サーバー、ネットワーク、パソコンの構築と保守

ネットワークと一口に言っても、人それぞれ違う物を指していたりするものですが、今回から社内環境に目を向けた内容で、ありがちな事を少しずつ記事にしていきます。

今回はまず社内でのLAN配線に関してです。

ありがちなこと
　・ルータやHUBといった機械が何処にあるか分からない
　・LANケーブルが机の裏でぐちゃぐちゃに絡まっている
　・どのLANケーブルがどこに接続されているか分からない
色々なオフィスでよく見かけることです。
心当たりがある方もいらっしゃるのではないでしょうか？

よく聞く原因として
　・パソコンが増える度にLANケーブルを差した
　・何度か席移動を行ううちになってしまった
　・保守管理の業者に任せているから分からない

実際のところインターネットが接続でき、問題なく業務が行えているうちは、特に改善しようと思わないはずです。
しかし、いざ問題が起こった時に困ることになります。

例えば
　１．全員インターネットやメールは使えないが、共有サーバは利用できる
　２．特定の人達だけ、インターネット、メール、サーバが利用できない
　３．一人だけ、インターネット、メール、サーバが利用できない

１〜３に関してそれぞれ読んだだけで問題になりそうな箇所がそれなりの知識がある方は思い浮かぶと思います。
１．ルータ，２．HUB，LANケーブル，３．LANケーブル
といった具合です。
※IPアドレスや、ソフトといったことも考えられますが今回は省きます。
これらの問題が発生した場合には、どのようなことをしておけば良いのでしょうか？

基本として心がけることは、ルータやHUBの位置を把握しておき、LANケーブルにタグを付けることです。
そしてもっとも重要なことは「面倒くさい」と思わないことです。
レイアウトを変更すると、LANケーブルは使い回しをするでしょうが、その都度タグを変更することです。
そして、その場しのぎのLAN配線をやめ、後でも分かるように這わせましょう。

次回はこのよくある配線状況でどのような問題が発生しやすいかを記載します。

WindowsXP、特にhomeEditionを多く使用されている会社さんでよく見かけるのですが、事務所内にあるプリンター数をはるかに上回る数のプリンターが、登録されているPC。
みなさんのPCは大丈夫ですか？

原因はXPでプリンタ共有が楽にできるようになった機能なのですが、多くのPCがある環境では、結構いろいろと面倒を起こします。

ネットワークプリンターに対して、直接IPを指定したAさんのPCがあったとします。
Aさんがプリンターの共有を許可すると、同じネットワーク上のXPでは、Aさんのプリンターが「プリンターとFAX」の画面に出現します。

このプリンターをBさんが指定して印刷すると、AさんのPCを経由して、プリンターから印刷されます。
プリンターの設定などの手間が省けて便利な機能ですが、実は問題もあります。

上の例で、Aさんの共有プリンターを使っているBさんのプリンターがさらに公開されて、Cさんがそれを使用すると、Cさんが印刷するときは、CさんのPC、BさんのPC、AさんのPCを経由してプリンターに情報が流れます。

かなり回り道しているので、ネットワーク帯域も、PCの負荷も無駄にかかりますし、経由しているPCの電源が切れていると、障害も起こります。

さらに、Cさんの指定しているプリンター名は「BさんのPC名+AさんのPC名+プリンター名」となりやたら長いものになります。
実はあまりに長いプリンター名だと、一部のソフトでは動作に影響したりする場合もあります。

無駄のないネットワークプリンターの共有を行うようにしましょう。

　事務所の片隅にホコリをかぶって置かれているサーバーはありませんか？

　「昔、どこかの業者が納入したんだけど正体が分からない」
　「常に電源を入れて置くようにいわれてるんだけど、何だろう？」続きを読む

今まで社内サーバーの導入を中心に書いてきましたが、提供するサービスによっては外部に委託した方が良いものもあります。
たとえば会社のホームページ用ウェブサーバーや、業務用のメールサーバーなどです。業務に直結するようなサービスは、停止すると会社の信用問題となります。

その様なときはホスティングサービスを利用しましょう。ホスティングはレンタルサーバーとも言われ、月額料金を支払いウェブサービスやメールサービスの機能をレンタルすることが出来ます。サーバーのレンタルの他に大抵独自ドメインの取得代行をやっているので、ドメインを取得していない場合は同時に依頼すると手続きやドメイン設定が円滑に済みます。

続きを読む

これを読んでくれている方々の中には、一般のデスクトップパソコンを簡易ファイルサーバーなどにして運用していることがあるかもしれません。
では普通のパソコンにサーバーの役割は担えるのか？という疑問が湧いてきます。正直にいうと、小規模の環境であればそれなりの設定をすれば“機能としてはそれなりに”動きます。
ただ以下の不安があります。

