運用改訂 管理者のためのActive Directory入門 第1回というのをたまたま見つけたのだけど、今の仕事をする前に、ウン万人のユーザ環境の担当をしていたので、ちょっとだけ、思ったことを。

第1の目的は、セキュリティ実装のためである。
組織ではビジネスを行うためにさまざまな情報や資源を取り扱っている。このような環境においては、ユーザーの管理を行うことで、それらの資源をいつ、誰が、どのように、何をしたのかという情報を記録することができる。また、どのユーザーに対して、どの資源を、どういう種類のアクセス権をもってアクセスを許可するのかといった、細かいセキュリティを設定するためにも、ユーザーの集中管理は必要である。

このことは割と一般的には言われることだと思うけど、セキュリティ実装という意味でいえば、もっと本質的な点を説明に加えた方がよいかなぁと思っていて

いつアカウントを作って、いつ利用不可（もしくは削除）にするのかというプロセスが明確になっていて初めて、次のステップとして、そのアカウントに対して、どういう資源へのアクセスを与えるのかとかっていう話が適切かと。

ちょっと話はそれるけど、最近は、雇用形態って多様化しているから、正社員、契約社員、派遣社員、アルバイト/パートといった感じであると思うし、組織も結構複雑になっているのはみんなが実感として感じていると思う。

正社員だけの会社であれば、人事の方で、社員の入社/退社情報はコントロールできていると思うので、それほど問題ないかもしれないけど、派遣社員などを使っている場合に、必ずしも人事を通さない場合って最近はあると思うんだよね。

何でかというと、派遣社員の採用って、現場サイドでの要望で、現場の予算で結構採用してしまうパターンもあるのではないかと。

実際、前に私がいた会社ではこのパターン当てはまるし、正社員時代の終焉という本のP65に

非正社員は正社員に比べて各部署の裁量で採用することが多く、そのぶん採用人数の管理や採用基準の管理が甘くなりやすい。

ということが、書かれていたので、前の会社だけの問題だけではないかと。

で、話を戻すと、このように現場で採用している派遣社員のような、人事が直接関与できない方のアカウントの管理が実はすごくやっかいで、特に退職した場合が一番やっかい。

アカウント作るときには、現場から、

「早く作ってくれないと、仕事にならない」

みたいなプレッシャーがあるので、アカウントを作るけど、退職の時って、下手すると、現場の担当者が、その退職情報をきちんと伝えなかったりすると、アカウントは有効なままってことも、有り得るとおもうんだよね。

技術的には、アカウント作成や、有効/無効の作業というのはそれほど難しくないけど、こういう人事上のプロセスを意識した上でのアカウント管理っていうのは、結構難しいから、そういう人事論的な観点でActive Directoryのユーザー管理を述べる必要もあるんじゃないかと。