PCユーザの管理は早めに実装したほうが楽だよっていう話。
はじめましてこんばんわこんにちわお久しぶりです。
リベロエンジニアでIT技術者をやってるドラゴン藤波は、藤波製作所で中小規模事業者様にITコンサルもしています。
藤波製作所にはアシスタントさんとして時短で雇用されている方がいるのですが、
入社時に諸々そろえたとき、特にPCを用意した時の話をしたいと思います。
あまり馴染みのない方もいると思うので、この話は2階建てでお届けします。
藤波製作所ではGoogle Workspaceを使用しています。
藤波製作所では Google Workspace を使用しています。いいですよね。でもGCPは触ってないんだ。ゴメンな。
Google Workspaceの良さは色々ありますが、今回それを語っているとキリがないので割愛します。
そもそもローカルユーザとドメインユーザって?
ドメインユーザと言われてピンとこない方向けに解説しますね。
ドメインユーザってのはさぁ 情熱なんだよ
パソコンにログインするとき、いつもユーザを選んでいると思いますが、これ種類があります。1
それがローカルユーザとドメインユーザっていう、今回の話の根っこなのですが、
ローカルユーザってのは、パソコンにログインするときに使用する端末固有のアカウントです。
一般家庭なら普通の光景です。
(最近のWindowsはoutlookアカウントをいきなり強制してくるなど、なかなか無作法なことをしてきますが、一旦そんなもん忘れください)
ドメインユーザってのは、企業や組織で保有するパソコンにログインするユーザを「端末固有」ではなく、
「組織で一元管理」されているユーザを使用してログインさせるときに使用します。
企業のガバナンス、セキュリティ強化の一環ってやつです。
ローカルユーザの特徴
- 定義
- 個々のコンピュータにのみ存在するユーザアカウント。
- 作成先
- 各コンピュータのローカルシステム上に作成される。
- アクセス
- 作成されたコンピュータのリソースのみにアクセス可能。
- 管理
- 各コンピュータで個別に管理される。
ドメインユーザの特徴
- 定義
- ネットワークドメイン内で認証され、管理されるユーザアカウント。
- 作成先
- ドメインコントローラー(例:Active Directory)にて管理。
- アクセス
- ドメイン内の複数のコンピュータやリソースにアクセス可能。
- 管理
- ドメインコントローラーによって中央集権的に管理される。
これらの違いは、ユーザ管理のスコープとセキュリティ、ネットワーク環境の設計に影響を与えます。
ざっくりそんな感じかな。
AD(ActiveDirectory)とはマイクロソフトが提供しているユーザ管理と、今回触れませんがIT資産管理や監査の機構を持つ仕組みです。Windowsを使うなら必須になるでしょう。
ローカルユーザとドメインユーザの違いはなんとなく分かったと思います。
ローカルユーザはパソコンに紐づくユーザのため、特別な管理の仕組みは不要ですが、
ドメインユーザを使うためには、ドメインユーザを管理するドメインコントローラという機能が必要です。
ドメインコントローラって何?
今回はユーザ管理に焦点を絞りますね。コンピュータ管理といった資産や構成管理は除外します。
- ユーザ認証と管理
- ドメインコントローラはユーザアカウント、パスワード、アクセス権限などを管理し、ユーザのログイン認証を行います。
- ポリシーの適用
- セキュリティポリシー、ネットワークポリシー、ソフトウェアの設定などをドメイン内のコンピュータやユーザに対して一元的に適用します。
- ディレクトリサービス
- ユーザやコンピュータ、その他のリソースに関する情報を格納し、組織内での情報共有とアクセス制御を行います。
- セキュリティ
- ネットワークセキュリティを強化し、不正アクセスやデータ漏洩を防ぐための重要な役割を担います。
ドメインコントローラは、組織内のITインフラの中心的な役割を果たし、効率的で安全なネットワーク環境の構築に不可欠です。
そんな感じです。
このドメインコントローラもオンプレミスとクラウドに大別することが可能です。
ActiveDirectoryで例えるなら、、、
WindowsServerを用意してActiveDirectoryを構築するか、Office365を買っちゃって、AzureADを使うか。
ぐらいの温度感です。(本当はモノが全然違うんですが、雑に説明するならってことで)
グループウェアをドメインコントローラちっくに動かすことができるわけですよ。
クラウドグループウェア(Office 365)をコントローラとして利用する場合のメリットとデメリットは以下の通りです。
メリット
- アクセシビリティ: インターネット接続があればどこからでもアクセス可能。
- 低コスト: 初期投資が少なく、維持費もサブスクリプションベースで管理しやすい。
- 簡単なセットアップと管理: インフラの構築やメンテナンスの必要がなく、直感的な管理インターフェースを提供。
- 自動更新: ソフトウェアが常に最新の状態に保たれ、セキュリティパッチが自動的に適用される。
- スケーラビリティ: ビジネスの成長に合わせて容易にスケールアップやダウンが可能。
- コラボレーションの向上: リアルタイムでの共同作業やコミュニケーションが強化される。
デメリット