続きを読む

ネットワークが無事構築出来て複数台のパソコンが繋がると、自然とファイルの共有やプリンタの共有などの要望があがります。
そこで、「じゃあサーバーを導入しよう！」となるわけですが、サーバーにもいろいろあってどれを買って良いのか選択が難しいです。設置タイプがラックマウントやタワー型、Windowsサーバーにしてもいろいろなエディションがあります。また、最近のサーバーはオンラインで注文できるのでどのようにBTOして良いのかで悩みます。

※BTOとは： Build to Orderのことでメーカーによって決められた構成ではなく、購入者側である程度構成をカスタマイズ出来る購入システム。メーカーはその構成を元に生産し納品する。Apple社などはCTO(Configure To Order)という。

今後いろいろなサーバー用途について紹介する予定なので、それぞれの用途についてオススメのBTO構成をご紹介しますので参考にしてください。続きを読む

　4日後に新OSがリリースされます。LeopardことMacOS10.5への移行を考えられている皆さんも多いかと思います。そこで今回は新OSへの乗り換えについて考えてみます。続きを読む

　どんなに新しいMacも丁寧に使っているMacも壊れるときには壊れます。壊れてもかなわないものは壊れないのに、壊れたら絶対に困るものはなぜか壊れてしまうという法則も存在しているかのようにすら感じられることがあります。

　Macの故障に備えてAppleCare Protection Planを購入しましょう。続きを読む

　前回、ネットワークホームディレクトリーのお話をしましたがここでネットワーク環境の整備について考えてみます。この2つは不可分な関係です。なぜならば、ユーザーのファイルはサーバーにあるのですからそのやり取りはネットワークを経由しているからです。従って、ネットワークが不安定になるとMacの動作にも影響が現れます。

　ネットワークが不安定になる要因として最も大きいものは帯域の不足でパケットの再送が多くなり伝送速度が遅くなるという現象でしょう。確かに、HUBが全面的にリピーターからスイッチングに変わったことやギガバイトのLAN環境がそれほど高価でなくなったことからネットワークの帯域は以前よりも格段に向上しています。とはいっても、その帯域を使うアプリケーションも増えてきていることもまた事実なのです。P2Pでファイル交換をされて社内ネットワークのレスポンスが鈍くなったという事例はまさにこの典型例でしょう。続きを読む

　ここ数回にわたってちょっとMacの技術よりもサーバー管理一般のお話になってしまったのでMacのお話に戻ります。　

　一般に各ユーザーのデータはユーザーの手元にあるMacに収納されています。ネットワークホームとはユーザーのホームディレクトリーをサーバー上に保持する仕組みです。続きを読む

　近年では難しい設定を施さなくても高度な機能を持ったバックアップツールが販売（もちろんrsyncというフリーのツールもあります）されておりバックアップそのものは敷居が低くなっています。簡単であるだけに落とし穴も、、、。
続きを読む

　今回はアクセス権の細かい設定に入ります。LDAP環境があることを前提とします。

　アクセス権の設定の基本は「ユーザーの使用の実態」にセキュリティー上問題がない限り合わせるということです。前回のStepでおおまかに「どの部署が、誰が」使っているのかという観点で振り分けを行いました。その振り分けにしたがって、アクセス権を設定していきます。アクセス権の設定を行い始めると必ずユーザーから「○○にアクセスできなくて困る」とか「××のフォルダを開けなくなった」という情報が上がってきます。そのたびに訂正を行います。部署をまたがって業務を行う人が多いほどにこのような問題が頻発します。システム管理者にとってはわずらわしいかもしれませんが避けられない作業です。

続きを読む

　LDAPでファイルサーバーのアクセス権を制御するまえに、共有されているディレクトリーの構造を見直す必要があります。フォルダがルールなしで乱立していることはよくあります。時には出所の怪しい業務に関係のないファイルがあることも、、。このままでは細かいアクセス権の設定はできませんし運用上も問題があります。

　さしあたっては分別のルールを設定して、フォルダと内包しているファイルを整理していく作業が必要です。「どの部署が、誰が使っているのか」でおおまかでもかまいませんので振り分けます。この作業をすることによってフォルダの乱立を防ぐとともにアクセス権設定の下準備ができます。また、分別中に誤ってファイルを削除してしまったり行方不明になったりしても大丈夫なようにバックアップをとることを強くお薦めします。

　いくらファイルサーバーが大きなものであっても何でもかんでもホスティングしたのではすぐに容量オーバーになってしまいます。重要度ごとに保存期間を設定したほうがいいでしょう。ファイルサーバーの運用ルールはLDAPがあろうと無かろうと作っておいて損はありません。

