中小企業のパソコン管理は、いつの間にか「誰かの善意」に頼る形になりがちです。
・詳しそうな人が呼び出される
・ルールはあるようで、実は人によって違う
・トラブルが起きてから、場当たり的に対応する
社員20人程度でも、人が増え、パソコンが増え、業務が増えるにつれて、管理の負担は確実に重くなっていきます。
ここでは、現場でよくある「困りごと」から出発して、
「AD(Active Directory)を導入すると、実際にどんなことが楽になるのか」
を、できるだけ実務目線で整理していきます。
困りごと① 新入社員が来るたびに、設定で半日つぶれる
新入社員が入ると、こんな作業が発生します。
・パソコン初期設定
・社内ネットワーク設定
・共有フォルダの権限設定
・業務ソフトのインストール
担当者は採用のたびに設定作業に追われ、半日程度の時間がかかっている、という光景も珍しくありません。
ADがあるとどう変わるか
ADでは、
・「営業部」
・「経理部」
といったグループをあらかじめ作っておきます。
新入社員が来たら、
・ユーザーを1件登録
・所属グループに入れる
これだけで、
・必要なフォルダが見える
・基本設定が自動で入る
状態を作れます。
さらに、ログオン時にスクリプトを実行することもできますので、
・業務ソフトのセットアップ用実行ファイルを順番に起動する
・設定用のバッチを自動実行する
といったことも可能です。
完全な無人インストールではありませんが、「手で1つずつ入れる」作業を大きく減らせるほか、インストール漏れを防ぐこともできます。
困りごと② 退職・異動時のアカウント管理が不安
退職や異動のたびに、こんな不安はありませんか。
・この人のID、本当に全部止めた?
・どのパソコンにログインできる状態?
実際、
・あるシステムだけ止め忘れていた
・共有パソコンにログインできたままだった
といった例は珍しくありません。
ADがあるとどう変わるか
ADを使うと、
・誰が在籍しているか
・どのグループに属しているか
を一元管理できます。
社内システムがAD連携している場合に限りますが、
・ADアカウントを無効化
することで、複数システムへのアクセスをまとめて止められます。
また、ADの大きなメリットとして、
・どのパソコンでも、自分のADアカウントでログインできる
という点があります。
たとえば、
・会議室に共有パソコンを置く
・各自が自分のアカウントでログインする
といった運用が可能になります。
「共有IDをみんなで使う」運用から、安全に脱却できます。
困りごと③ パスワード管理と全社設定のばらつきが心配
中小企業では、「パスワード忘れました」が定期的に発生します。
・人によってルールが違う
・紙に書いて管理している
・同じパスワードを長期間使い回している
さらに、
・全社で新しい設定を入れたい
・ある部署だけ設定を変えたい
といったとき、1台ずつ設定するのは大きな負担になります。
ADがあるとどう変わるか
ADでは、
・パスワードの長さ
・変更周期
・ロック条件
を全社で統一できます。
また、
・管理者でも現在のパスワードは閲覧できない
・できるのは「リセット」だけ
・初回ログイン時に必ず変更させる
といった運用も可能です。
これにより、
・固定パスワード運用から脱却できる
・管理者自身もパスワードを知らない状態を作れる
という、実務上とても大きな改善が行えます。
さらに、
・全社一括で設定を適用
・特定の部署だけに適用
・特定のパソコンだけに適用
といった制御も可能です。
「設定変更のたびに全台回る」運用から、「AD側で一度設定する」運用に変えられます。
困りごと④ 部署異動のたびに権限整理が大変
部署異動があると、
・見るべきフォルダが変わる
・使うシステムが変わる
そのたびに、
・権限追加
・権限削除
を個別に行うことになります。
削除忘れがあると、「前の部署の情報がずっと見える」状態になります。
ADがあるとどう変わるか
ADでは、
・部署ごとのグループ
で権限を管理します。
