AGDLP

AGDLP ( 「アカウント、グローバル、ドメイン ローカル、アクセス許可」の略) は、ネイティブ モードのActive Directory (AD) ドメインでネストされたグループを使用してロールベースのアクセス制御 (RBAC) を実装するための Microsoft の推奨事項を簡単にまとめたものです。ユーザー アカウントとコンピューターアカウントは、ビジネスロールを表すグローバル グループのメンバーであり、ビジネス ロールは、リソースのアクセス許可またはユーザー権利の割り当てを記述するドメイン ローカル グループのメンバーです。AGUDLP ( 「アカウント 、グローバル、ユニバーサル、ドメイン ローカル、アクセス許可」の略) とAGLP (「アカウント、グローバル、ローカル、アクセス許可」の略) は、それぞれActive Directory フォレストとWindows NT ドメインにおける同様の RBAC 実装スキームをまとめたものです。

ロールベースのアクセス制御 (RBAC) により、日常的なアカウント管理操作が簡素化され、セキュリティ監査が容易になります。^{[ 1 ]}システム管理者は、個々のユーザー アカウント に権限を直接割り当てません。代わりに、各ユーザーは組織内での役割を通じてアクセス権を取得します。これにより、ユーザー アカウントの作成、変更、削除時に、潜在的に大量 (かつ頻繁に変更される) のリソース権限とユーザー権利の割り当てを編集する必要がなくなります。従来のアクセス制御リストとは異なり、RBAC の権限は、基礎となる低レベルのデータ オブジェクト アクセス方法ではなく、特定のアプリケーションまたはシステム内の意味のある操作を記述します。ロールと権限を集中データベースまたはディレクトリ サービスに格納すると、ロールのメンバーシップとロール権限の確認および制御のプロセスが簡素化されます。^{[ 2 ]} 監査人は、特定のアクセス制御のリソース固有の実装詳細を理解していなくても、単一の場所から権限の割り当てを分析できます。

マイクロソフトのRBAC実装では、Active Directoryのさまざまなセキュリティグループスコープを活用しています。^{[ 3 ] [ 4 ]}

グローバルセキュリティグループ

グローバルスコープを持つドメインセキュリティグループは、ドメイン内のビジネスロールまたは職務を表します。これらのグループには、同じドメインのアカウントや他のグローバルグループを含めることができ、フォレスト内のどのドメインのリソースでも使用できます。また、グローバルカタログのレプリケーションを発生させることなく、頻繁に変更することも可能です。

ドメインローカルセキュリティグループ

ドメインローカルスコープを持つドメインセキュリティグループは、割り当てられた低レベルの権限またはユーザー権限を記述します。これらのグループは、同じドメイン内のシステムでのみ使用できます。ドメインローカルグループには、任意のドメインのアカウント、グローバルグループ、ユニバーサルグループ、および同じドメインのドメインローカルグループを含めることができます。

ビジネスロールを表すグローバルグループには、ユーザーアカウントまたはコンピュータアカウントのみを含める必要があります。同様に、リソースのアクセス許可やユーザー権限を記述するドメインローカルグループには、ビジネスロールを表すグローバルグループのみを含める必要があります。アカウントまたはビジネスロールにアクセス許可や権限を直接付与することは、後続の権限分析を複雑にするため、避けてください。

マルチドメイン環境では、AD フォレスト内の異なるドメインは、WANリンクまたはVPN接続でのみ接続される場合があるため、グローバル カタログ サーバーと呼ばれる特別なドメイン コントローラーが、コストがかかったり時間がかかったりするドメイン間ディレクトリ検索を削減するために、特定のディレクトリ オブジェクト クラスと属性の種類をキャッシュします。^{[ 5 ]} グローバル カタログ サーバーによってキャッシュされるオブジェクトにはユニバーサル グループが含まれますが、グローバル グループは含まれないため、ユニバーサル グループのメンバーシップ検索は、グローバル グループの同様のクエリよりもはるかに高速になります。ただし、ユニバーサル グループを変更すると (コストがかかる可能性がある) グローバル カタログのレプリケーションがトリガーされ、ユニバーサル グループを変更すると、ほとんどの大規模企業では不適切なフォレスト全体のセキュリティ権限が必要になります。この 2 つの制限により、ユニバーサル セキュリティ グループが、企業のビジネス ロールの唯一の代表としてグローバル セキュリティ グループに完全に置き換わるのを防いでいます。代わりに、これらの環境での RBAC 実装では、略語AGUDLPで示されるように、ドメイン固有のグローバル セキュリティ グループを保持しながら、エンタープライズ全体の役割を表すためにユニバーサル セキュリティ グループを使用します。

Windows NT 4.0以前のドメインには、グローバル (ドメイン レベル) グループとローカル (非ドメイン) グループのみがあり、ドメイン レベルでのグループのネストはサポートされていません。^{[ 6 ]} 略語AGLP は、古いドメインの RBAC 実装に適用されるこれらの制限を指します。グローバルグループはビジネス ロールを表し、ローカル グループ (ドメイン メンバー サーバー自体に作成される) はアクセス許可またはユーザー権利を表します。

共有フォルダ\\nyc-ex-svr-01\groups\bizdev、組織のマーケティング部門内のビジネス開発グループ (Active Directory では (既存の) グローバル セキュリティ グループ「Business Development Team Member」として表されます)、およびグループ全体に共有フォルダへの読み取り/書き込みアクセス権があるという要件がある場合、AGDLP に従う管理者は次のようにアクセス制御を実装できます。

1. Active Directory に「\\nyc-ex-svr-01\groups\bizdev のアクセス許可の変更」という名前の新しいドメイン ローカル セキュリティ グループを作成します。
2. そのドメイン ローカル グループに、「bizdev」フォルダに対する NTFS「変更」権限セット（読み取り、書き込み、実行/変更、削除）を付与します。（NTFS 権限は共有権限とは異なることに注意してください。）
3. グローバル グループ「Business Development Team Member」をドメイン ローカル グループ「\\nyc-ex-svr-01\groups\bizdev のアクセス許可の変更」のメンバーにします。

この例を使用して RBAC の利点を強調すると、ビジネス開発チームが「bizdev」フォルダに対する追加の権限を必要とした場合、システム管理者は、最悪の場合、フォルダにアクセスできるユーザーの数と同じ数のアクセス制御エントリ (ACE) を編集するのではなく、1 つのアクセス制御エントリのみを編集する必要があります。