　細かなアクセス権の設定については次回お話します。



　　

　
　続きを読む

ファイルサーバーがあることが会社の規模を問わずに当たり前になっています。しかし、ファイルの共有は潜在的に大きな情報漏洩や改竄のリスクを持っていることを忘れてはなりません。「パスワードがかかっているから大丈夫だよ」と思って安心しているととんでもないことになります。


続きを読む

Windows環境：

・サーバー定期メンテナンス
・クライアント定期メンテナンス
・常駐メンテナンス (Windows約500台)
・サーバーリモートメンテナンス
・企業向けウイルス対策ソフト
・サイボウズサーバー
・ウェブサーバー
・ドメインコントローラー
・ファイルサーバー、プリントサーバー
・中規模ネットワーク (10セグメント程度)
・小規模無線LANネットワーク


MacOS環境：

・サーバー定期メンテナンス
・クライアント定期メンテナンス
・サーバーリモートメンテナンス
・ウェブサーバー
・LDAP認証サーバー(ネットワークホーム)
・ファイルサーバ
・ログ監査レポート


その他：

・スポットメンテナンス

最終更新：2007/9/25

Windows Server：

・FileMakerデータベースサーバー
・Webサーバー
・DNSサーバー
・ドメインコントローラー
・グループウェアシステム (サイボウズ)
・リモートアクセスゲートウェイサーバー (PPTP-VPN)
・ファイルサーバー
・プリントサーバー
・ウイルスバスターコーポレートエディション管理サーバー
・社内セキュリティ プロキシサーバー


MacOS X Server：

・FileMakerデータベースサーバー
・Webサーバー
・DNSサーバー
・Mailサーバー
・FTPサーバー
・QuickTimeストリーミングサーバー
・LDAP認証システム
・ネットワークホーム環境構築
・ファイルサーバー
・社内セキュリティ プロキシサーバー


Network：

・小規模無線LANネットワーク
・中規模ネットワーク構築
・拠点間ネットワーク接続 (IPSec-VPN)
・リモートアクセスネットワーク (PPTP-VPN)
・インテリジェントスイッチ (レイヤー2、レイヤー3)
・ドメイン登録、SSL証明書取得、DNS設定代行

最終更新：2007/9/25

　どのような環境でMacを使う場合でも必ずパスワードを設定し、定期的にパスワードを変更することはセキュリティーの上で非常に重要なことです。特に、「定期的に変更すること」を忘れるべきではありません。

　もちろん長い文字数で「大文字、小文字、数字」を組み合わせたパスワードを用いることはセキュリティーの観点から非常に有効です。しかし、どんなに複雑なパスワードを二重にも三重にも設定しても、変更することなく使用を続ければ他人に知られてしまう可能性は高くなります。一旦、パスワードが抜き出されたならあとは悪意のあるユーザーのしたい放題を許してしまいます。最悪なことに、パスワードはいつまでたっても変更されないのでいつまでもデータを持ち出せてしまうのです。

　それだけではありません。管理者以外の権限であっても不正アクセスを許すことで最終的にはコンピュータを乗っ取られるという結果を招きかねないのです。なぜならクラッカーは大抵の場合はじめから管理者権限を手に入れて本丸に攻め込むようなことはなく、一般ユーザーとして入り込み、不正なツールや脆弱性を利用して管理者権限を奪取するからです。ですから、どのようなアカウントのパスワードであっても漏洩させてはいけないのです。とはいえ他人に漏れない保障はありません、だからこそ定期的に変更することが重要なのです。

【１】１時間以内なら出張費込み１万円コース
　　複数の作業でも１時間以内に完了できる内容であれば１万円でお受けします。
　
PC挙動不審の原因調査
　想定所要時間：６０分
　ブルースクリーンが多発する等の症状の原因を可能な限り調査します。
　
ウィルス等感染の調査
　想定所要時間：６０分
　ウィルススキャン等の作業を行い、ＰＣに危険なソフトが入っていないか調査します。
　
インターネット・メール関連のトラブル対応
　想定所要時間：３０分
　インターネットが繋がらない、メールが送れない等の問題に対応します。
　
プリンタ関連のトラブル
　想定所要時間：３０分
　プリンタから印刷できない等の問題に対応します。
　
NW障害箇所の診断/切り分け/修復
　想定所要時間：６０分
　ネットワーク障害が発生した場合、原因を調査して復旧作業を行います。

その他、各種相談や問合せ代行
　想定所要時間：６０分
　機器導入やシステム更改等の御相談、機器トラブル等の供給元への問合せ代行を行います。



【２】長時間作業コース
　　基本的に長時間の作業が必要になるものですので、
　　PCの修理に関しては宅配便にて弊社に送付していただく事を推奨いたします。
　　出張作業を御希望の場合は先にお見積を御用意いたします。

