Active Directoryのファイルサーバーアクセス権管理

Active Directory ID管理ソフト

ファイルサーバー アクセス権管理とは

ファイルサーバーのアクセス権管理とは、社内ネットワーク上にあるファイルサーバーに対して、機密情報・個人情報の保護、あるいは不正アクセス・改ざんを防止するために「誰がどのレベルでファイルサーバーへアクセスできるか」をユーザーごと、あるいはグループごとに管理することです。
適切なアクセス権の付与、および管理を行うことで、部外者への業務データの流出を防いだり社員の個人情報を保護したりなどの適切な情報管理ができます。 内部統制やコンプライアンスの遵守として、非常に重要です。

ファイルサーバー アクセス権管理 画像:Windows ACL

ファイルサーバーアクセス権管理の課題とは?

ファイルサーバーのアクセス権管理は、部外者を遮断し、不必要な情報を表に出さないためにも重要です。しかし、Active Directory環境で「だれがどのレベルでリソースにアクセスできるか」というように、ファイルサーバを管理することは非常に面倒です。また、アクセス権の変更は一度に1ユーザーずつ変更を行うため、システム管理者にとって最も時間のかかる作業の1つです。
たとえば、新しい従業員が組織の人事チームに加わったとします。彼に従業員情報、人事方針、会社方針などの共有リソースへのアクセスを許可したいと思いますが、必要以上の権限は不要であり、権限を付与することでデータ改ざんや悪用などの危険も生じてきます。また新入社員にリソースに対する削除権限を与えたくないと思うかもしれません。このような場合は、アクセスレベルにいくつかの制限を設ける必要があり、システム管理者はユーザーのアクセス制御エントリ(ACE)を慎重に定義する必要があります。 他にも、「転入・転出が頻繁な職場で、一人ひとりの権限をコントロールする作業が煩雑となる」「社員数が多く、定期的な異動のたびにタイムリーに権限設定を行わなくてはいけない」という場合もあり、非常に多くの工数と手間を要します。

面倒なことはツールにお任せ!ファイルサーバー管理機能で一括管理

ManageEngineが提供する、ADManager Plusのファイルサーバー管理機能を使うことにより、システム管理者はユーザのNTFSや共有権限をまとめて管理(アクセス権の付与、変更、削除)することができます。システム管理者が行うことは、必要性に応じて共有リソースを選択しアクセス権を定義するたけです。 誰にでも直感的に操作しやすいWebベースのユーザーインターフェースで、煩雑になりがちなファイルサーバーのアクセス権管理を効率的に行うことが可能です。

■ ADManager Plusのファイルサーバー管理機能を使用することで、システム管理者は次のことができます。

  • セキュリティリスクなしにユーザやグループに必要なリソースへのアクセスを許可
  • 権限の一括変更を実施
  • リソースに対する権限を効率的に管理
  • シンプルなGUIから一元的に運用

具体的には、ADManager Plusのファイルサーバ管理機能を使用して、次の4つの操作が可能です。

1. NTFSのアクセス許可を変更

リモート/ローカルサーバのNTFS上にあるフォルダやファイルに対し、ユーザやグループに許可する操作を設定/変更

2. NTFSのアクセス許可を削除

NTFS上のフォルダ/ファイルへのアクセス許可の取消

3. 共有フォルダーのアクセス許可を変更

Windows 共有フォルダに対し、ユーザやグループに許可する操作を設定/変更

4. 共有フォルダーのアクセス許可を削除

Windows 共有フォルダーへの共有権限の取消

画像:NTFSアクセス許可変更画面

ファイルサーバー管理機能で工数削減

NTFSのアクセス許可を変更する際に、特定のフォルダに対する既存のアクセス許可を一覧表示できます。 [フォルダからコピー]機能を使用すると、別のフォルダのアクセス許可をコピーして目的のフォルダに適用することが可能となり、NTFSアクセス許可をさらに簡単に変更できます。それに加えて、[プレビュー]では、権限の変更を一覧で確認できるため、適用前に更新後のアクセス権を確認することができます。

ADManager Plusのファイルサーバ管理機能は、従業員が組織を辞める際の運用手順でも非常に役に立ちます。「どの権限を取り消すのか」「どのリソースから権限を削除するのか」をシステム管理者が悩む必要はありません。システム管理者が行うことは、任意のユーザと権限を選択し、種類で拒否を選ぶだけです。ADManager Plusを利用する前とは違い、混乱することなく素早く業務を実行できます。

アクセス権管理業務の委任

ADManager Plusの 権限委任機能を使用して、ファイル権限管理を任意のユーザに委任することもできます。この機能を用いることで、営業部のファイルアクセス権管理は営業部長に委任するなどシステム管理者の負担を削減できます。さらに、監査レポートを使用して、共有フォルダとファイルサーバの権限の変更を追跡することも可能です。それにより委任後のセキュリティチェックが容易になります。(監査レポートは、必要に応じてCSV、PDF、HTML、またはExcel形式にエクスポートできます)

アクセス権に関する情報をレポートで可視化

これらの機能に加え、ADManager Plusでは、NTFSの権限に関するレポートもあります。サーバーの共有フォルダー、フォルダーへアクセスできるアカウント、アカウントがアクセスできるフォルダー、非継承フォルダーのレポートがあり、これらのレポートは包括的なアクセス制御の可視化に非常に有効です。「どのフォルダにだれがアクセス権をもっているか」など、アクセス許可をすぐに確認できるため、セキュリティをより効率的に強化できます。

ファイルサーバーアクセス権レポート

ADManager Plusのビルドインレポートには、NTFSと共有のアクセス許可レポートがあります。ファイルサーバ管理と併用することで、さらに効率的に管理しましょう。

詳細はこちら
 
 

ユースケースで実演!
製品紹介ウェビナー

6/17(金)11:00~12:00