この特集のトップページへ

Deployment of Active Directory 3... オブジェクトの作成と管理
sankaku.gif OUオブジェクトの作成

 Active Directoryドメインでは,ユーザーや組織をOU(Organizational Unit:日本語表示では「組織単位」)という単位で階層管理できる。OUは,単にオブジェクトを分類するだけではなく,アカウントやリソースを管理する単位となる。OUの管理権限をユーザーやグループに委譲したり,OUに対してグループポリシーを割り当てたりすることもできる。

●OUの役割
 OUは,比較的変動の激しい下位レベルのディレクトリを対応させるためのコンテナオブジェクトである。たとえば,組織の部署名などをOUと対応させることが多い。しかし,シングルドメインで構成する小規模企業などの場合は,部署名などで分類するより,オブジェクトの種別で分類したほうがわかりやすいことも多いと思われる。OUの構成方法は,ディレクトリの設計に依存するので,詳しくは「真・ディレクトリサービス入門」や「NTドメインからActive Directoryドメインへの移行」などの記事を参照してほしい。

 組織構造などを反映させるという点では,Windows NT 4.0におけるグローバルグループと同じだが,Windows NT 4.0におけるグローバルグループは,単にユーザーを組織化しただけにすぎない。また,Windows NT 4.0における管理単位はドメインであり,グローバルグループに管理権限の一部を委譲することはできない。

 これに対してOUでは,ユーザーのグループ分けといった形式的な枠にとどまらず,組織の管理状況を実質的に表現することができる。たとえば,[営業部]というOUを作成し,営業部にかかわる情報をそこに格納するとしよう。[営業部]に格納できる情報には,ユーザーアカウント,グループアカウント,コンピュータアカウント,共有フォルダ,プリンタなど多岐にわたる。さらに,[営業部]というOUだけで有効な管理者を設定することもできる(管理権限を委譲できる)ため,必要に応じてドメイン内部で適切に管理単位を分割することができる。

 注意してほしいのは,OUをアクセス権限の設定に利用することはできないということである。たとえば,「営業部」というOUを作成したとする。しかし,作成した「営業部」というOUを利用して,ファイルシステムや共有フォルダのアクセス権限を設定することはできない。Active Directoryドメインにおいてアクセス権限の設定に使用できるのは,セキュリティプリンシパル(ユーザー,セキュリティグループ,コンピュータ)だけである。したがって,営業部のユーザーに任意のアクセス権限を割り当てたい場合には,別途セキュリティグループを作成し,そのセキュリティグループに営業部のユーザーを所属させる必要がある。この点から考えても,あまり忠実に組織構造をOUに反映させる意味はない。組織構造を忠実に反映させればするほど,セキュリティグループの管理と二重の負担を強いられる可能性が高く,管理者の運用コストは上昇する。

●オブジェクトのOUへの配置
 OUの内部には,コンピュータ,連絡先,グループ,別のOU,プリンタ,ユーザー,共有フォルダといったオブジェクトを格納できる。OUの内部に別のOUを格納し,階層構造を作ることもできる。

 OUを作成したいときには,OUを作成したいコンテナを右クリックすると表示されるメニューから[新規作成]−[組織単位(OU)]を選択する。[新しいオブジェクト−組織単位(OU)]ダイアログボックスが表示されるので,OUの名前を入力して[OK]ボタンを押す(Fig.38)。

Fig.38 OUの作成
fig38.gif

 Active Directoryドメイン内のオブジェクトは,OUなどのコンテナ間を自由に移動させることができる。オブジェクトを移動するときは,移動したいオブジェクトを選択し,右クリックすると表示されるメニューから[移動]を選ぶ。すると,オブジェクトの移動先を指定するためにコンテナの階層構造が表示されるので,階層構造をたどって移動先のコンテナを選択する(Fig.39)。

Fig.39 オブジェクトの移動(クリックで拡大可能)
fig39.gif

●管理の委任
 Active Directoryドメインの管理者は,OU内のオブジェクトの管理を任意のユーザーもしくはセキュリティグループに委任できる。オブジェクトの管理を委任するには,OUを選択して右クリックすると表示されるメニューから[制御の委任]を選び,表示された[オブジェクト制御の委任ウィザード]を利用する。[オブジェクト制御の委任ウィザード]では,委任するユーザーやセキュリティグループ,委任するタスク(作業内容)を選ぶ(Fig.40)。

Fig.40 オブジェクト制御の委任(クリックで拡大可能)
fig40.gif

 管理を委任するときには,グループもしくはユーザーを単位として設定する。[追加]ボタンを押すと,ユーザーやグループを選択する画面が表示される。この画面で,管理を委任するオブジェクトを選び,[OK]ボタンを押すと,選択したオブジェクトに管理が委任される(Fig.41)。

Fig.41 管理を委任するグループまたはユーザーの設定
fig41.gif

 最後に,選択したオブジェクトに与える委任タスクを選ぶ(Fig.42)。たとえば,パスワードのリセットのみを許可したいのであれば[ユーザーアカウントのリセット]のみを割り当てるという具合に,管理者の権限に合わせて委任する内容を選択すればよい。

Fig.42 委任するタスクの設定
fig42.gif

 しかし,上記の委任タスクには,プリンタの管理や共有フォルダの管理といった内容は含まれていない。もし,こうした細かなタスク単位で委任したいならば,[委任するカスタムタスクを作成する]を選択して[次へ]ボタンを押す。[フォルダ内の次のオブジェクトのみ]を選んで[プリンタオブジェクト]を選択し,[次へ]ボタンを押すことで,必要な権限を割り当てることができる。ユーザーごとに細かく権利を委任したければ,このようにしてカスタムタスクを作成すればよい。

Fig.43 委任するカスタムタスクの作成
fig43.gif
prevpg.gif Deployment AD-3 5/13 nextpg.gif