OSのクリーンインストール・初期設定・アップデート
　想定所要時間：３００分
　リカバリディスクの用意されていないＰＣに、一からＯＳのインストール作業を行います。

リカバリディスクによるリカバリ・初期設定・アップデート
　想定所要時間：１８０分
　PCメーカー提供のリカバリツールによる初期化・初期設定・アップデート等を行います。

ハードウェア故障箇所の診断/切り分け/修理
　想定所要時間：１２０分
　ハードウェアの障害でPCが動かない・挙動不審な場合、原因を切り分け、可能な限り修理を行います。

ウィルス等被害の対応・駆除
　想定所要時間：１２０分
　ウィルスの駆除を実施します。被害状況によってはOSの再インストールが必要になることもございます。
　
データのバックアップ対応
　想定所要時間：１２０分
　NTBackupを利用したバックアップを実施します。



【３】個別見積対応コース
　　比較的高度な作業を含むため別途見積対応とさせていただきます。

【４】とりあえず診断コース

トラブル対応基本診断費
　お値段：３０００円
　　
出張費
　お値段：５０００円
　出張作業スタッフ１人分の基本料金になります。
　
想定所要時間超過料
　お値段：１０００円
　出張作業での超過料金です。１５分単位で加算になります。
　
宅配便対応返送量
　お値段：実費
　宅配便でお預かりしたPCの返送料金になります。
　クロネコヤマトさんの料金相当です。
　

※メディア・ソフト・パーツ調達費用
　お値段：実費
　パーツ等の調達費用になります。

パソコンが数台あるような環境で、まず最初に取りかかるのはネットワークの構築です。
最近はブロードバンドが普及したこともあり、インターネットに繋がらないと仕事にならないことが多くなりました。調べ物をしたり、メールを受信したりと必要不可欠ですよね。

そこでまず手っ取り早くて安価に、と言うことで有線LANの環境を整えるのが普通かと思います。
でも組織というものは生き物のように変動します。組織変更や人事異動、はたまたレイアウト変更など･･･。時にはネットワークの配線を一部変更しないといけない、なんてことがよく起こります。

続きを読む

　Mac OS X Serverを一言で言うならば「ユーザーとMac本体の管理ツール」です。この機能はLDAPという技術に支えられています。

　先ほどプリンタの追加を引き合いにしましたので、X Serverによるプリンタ管理について説明します。プリンタのドライバを一台ごとにセットしていくという方法をX Serverでは用いません。X ServerそのものがプリンタサーバーでありユーザーのMacに「プリントアウトはX Serverに任せろ」という命令を発します。ユーザーのMacは全てプリントアウトを各自で行うのではなくX Serverを介して行うということです。

　さらに便利なことは、プリンタを特定ユーザーに使わせないようにすることも特定のプリンタのみを許可することもできます。なぜでしょうか？冒頭で述べたようにX Serverは「ユーザーとMac本体の管理ツール」なのですから「どのユーザーが」プリントアウトの要求を出しているのか、ということを常に監視して誰が何を出力したのか記録されるのです。記録のことをログといいます。Pマークの取得をする際にはこのようなログの取得や一定期間の保存が要求されます。もちろん、Pマークの取得をしないとしても情報漏えいへの備えとしてログの取得は是非とも検討すべきでしょう。

　他のMacを手元で操作するソフトがARD（Aplle Remote Desktop）です。ネットワークを介してあたかも自分の手元にあるような感覚で操作ができます。わざわざ操作したいMacのところまで出向く手間がないのですからシステム管理者としてはうれしい限りです。

　ARDの機能はこれだけではありません。マシンのスペックをレポートとして引き出すこともできます。「あのマシンはOSのバージョンは何だったかな？」「メモリはどれくらい積んでいたかな？」というときにユーザーに調べてもらう必要はありません。資産管理のツールとしても使えます。他にもアプリケーションのインストール機能やUNIXのコマンドを遠隔操作することもできます。

　ARDは有料ソフトウェアですが無制限ユーザー管理版が￥57000という価格とシステム管理者がいちいちユーザーのところへ出向く手間と時間を考えるとかなりお得な選択ではないでしょうか？

前のMissionでMacはユーザーが勝手に変更できなくなりました。
ですが、このことは「システム管理者が忙しくなる」ということを意味します。なぜでしょうか？今まで、ユーザーは勝手に「プリンタを追加」したり「ソフトをインストール」したりしていました。しかし、今やそれらの勝手はできなくなりシステム管理者に全て依頼されるのです。新しくプリンタを設置した場合、全てのMacにドライバを追加して回らなければなりません。アプリケーションも同様です。