- インターネット依存性: インターネット接続が途切れるとアクセスが不可能になる。
- データセキュリティの懸念: サードパーティのサービスを使用するため、データプライバシーとセキュリティが懸念されることがある。
- カスタマイズの限界: オンプレミスソリューションに比べてカスタマイズの自由度が低い。
- パフォーマンスの変動: インターネット速度やサービスの負荷によってパフォーマンスが変動する。
- 長期的なコスト: 初期投資は低いものの、長期的にはサブスクリプション費用が蓄積される。
- ベンダーロックイン: 特定のプロバイダに依存し、移行が困難になる可能性がある。
ChatGPTすげぇ~↑↑
セキュリティ関連の話が出るので、セキュリティに敏感な方は嫌がりますね。
とまぁドメインユーザとドメインコントローラの解説、かいつまんでますがそんな感じです。
「そんなめんどくせーなら後から変えたらええやん」と思いますよね。
えぇ、わかりますよ。
やってみてください。
ものすごく面倒くさいので。
後からドメインユーザに切り替えたくねぇ
大体面倒くさくなって立ち消えになるパターンが↓です。
移行プロセス: ユーザアカウントの移行は手間がかかり、特に大規模な環境では複雑になります。
データの移行: ユーザのプロファイルデータ(ドキュメント、設定など)をローカルユーザからドメインユーザに移行する必要があります。
アクセス権の再設定: ファイルやアプリケーションへのアクセス権限を、新しいドメインユーザアカウントに合わせて再設定する必要があります。
システムの再設定: ネットワーク設定、メールアカウント、ソフトウェアライセンスなど、多くのシステム設定を更新する必要があります。
教育とサポート: ユーザに新しいログイン方法やドメイン環境の使い方を教育し、移行に伴うサポートを提供する必要があります。
セキュリティポリシーの適用: ドメインコントローラによるセキュリティポリシーを適用するため、システムのセキュリティ設定を見直し、必要に応じて調整する必要があります。
計画とテスト: 移行前に十分な計画とテストを行う必要があり、予期せぬ問題への対応も必要になる可能性があります。
200名規模の上場企業様でユーザ管理が立ち消えになった話を見たことがあります。
それぐらい面倒くさいんです。
ローカルユーザからドメインユーザへの切り替え、ちょちょいのちょいで移行して当日中に業務再開できますよって人間だけがそろった会社が一体全体いるのか?
だから最初っからドメインユーザを使用してログインしてほしいなと考えました。
藤波製作所はアシスタントさんもフルリモートなので、途中で運用変更で業務止まるほうがキツい。
それにドメイン配下のユーザなら、やっぱりユーザ管理する側は楽だしね。
「ログイン先」は複数なのだ
今回はパソコンに絞っていますが、人ひとりのログイン先って結構ありませんか?
パッと思いつくだけでデバイスは2個、最低出てきますよね。
- パソコン
- 携帯電話(スマートフォン)
従業員が使用するアプリ、ウェブサービス、グループウェアはどうでしょう?
都度都度IDとパスワード払い出しですかね?
ところで、最近はグループウェアやSNSのアカウントを使用してログインができるモノ、多くないですか?
とか
とか
見たことありませんか?
シングルサインオンってやつ
異なるサービス間やアプリケーションの間でユーザ情報を共有することで、
1回のユーザ認証で複数のアプリケーションやサービスを利用できます。
IDパスワード管理を減らしたくないですか?ワイはものすごく減らしたいです。
個人が管理するIDパスワードは、増えれば増えるほど情報漏洩のリスクは増えるものです。
ドメインユーザのセキュリティ設定を適切に行うことにより、
複数のIDパスワードを管理するより安全に運用が可能です。
当たり前ですが、シングルサインオンの大本となるグループウェアは細かいセキュリティを設定できるため、
ナンチャッテなセキュリティ運用(パスワードが何文字以上で~、とか)を実施するより、現実的かつ確実です。
つまりシングルサインオンができるグループウェアをドメインコントローラにすることで、
従業員の利便性が向上するんですね。
※情シスが頑張れば、ドメインユーザと各種サービスを連携してシングルサインオンできるようにすることも可能ですが、今回は情シスが頑張らなくてもシングルサインオンしやすいことを前提にお願いします。
情シスが居るとは限らない環境、たくさんありますから。
まとめ
ユーザ管理って簡単ですが難しいです。
冒頭でガバナンスとセキュリティの強化と記載しましたが、
一元管理することによるガバナンス強化の恩恵はとても重要なものになります。
しかし、利便性を考慮しないと利用者(従業員)からの評判はガタオチで「あーめんどくせー」と言われてしまう
組織ごとに異なる要求にあわせ、利便性を考慮してドメインコントローラを決定する必要があり、
部分的最適化では叶えられず、組織を俯瞰した考慮が必要です。
ドメインユーザってのはさぁ 情熱なんだよ
おわかりいただけたでしょうか。
ユーザ管理を小規模のうちからドメイン管理する。管理を始めるという意味では簡単に取り掛かれるので、
人数が増えてダメージが深くなる前に、ユーザ管理されたパソコンの運用をオススメしておきます。
次回はGoogle Workspaceでドメイン管理する実装編をお送りします。
- AdminとUserの話ではないので!ねんため1111!!! ↩︎