異動時は、
・古い部署グループから外す
・新しい部署グループに入れる
これだけで、
・見るべきものだけ見える
・見る必要のないものは見えない
状態に切り替わります。
困りごと⑤ ログオン時に毎回やっている作業が多い
毎朝パソコンを起動したあと、
・共有フォルダに接続する
・プリンタがつながっているか確認する
・容量不足の警告が出ていないか見る
といった作業を、何となく手で行っていないでしょうか。
管理者側でも、
・エラーが出ている端末を探す
・ディスク容量を定期的に確認する
といった後追い作業が発生します。
ADがあるとどう変わるか
ADでは、「ログオン時に自動でスクリプトを実行する」ことができます。
たとえば、ログインした瞬間に、
・イベントログのエラー部分だけを取得する
・ハードディスクの空き容量を取得する
・共有ファイルサーバーのドライブマッピングを行う
といった処理を自動で実行できます。
特に実務で効いてくるのが、ドライブマッピングです。
・\\filesvr\share\資料 ではなく、
・F:\資料
という形で使えるようになります。
これにより、
・メールで共有するときにスパム判定されにくい
・ファイルサーバー更改時もパス名を変えずに済む
・利用者がパスを入力しなくて済む
といった、地味ですが毎日効く改善が得られます。
導入時の注意点と、よくある失敗例
ここまでADの効果を見てきましたが、導入時につまずきやすいポイントもいくつかあります。
注意点① 最初から作り込みすぎない
・階層を細かく作りすぎる
・グループを大量に作りすぎる
・最初からルールを厳しくしすぎる
こうすると、
・誰も構成を理解できない
・変更が怖くて触れなくなる
という状態になります。
最初はシンプルに始め、運用しながら育てていく方が、長く安定します。
注意点② いきなり全部AD連携しない
古い業務システムは、
・AD連携できない
・設定が複雑になる
ことも多くあります。
まずは、
・パソコンログイン
・ファイルサーバー
など、効果が分かりやすいところから段階導入する方が安全です。
注意点③ バックアップと復旧を必ず決める
ADは「社内認証の中心」になります。止まると、
・誰もログインできない
・業務が一斉に止まる
という事態になりかねません。
・定期バックアップ
・復旧手順
・管理者アカウント管理
は、導入時に必ず決めておく必要があります。
失敗例① 管理者が1人しか分からない
設定内容を1人だけが把握していると、
・引き継ぎできない
・誰も触れないAD
になってしまいます。
最低限、
・構成図
・設計方針
・よくやる作業手順
は文書で残しておくことが重要です。
失敗例② 例外運用が増えすぎる
・この人だけ例外
・このパソコンだけ例外
が増えすぎると、
・なぜその設定なのか分からない
・トラブル時に原因が追えない
状態になります。
例外は定期的に整理することが大切です。
失敗例③ 利用者への説明不足
・ログイン方法
・パスワードルール
・共有フォルダの使い方
が変わると、問い合わせが一気に増えます。
導入時には、「何が変わるか」を必ず事前に共有しておくことが大切です。
おわりに
ADは、派手な新機能を増やす仕組みではありません。
・人の出入り
・権限管理
・設定配布
・日々の運用負荷
といった、中小企業が毎日困っていることを、静かに減らす仕組みです。
気づいたら、
・トラブルが減っている
・問い合わせが減っている
・属人化が減っている
それが、AD導入の一番わかりやすい効果かもしれません。
もし今、「管理がだんだん回らなくなってきた」と感じているなら、ADは現実的で効果の高い選択肢だと思います。
ミタスサポート事務所代表。富山県で中小企業向けに経営とIT支援を行っています。
中小企業診断士/ITストラテジスト/情報処理安全確保支援士。
確かな知識と実務経験を元に、役立つ情報を随時発信中。
小さな事業者向けに小回りの利くITサービスやサイバーセキュリティ対策に力を注いでいます。