確かに、数台しかMacがない会社であるなら対応できるかもしれません。でも、10台20台と増えていくとどうなるでしょう？1台あたり作業時間が15分として20台で5時間かかります。勤務時間の半分以上が作業で費やされるだけではなく、単純作業の繰り返しで気持ちも萎えてしまいます。でも、ユーザーの要望に応えなければ「仕事にならない。前に戻してくれ！」とあちこちで突き上げられることは目に見えています。長い時間を費やして1台1台に設定したものを次の日に「やっぱり、変えよう」などと言われたら悲惨です。

問題の本質は1台ごとに個別に作業が必要だということです。ならば、1台ごとではなくまとめて一元的に作業や管理ができれば問題は解決しますよね。

MacではMac OS X Server（以下、X Server）が一元的に管理ができる環境を提供してくれます

Macでもシステム管理の第一歩はユーザーから管理者権限を奪うことから始まります。
管理者権限がユーザーにある限り、ユーザーは自分勝手に設定を変更したりアプリケーションをインストールしたり勝手放題できてしまいます。このような状態ではシステム管理は不可能と言わざるをえません。

では、どうしたらいいのでしょうか？一般ユーザーに管理者権限でログインさせないのです。

Macのユーザーアカウントには「管理者」「通常」「制限付き」と3種類あります。これはWindowsの「Administrator」「PowerUser」「User」に当たります。一般ユーザーのアカウントを「制限付き」にすることでユーザーによる勝手放題はできなくなります。また、Macでは「制限付き」の制限内容をアカウントごとに設定（例えば、任意のアプリケーションを使用させないとかCDやDVDの作成を禁止するなど）できるという利点があります。

これでMacはシステム管理者を介さずに変更することができなくなりました。

ウィニーで児童の個人情報流出、男性教諭が自殺　千葉

2007年06月08日12時22分

　千葉県市原市教委は８日、市立小学校の男性教諭（３４）所有パソコンから同市内の２小学校の児童計２６９人分の個人情報が、ファイル交換ソフト「ウィニー」を通じてインターネットに流出したと発表した。市教委によると、この男性教諭は５日に自殺したという。

　同市教委の説明では、流出したのは男性教諭が０１〜０６年度に勤務していた２小学校の児童の名前と電話番号、成績など。１日に「（ネット上の掲示板に）生徒の名簿や成績がある」との通報が市教委にあった。市教委が男性教諭に確認をしたところ、パソコンに児童の情報を保存し、 ウィニーを使用していたことを認め、「責任を感じている」と話したという。

　千葉市中央区の教諭の自宅を訪ねた両親が６日早朝、首をつっているのを見つけたという。

http://www.asahi.com/national/update/0608/TKY200706080265.html　　（asahi.comより抜粋）

****************************************************

「とうとうこういう事件が起きてしまったのか」
というのがこのニュースを見たときの感想です。

予算や情報の不足により、企業や団体の情報セキュリティのレベルは低いままです。
対策に予算をかけている企業や団体も間違った対策を取っていて、効果は期待薄。
そんな状況のなか次々に起こる流出事故。
そして、流出事件の報道においては、情報セキュリティ対策を十分に採っていない企業や団体の責任は追及せずに、特定の個人を攻撃する。

そんな状況であったので、いつか起きるとは思っていました。

なぜ自殺にまで至ったのか、その経緯は誰にも分からないでしょうが、いくつかの報道を見る限り、この男性教諭の不注意によるものとする記事が大半です。しかし、それは間違っていると思うのです。私から言わせれば小学校、あるいは市原市の責任が追及されるべき事件であると思うのです。

この事件の発生した原因は教諭の「パソコンにウィニーが入っていた」ことではなくて、
「学校が管理すべき、流出してはいけない情報が、個人所有のパソコンに保存されていた」ことが、原因だと思うのです。そしてその責任の半分以上は学校にあると思うのです。
個人所有のパソコンの持込は禁止すべきですし、まして、個人所有のパソコン上で生徒の情報を扱うことなど絶対に禁止です。
禁止するだけでなく、指導と取締りをして遵守させるのは組織の責任ですから、事件における学校の責任はとても大きいです。
仮に支給品のパソコンで業務をしていて、データを持ち帰ったとしたら、やはりそんなことが可能な状態にしている学校の責任です。
たまたま、流出の原因がwinnyだったために論点がずれていますが、盗難だったらどうなのでしょう？
確かにwinnyを入れたパソコンで生徒の情報を扱っていたということに責任がないわけではありません。

個人情報保護法では、情報を保護する義務と責任は、企業や団体にあるのです。
方針を固め、指導し、対策を立てるという義務を怠っている団体が個人の責任を強調し、団体の責任者が追及されないようでは、今後もこのような事件はなくならないでしょう。

