この特集のトップページへ
>
Chapter 5:Windows 2000の名前解決 〜Active DirectoryとDNS〜
5.1.1 Active Directoryのディレクトリ構造 |
Active Directoryにおけるディレクトリの構成単位はドメインであり,そのなかに各種のオブジェクトを配置する。オブジェクトには,ユーザー,グループ,コンピュータなどのリソースを表す「リーフオブジェクト」と,管理を委任する境界やポリシーを適用する対象となる「コンテナオブジェクト」の2種類が存在する。ここでいうコンテナオブジェクトとは,Active Directoryにおける「組織単位(Organizational Unit:OU)」のことである。Active Directoryのディレクトリ構造は,次のようになっている。
Fig.5-1 Active Directoryのディレクトリ構造 |
●ドメイン
Active Directoryにおいて,ディレクトリの構成単位となるのがドメインである。ディレクトリ内のオブジェクトを複製したり,セキュリティポリシーを設定したりするための論理的な境界となる。
Active Directoryにおけるドメインは,NTドメインとは異なり,組織の部署や構造を反映するために分割すべきではない。なぜなら,組織構造が改変されたときに,ドメインの構成を変更しなければならなくなるからである。Active DirectoryドメインはDNSの構造と深くかかわるため,場合によってはActive Directoryドメインの変更に伴ってDNSの設定も変更しなければならなくなる。この点には,十分に注意していただきたい。
●OU(Organizational Unit)
ドメイン内のリソースを格納するコンテナオブジェクトを,Active Directoryでは「組織単位」または「OU(Organizational Unit)」と呼ぶ。OUは,ドメイン内のリーフオブジェクトを組織化するために使用される。OUを単位として管理権限を委譲したり,グループポリシーを適用したりすることができる。また,OUを階層的に作成することもできる(OUのなかにOUを作成することもできる)。たとえば,組織の部署ごとに管理者を立てて管理したいのであれば,部署ごとにOUを作成し,部署ごとの管理者にそのOUの管理権限を与えればよい。
具体的に,どのような場面でOUを作成すればよいのかを以下に示そう。
- 組織の部門や構造を反映するため
- 一般的に,組織はいくつかの部署から構成されている。1つの組織を1つのドメインとして構成した場合に,組織全体のネットワークやシステムを管理している部署が,組織全体に対するすべての権限を所持していることはまれである。むしろ,組織全体の管理ポリシーがあり,さらに部署ごとの管理ポリシーがあるほうが普通だろう。また,各部署に設置されているプリンタへの印刷権限や,ユーザーアカウントのパスワードの変更など,細々とした設定を組織全体のシステム管理部門がすべて担当することは事実上不可能に近い。このような場合には,部署ごとにOUを作成し,組織全体に適用するポリシーをドメイン全体に適用したあと,OUに対してセキュリティポリシーを適用し,その部門の管理者に権限を委譲すればよい。
- リソースをまとめるため
- ディレクトリには,ユーザーやコンピュータ,共有フォルダ,共有プリンタといった,さまざまなリソースがリーフオブジェクトとして格納されている。これらのリーフオブジェクトをまとめるために,OUを使用することができる。ただし,ディレクトリやほかのOUの構成方針によっては,このような目的でOUを作成すると,かえってリソースを検索しづらくなることもある。しかし,小規模な組織では有効な方法といえる。
●リーフオブジェクト
ユーザーやグループ,コンピュータ,共有フォルダ,共有プリンタなど,ディレクトリ内に作成されたオブジェクトである。
3/12 |