クライアントユーザーの一元管理をおこないたい

enakoさん、こんにちは。 採用するシステムに関しては、全社的な「ネットワーク規模」「稼動サービス」「教育と運用」などの総合的な判断と計画に基づいて決めるべきもので、「Windows NTドメイン管理」と「Active Directory」を単純に比較するのは難しいですね。 ベースとなる技術や仕様など、詳しいことは「参考URL」や他の情報を見ていただきたいのですが、誤解を恐れずに言えば、両者の違いは「中央集権（集中管理）と地方分権（権限委譲）の違い」という表現も出来ると思います。（もちろん厳密に言うとイロイロな突っ込みがありそうですが…。） アクセス管理用のシステムという視点から見れば、「どこ（グループ・ドメイン）」に所属する「誰（グループ・ユーザー）」に対し「何（サービスやリソース」へのアクセス権限を与えるかというポイントを考えることになりますね。 たとえば、「派遣社員を多く抱える、ある人材派遣会社」を例に説明してみましょう。 この会社には「人事部」「営業部」「管理部（システム管理者などの所属先）」などがあり、「社内掲示板を始めとして、さまざまな業務用サービス（グループウェアなど）」が稼動しているとしてみましょう。 また、アルバイトや派遣社員などもネットワーク・リソースを利用することがあると仮定します。 SOHOなど規模が小さければ管理者がすべてのユーザーを一元管理するNTドメイン形式（グループ化や階層化は可能ですね。）の方を選択する条件（メリット）が多いといえるでしょう。（コストや運用面を考えても。） しかし、会社の規模が大きくなってくると、管理者がすべての管理（設定やメンテナンス）を行うのは厳しくなってきます。 もちろん、NTドメインベースでも「人事部」や「配属先」からの依頼を管理者が受けて、アカウントの作成や適切なアクセス権限の付加を行うことは可能です。 しかし、アルバイトや派遣社員などの出入りが激しい場合、システム管理者が直接すべてのアカウント管理を行うのは大変です。 出来れば、「人事部の採用担当」と「配属先」などで処理をしてもらいたいでしょう。（もちろん管理者への連絡やいつでも情報を把握できる形が必要ですが。） Active Directoryを使うと、あるサービス（オブジェクト）に関してのみ「人事部」と「営業部」の間でデータ共有や設定変更（信頼関係の構築）を可能にしたり、同様に下位の階層での「部分的管理者の選任」や「権限の設定」など、分散管理（権限委譲）がしやすくなります。 上記のような違いはありますが、どちらの方法でもネットワークセキュリティーに関する有効な計画と継続的な管理・教育などの基本的な条件がクリアされていない限り、「絵に書いた餅」となってしまいます。 セキュリティー対策を考えるうえでは、「～の仕組みを入れて安全性を上げる。」という1回の作業や予算づけ（保険加入的な考え方）では効果がありません。 「システムで守ろうとする考え方」で管理者や運用計画のない場当たり的な導入をしてしまうと、効果が薄いばかりか、人事異動などで混乱が起きがちです。 また、どんなに強固なシステムでも社員の基礎的なセキュリティー意識と教育が出来ていなければ、効果半減です。 経営者の側には、「セキュリティー対策は無駄な経費だ。」とか「保険のようなものだから予算をつけてシステムを入れれば終わり。」といった考えがまだまだ多いので、「セキュリティー対策と継続的なメンテナンス（管理組織の構築と社員教育を含めて。）」は顧客と自社のビジネス・メリットになるという全社的認識（説得）が重要です。 運用する側（現場の社員）の立場から見れば、セキュリティー対策は「畑違いの人間が業務のかたわらにシステム導入。」という形は避けたいものです。（日々あらわれる新しい脆弱性に対応するための「バージョンアップ」や「パッチ適用」に加え、日常の監視やトラブル対応などが必須となるからです。） 実際に「少しパソコンに詳しい社員が無理やり兼務させられ、トラブルの連続にボロボロになる。」といったケースも出ているようですしね。 「この不景気にそんな予算をつけらるか！」というところが多いとは思いますが、もはや十分な体制をとらないと有効に機能しない状態だといえるでしょう。 大変長くなりました。 少しでも参考になれば幸いです。 それでは。