組織としての取組み、報道のあり方など少しでもよくなってほしいものです。もちろん私もそのお手伝いができたらとも思うニュースでした

　【標準仕様　価格表】

続きを読む

PマークやISOの取得で必ず必要になるのがログ管理です。

ログを取るという作業は、たとえば、
・システムがいつ起動し、
・誰がどのデータにアクセスし、あるいはデータを更新・削除し、
・バックアップが成功し、
・誰がどの帳票を印刷し・・・、
といったシステム上で起きた出来事を「把握」し「保管」することです。
広い意味ではシステムを管理するということと、ほぼ同義です。

しかし、実作業としてはそんなに楽ではありません。

 

続きを読む

企業の事務所に書棚があるように、コンピュータネットワーク内にも、書類データなどの保存と情報共有のためのスペースが必要です。

それがファイルサーバーです。

企業内におけるファイルサーバーは、その業務体制に合わせてセキュアなものでなければなりません。何も考えずにファイルサーバーを構築すると、機密情報が筒抜けになるような事態に陥ります。

たとえば、現実にある書棚、鍵のない書棚もあれば、鍵のかかる書棚もあります。
その鍵を持っている社員もその書棚に納められている情報にの種類によって、適切な立場の社員が管理しているはずですね。

ファイルサーバ上でも、同様の状態にしてあげる必要があります。

たとえば、特定のフォルダは人事部しか見れないとか、役員しか見れないといったようにアクセス権の設定を行うわけです。

ここで、生きてくるのが、Mission3の「1人＝1アカウント」と、Mission5の「ユーザーグループ」です。

以下に一般的な企業におけるファイルサーバーのフォルダ構成の一例を紹介します。

 

続きを読む

ドメイン（Domain）とは組織体のことです。 例えば会社とか部署とかがそれにあたります。 コンピュータネットワーク上の一つの管理単位がDomainになります

続きを読む

ドメインコントローラー（Domain Controller）とは、Windowsのネットワークのドメインを管理するサーバーのことです。

続きを読む

結構、深刻な問題になってきています、業務中のweb browsing。

後々理想のシステム管理でも詳しく記述しますが、会社内のユーザーに対して、見ることができないサイトを設定することは重要な作業です。

mixiなどのSNSやyahooや楽天などのオークションさいとなんかは露骨に業務怠慢になりますが、それだけでなく、GMailなどのwebメールやネット上のストレージなどを使って機密情報を持ち出したり、という危険性もあります。

また、アダルトサイトを閲覧してウィルスを社内に持ち込んだりということもあります。

会社としては制御をかけたいところです。

windows環境であればISAServerでUserごとにWEBサイトの制限をかけることできます。

例えば、役員はアダルトサイト以外は全て見れて、

社員はアダルトサイトとMIXIなどのSNSやAuctionサイト、webMailなどは禁止、

アルバイトはweb禁止なんてこともできます。

安全性と業務効率アップをお考えなら、webの制限は検討したほうがよいかもしれません。

ご相談はこちらへ

Mission3でユーザー1人に1アカウントを配布して、 アカウントによる個人の特定を確立させましたが、長い運用の中で、必ずと言っていいほど、ルールを破ってしまう人がでてきます。
よくいるのが、直属の部下に自分の代わりをさせてしまう管理職の方ですね。

さて、このような現象を定期的に排除するために、パスワードルールを決めます。

パスワードのルールにで決められることはいくつかありますが、主なものは以下の通りです。

1.パスワードの長さ
　・パスワードは○○文字以上かを設定する

2.パスワードの複雑さ
　・パスワード内に、大文字・小文字・数字・記号のうち3種類以上を使用するかどうかを設定する

3.パスワードの有効期限
　・○○日以上同じパスワードを使用していると変更するように促すように設定する

4.パスワードのロックアウト期間
　・3番の変更依頼メッセージを○○日以上無視すると本当にアカウントを無効にするかどうか設定する

5.パスワードの履歴を記録する
　・以前使用したパスワードをもう一度使用できるようになるまで○○回かを設定する

6.パスワードの変更禁止期間
　・パスワードを変更してから次に変更できるまで○○日間経過しなければできないように設定する

7.パスワード間違いのロックアウト
　・1回のログインで○○回パスワードを間違うと、アカウントを△△分間、無効にするように設定する

たとえば、有効期間を30日、履歴を24ヶ月記録とした場合、一月に1回はパスワードを変更して、 過去二年以内に使用したパスワードは使用できないことになります（厳密には表現に誤差がありますが分かりやすく表現しました）
そのような設定であれば、パスワードが更新により、1人１アカウントの状態が保たれ、またセキュリティ上の安全も図られます。

