあるか管理する、PCローカルにファイルを保存しない、デスクトップにファイルを置かない。
IT企業ですらこれらを行わずに無秩序なストレージ利用を行っているところがあります。
いわんやユーザー企業をや、です。

ルールを守らない人がいる限り、繰り返し発信し続けます。

ストレージは有限です。
容量管理は利用者の責任です。
容量追加したって整理しなければ、どうせすぐ空き容量は無くなります。
まずは不要なファイルを整理してください。
不要なファイルかどうかわからないようなフォルダ管理は管理ではありません。
誰が見てもどこに何があるかわかるフォルダ構成にしてください。

限りある(ストレージ)資源を大切にしましょう。

スポンサーリンク

ActiveDirectory管理を勉強したい人のために

ActiveDirectoryの管理はそもそもWindowsServerの管理も含めた体系的な学習が必要で、インターネットで拾い読みするのはちょっと危険です。

マイクロソフトの認定試験制度も私が受験した頃とはかなり変わっていて、今でいうとMTA(マイクロソフト認定テクノロジーアソシエイト)の試験 98-365 Windows サーバー管理の基礎に該当すると思います。

試験を受けるか受けないかは別として、体系的な知識を得るための書籍を紹介します。

ひと目でわかるWindows Server 2016

 

まずWindowsServerの基礎を押さえておきます。前述のMTAもこの辺りを押さえておく必要があります。
最新OSはWindows2019ですが、MTAの試験科目が今のところ2016なので資格取得したいという人のために一応バージョンを合わせておきました。

ひと目でわかるActive Directory Windows Server 2016版

 

こちらはADに特化した方です。WindowsServer自体の知識に多少自信があればこちらからどうぞ。

 

この記事をシェアする

この記事が気に入ったら
いいね!をお願いします

情シスよもやま話カテゴリの最新記事