ファイルサーバーとユーザー認証。ドメインコントローラとファイルサーバーを同居させない方が良い理由

ドメインコントローラをファイルサーバーと同一筐体に共存させているケースを時々見かける。
例えば、プライマリのドメインコントローラは単独ですが、セカンダリーのドメインコントローラをファイルサーバーにインストールしたりとか・・・。
ちょっと節約しようとすると、ありうる環境です
しかし、ここではファイルサーバーをドメインコントローラとさせないほうが良い理由を説明します

ファイルサーバーにドメインコントローラの役割を一緒にインストールしない方が良い理由

よくアクティブディレクトリ(以下AD)を導入するとセキュリティが向上するといいます。
例えば、ワークグループ環境の場合、以下のように別のユーザーでもユーザー認証無しにアクセスできるのもセキュリティ的にはどうかと思います
実際は別のユーザーなのにたまたまパスワードが一致しているが故にアクセスできてしまうという現象です

ワークグループ環境でファイルサーバーにユーザー認証無しでアクセスする方法

ワークグループ環境でユーザー認証無しにファイルサーバーにアクセスするには、パソコンのユーザーとファイルサーバーのユーザーを同一名ユーザーをそれぞれ作成し、同一パスワードをそれぞれ設定すると実現でき出来ます
しかし、実際は別のユーザーですので、このユーザー認証無しの状態を作るためにはユーザーの重複管理をする必要があります。
つまり、重複管理が大変でパスワードを変更しなくなるというセキュリティ的に問題がある状態になります

wg-fs-pc

Active Directory(AD)を導入するとパスワードが変更し易くなりセキュリティ的に向上する

一方、ADを導入すると重複ユーザー管理がなくなり、パスワードが変更しやすくなります
これはセキュリティ的に向上した状況だと思います
また、仮に同一ユーザー名の同一パスワードのユーザーがワークグループ環境にいたとしても、ファイルサーバーにユーザー認証無しにはアクセスできません。
これもセキュリティ的に高い状態だといえます

ad-fs-pc

しかし

ドメインコントローラとファイルサーバーを共存させるた場合

ワークグループ環境の時と同様な状況が起きます
別のワークグループで同一ユーザー名・同一パスワードのユーザーがいるとファイルサーバーにユーザー認証無しにアクセスできます
これはせっかくADを導入したのにドメインコントローラとファイルサーバーを別にした時よりもセキュリティ的には弱いといえます

ad fs-pc

また、

ファイルサーバーとドメインコントローラを共存させるとリプレースの時も大変になります

通常、ハードウェア保守のタイミングが、Windows OSバージョンが古くなったタイミングで、リプレース作業が入ります
このときに、ドメインコントローラ兼ファイルサーバーの状況だとリプレースをするにも両方の機能の事を考えなければならないので、個別でリプレースするよりも大変になります
(サーバー一台と思った場合と比較してですけどね)

環境:

  • Windows Server 2012

まとめ

ファイルサーバーとドメインコントローラを共存させると、セキュリティ的に多少弱くなります
また、リプレース時に検討したり注意する項目が多くなりますので、可能ならばドメインコントローラとファイルサーバーは共助させない方が良いです

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です