さて、大体の準備が整ったところで、本格的な管理・制御に入っていきます。

制御にはDomainSecurityPolicy（ドメインセキュリティポリシー）を使って制御していきます。
これは、DomainController上で社内のシステム運用についてルールを作る作業になります。
PC上で一台一台設定できることなら、DomainPolicyの設定しだいでは、何十台、何百台ものPCに同時に設定することも可能です。
正確にはPolicyは各PCのwindowsの起動時に適用されますから、同時ではないのですが、それでも、格段に管理の手間は省けます。

今回は、最近問題になっているUSBメモリーをDomain内のPCで使用できなくすることにします。

USBメモリは、PCのUSBポートに挿したときにマスストレージとして認識し、 マスストレージのドライバを呼び出しに行くわけですが、そのドライバに対するアクセス権を制御することで、 USBメモリを使用できなくします。
マスストレージを使用禁止にしてしまうので、USBメモリだけでなくwindows上でマスストレージと認識するものは、 外付けHDDやSDカードも使用できなくなります。
さらに、メモリーカードリーダーなどのデバイスも同様に禁止します。

この設定をDomainSecurityPolicyで設定していくわけですが、適用範囲も同時に設定することになります。
つまり、Domain内の全てのPCに適用することもできますが、特定のユーザーやユーザーグループにだけ適用・除外することもできます。
実際の場面では、上級管理職やシステム管理者以外はUSBメモリーを使用できなくするということになるでしょう。

個人情報や機密情報の流出において、そのルートとなるのが、インターネット、USBメモリやCD-ROM外付けHDDなどの記憶媒体、そして印刷物です。

ですから情報セキュリティの観点からも、システム管理者としては、社内のプリンターは管理下に置く必要があります。
ネットワークプリンターは自らサーバ機能を持った機器も多いので、通常は各PCにドライバーをインストールして、LAN上でPCとプリンターで直接やり取りさせますが、これでは誰がどんな情報を印刷したのか、管理者にはわかりませんので、プリンターサーバーが必要になります。
また、後述しますが、印刷の必要ないユーザグループなどには印刷できないように制御したい場合も、同様にプリンターサーバーが必要になります。

各ユーザーのPCは、印刷の要求をまずプリンターサーバーに送信して、プリンタサーバが印刷ジョブをプリンターに送信します。
この時に全ユーザの印刷ジョブがプリンターサーバーを経由しますので、プリンターサーバーでログを収集することができます。
また、印刷をさせたくないユーザーはプリンタサーバーに拒否するように設定すれば、そのアカウントでは印刷できなくなります。

プリンターサーバーを経由しないで印刷する行為を防ぐには、Mission1で済ませていますが、ユーザーがPCに対する管理者権限を持たせないことです。管理者権限がなければプリンタードライバーをインストールできないので、印刷できません。

さらに堅牢に防ぐ場合は、プリンターをLANに接続させずに、USBケーブルやパラレルケーブルでプリンタサーバーに接続させます。この状態の接続であれば、必ずプリンターサーバを経由しないでの印刷は物理的に不可能ですので、かならずプリンターサーバを経由します。

個人情報や機密情報を多く扱うのであれば、こちらの方法がよいと思います。

1ユーザー1アカウントの作業まで完了したら、今度は各ユーザーの権限設定に入っていくわけですが、その前に・・・。

現実世界の会社でもそうですが、同じ階級や同じチームの人は、社内での権限が同じだったりしますよね。
例えば、営業部の主任が10人いたとして、10人とも同じ仕事上の権限を持っていたりします。
同様に係長が5人いたとして、主任とは違う権限ではありますが、課長同士5人は同じ権限だったりします。
一方、営業部と人事部では同じ係長でも仕事の権限も、扱う書類も違ってきます。

つまり、会社内での権限は個人に付いているのではなく、部署と階級から構成されるポストに付いているのです。

そして、人事異動により昇格・降格・部署移動などが発生して、各社員さんは権限がかわるのですが、これは権限構成が変わったのではなく、ポストに付属している権限は不動で、そこに所属している人たちが変わったことにより、個人から見れば権限が変わったように見えているのです。

この考え方をDomainController内で実現しているのが、ActiveDirectoryと呼ばれるもので、現実世界同様に、部署という横の関係と階級という縦の関係をグループで表現し、各グループにユーザーを所属させていくことができます。
コンピューターネットワーク内における権限や制限は各グループに付与させることができ、構築後の運用は、人事異動にあわせてユーザーの所属を変更するだけで済みます。
なかなかの優れものです。

というわけで、権限の各種設定の前に、DomainController上に各グループを作成し、ユーザーをグループ分けするという作業を行います。

センスが問われるところですが、一番簡単なのはこんな感じでしょうね


システム管理
役員
経理部管理職
経理部一般
人事部管理職
人事部一般
総務部管理職
総務部一般
第一営業部管理職
第一営業部一般
第二営業部管理職
第二営業部一般
　・
　・
　・

