アドバイザー佐野:まずは、ワークグループ環境と、ドメイン環境を比較してみましょう。プチアド君、旧R社とD社のIT環境をざっと絵に描いてもらえますか?
プチアド:はい! ええと、このような感じですね(図1/表1)
 |
 |
|---|---|
| 図1●左がR社のドメイン環境、右が D社のワークグループ環境(画像クリックで拡大) | |
 |
|---|
| 表1●R社とD社のIT環境(画像クリックで拡大) |
アドバイザー佐野:ワークグループでは、すべてのサーバ/PCが、ネットワークで同等・同列でつながっており、それぞれが独立した動きをしています。例えば、豆アド君がPC1からファイルサーバA上のフォルダやプリンタ(以下、リソース)を利用するためには、ファイルサーバAにも豆アド君のユーザー資格情報、つまりアカウントとパスワードを登録しておかなければなりません。まったく同じユーザー資格情報を登録しておけば、共有フォルダに透過的に接続できますが、異なるユーザー資格情報ならば、共有フォルダに接続する際、ユーザー資格情報の入力を求められます。
プチアド:ドメイン環境ではドメインコントローラという特別な役割を持ったサーバが、ドメインに参加するすべてのユーザーのユーザー資格情報と、サーバ、PC、それにプリンタなどの情報を一元的に管理しているのですよね?
豆アド:ドメインコントローラで管理?
アドバイザー佐野:はい、ドメイン環境であれば、豆アド君がPC1からファイルサーバA上のリソースを利用する際、いちいちファイルサーバAに、豆アド君のユーザー資格情報を登録しておく必要はありません。ドメインに登録されたユーザー資格情報が利用できるからです。
豆アド:ふぅん。だけど、いつも同じPCから同じファイルサーバを利用するだけなら、ワークグループのほうが手軽じゃないですか? ユーザー資格情報だって、全員同じものを利用するとか。
プチアド:だけど豆アド君、共通のアカウントを使ったら、セキュリティ上の問題が発生するよ。1つのユーザー資格情報を使い回しするためには、すべてのコンピュータ上の、すべての共有に、誰もが同じ権限でアクセスできるようにしなければならないだろう? 万が一社外の人間にユーザー資格情報が漏れたりしたら、RD社のすべての情報が漏えいしてしまうよ。それに、いくら社内の正規ユーザーであっても、人事情報なんかは総務部と役員以外には公開できないし。
豆アド:そういう大事な情報は、総務部の誰か、たとえばプチアド先輩のPCに保存しておいたらどうですか?
アドバイザー佐野:うーん、プチアド君がちゃんとデータのメンテナンスを行なって、バックアップも取得して、人事異動があったら登録されたユーザーアカウントとアクセス権を設定し直して、セキュリティの更新プログラムもちゃんと適用して……といった作業をしてくれればいいけれど。
プチアド:ぼ、僕はばっちりできますよ、多分ですけど。
豆アド:…めんどうくさいから、僕のPCは共有させません!
アドバイザー佐野:(苦笑)各コンピュータが独立した動きをしていると、このような煩雑なメンテナンス作業、セキュリティ設定もすべて個人に委ねなければいけません。こういったものに対するスキルやリテラシーは、人によって異なります。いくら利用方法を明文化して告知しても、3カ月も放置しておけば、あちこちに無頼派PCが発生するでしょう。だって……。
豆アド:めんどうくさいから。
アドバイザー佐野:あはは、でもそのとおりなのです。そこで、威力を発揮するのが、Active Directory ドメインによる、一元管理なのです。
 |  |
|---|
佐野 央のプチ管理者は本日も大忙し
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】