会社ごとに組織形態が違いますが、基本的には上記のようなわけ方をしておけば、ポリシーの設定やファイルサーバーのアクセス権設定で困ることはないでしょう。

Mission1および2で少なくとも管理下にあるPCの制御はできるようになりました。
しかし、ここにPCを持ちこまれては、意味がありませんので、持込PCを防ぐ手段を講じなければなりません。

これにはいくつか方法があります。

まずは物理的・原始的な方法ですが、持込を禁止して社内に持ち込ませない様に警備するという方法です。
これはこれで効果がありますが、見逃しが多いのも事実です。
しかし、社内ルールの明示化とシステム管理者の姿勢を示すことになりますから、ぜひやっておきましょう。

次の手段としては、技術的にPCを持ち込んでも意味がない状態にすることです。
各自のPCからデータを抜けないようにする方法は、後々お話しますが、まずは、持込PCをネットワークに参加できなくします。

一つ目の方法は、一般的にメンテナンスの効率化からLANケーブルを繋げばすぐ使えるように、ルーターなどでDHCP機能を有効にしていることが多いのですが、この機能をオフにします。
そしてPC一台一台にシステム管理者が固定のIPアドレスを割り振ることにします。それからDomainControllerから社内の全てのPCでネットワークの設定を見れないようにして（この方法も後述します）、更に全ての機器をpingに反応しないようにします。
ネットワーク設定の情報が見れないので、設定情報が分からないですし、pingにも反応しないので、簡単には探れませんから、持込PCを手動でネットワーク設定をしようとしても困難です。
全く方法がないかというと、そうでもないのですが、かなり面倒な状態にはなりますから、それなりの効果は見込めます。

次にかなり確実な方法としては、macアドレスフィルタリングできるL2スイッチ（HUB）を導入する方法があります。
この方法を採ると、スイッチにあらかじめ登録されたPC以外は全く通信できませんので、PCを持込んでも何もできないことになります。
残された方法はUSBメモリやSDカード、USBケーブルによるデータ転送などですが、こちらは防ぐ方法があります。（こちらも前述の通りまたの機会に）

しかしいずれにしろ、持込PCの締め出しは根気の要る作業ですし、技術の発展とのいたちごっこです。ワイヤレスLANが登場したときも大変でした。
システムを管理し続ける間は根気よくがんばりましょう。

さて、ユーザーから管理者権限を奪って、PCをDomainに参加させたら、次はユーザーに新しいアカウントを与えなければなりません。
与えるアカウントは、PCのローカルアカウントではなく、DomainUserアカウントを与えます。


原則中の原則として、1アカウントを複数のユーザが使うことはNGです。
この後で説明することになりますが、例えばシステムログにはアカウントとその行動が記録されることになります。
もし、複数のユーザーが一つのアカウントを使用していると、誰の行動ログがわからなくなります。

実際、数年前にyahooさんで個人情報流出事件があったとき、administratorのパスワードを知っている作業者が100人以上いたとのことです。
実際のところはどうだったのか分かりませんが、普通に考えてこれでは誰が個人情報を持ち出したのか、分かりませんね。

また、FileServerなどで、フォルダごとに閲覧してよいかどうかのアクセス権設定を施すのもアカウントによって個人を特定することになります。

そのような理由から、1ユーザに1アカウントを配布する必要があります。


ドメインユーザーは管理者から与えられたアカウントとパスワードでログオンしますが、その直後にパスワードの変更を要求するように、DomainControllerで設定しておきます。

これにより、ユーザーは自分の手でパスワード変更することになり、以後、そのパスワードはシステム上誰も見ることができません。
システム管理者ができるのはパスワードのリセットのみで、ユーザーが設定したパスワードを知ることはできないようになっています。

この時点からそれぞれのアカウントでログオンできるのは本人のみということになります。
それはつまりそのアカウントでのログは本人の行動であると断定できるということです。

この作業により、システム上に各ユーザーの行動を管理および制御できる準備が完了します。

ユーザが自由に設定を変更できなくなったPCを、今度はDomainController（ドメコン）の支配下に入れます。つまりDomainに参加させます。
Domainというのは直訳すると組織です。ここではPCネットワークの組織体のことです。

Domainに参加したPCはDomainControllerの支配下にはいるので、DomainControllerから再起動しろという指令がくれば、再起動するし、壁紙を変えろという指令がくれば変わるようになります。
その他にも様々な制御がDomainControllerに預けられることになります。

この作業が成功して、ようやくシステム管理のスタート地点に立ったことになります。