この特集のトップページへ

head1.gif 2.3 OUの管理

 Active Directoryのインストールが終了したあと,通常最初に行う仕事は,そのドメインを使用するユーザーやコンピュータなどを登録することであろう。NTドメインでユーザーやコンピュータを管理するときにはドメインユーザーマネージャを利用したが,Active Directoryでは別のツールを用いる。Active Directoryをインストールすると,[スタート]−[プログラム]−[管理ツール]のなかに,Active Directoryを管理するためのツールが3つ登録される。そのうち,ユーザーとコンピュータの管理に利用するのは[Active Directoryユーザーとコンピュータ]である(Fig.3-4)。

Fig.3-4 [Active Directoryユーザーとコンピュータ]
fig2_04.gif

 Windows 2000では,ほとんどの管理ツールがMMC(Microsoft Management Console)のスナップインとして提供されているため,画面や操作方法も統一されている。

 [Active Directoryユーザーとコンピュータ]で注目してほしいのは,左側のエリアのドメイン名(inetpub.itmedia.co.jp)の下に,Windowsエクスプローラでフォルダを表すのと同じアイコンが並んでいる点である。

 これを見てもわかるように,Active Directoryでは,ファイルシステムのフォルダに相当する階層を作成し,そのなかでリソースを管理することができる。たとえば,デフォルトの状態では,ドメインコントローラとなっているコンピュータは「Domain Controllers」のなかに,AdministratorsやBackup Operatorsなどのビルトイングループは「Builtin」のなかに,それぞれ配置されている。

 ファイルシステムでいうフォルダに相当する階層を,Active Directoryドメインでは「OU(Organizational Unit:組織単位)」と呼ぶ。管理者は,必要に応じて自由にOUを作成することができる。フォルダと同じように,OUのなかにさらにOUを配置し,実際の組織の構造などを反映させることも可能である。NTドメインでは,すべてのユーザーが同じレベルに存在していたが,Active DirectoryではOUを用いて階層化することにより,多数のリソースを分類して管理することができる。

 Fig.3-5は,「Accounting」「Editorial」「Management」という3つのOUを作成して,そのなかにユーザーを作成したところである。OUを作成するには,[Active Directoryユーザーとコンピュータ]の左側にある領域で,作成したい階層を右クリックし,[新規作成]−[組織単位(OU)]を選択すればよい。

Fig.3-5 新たなOUを作成したところ
fig2_05.gif

 作成したOUのなかには,ユーザーやコンピュータなどのオブジェクトを自由に作成したり配置したりすることができる。OUのなかに任意のオブジェクトを作成するには,OUを右クリックし,[新規作成]メニューのなかから作成したいオブジェクトの種類を選択すればよい(Fig.3-6)。[ユーザー]を選択すればユーザーオブジェクトを,[コンピュータ]を選択すればコンピュータオブジェクトを,それぞれ作成することができる。作成ずみのオブジェクトを別のOUに移動させたいときには,そのオブジェクトを右クリックし,表示されたメニューから[移動]を選び,移動先となるOUを選択する。

Fig.3-6 ユーザーオブジェクトの作成
fig2_06.gif

 OUによってリソースを階層化することの利点は,単にリソースを分類して検索性を高めるということだけではない。ここでは詳しくは触れないが,OUごとにグループポリシーを適用できる,という点は見逃せない。グループポリシーとは,ユーザーやコンピュータが必要とするタスクに合わせて,操作にさまざまな制限を課したり,アプリケーションを配布したりするための機能である。組織の階層構造をOUに反映させ,ユーザーオブジェクトを適切なOUの配下に配置すれば,「経理部のユーザーには特定のアプリケーションしか実行させない」とか「営業部のユーザーに見積もり作成用のアプリケーションを配布する」といった処理を手軽に制御できるようになる。

 OUを用いて階層化するもう1つの利点は,管理作業を分担できる点である。NTドメインでは,特定のユーザーに対してのみ特定の操作を実行できるような管理者を設定することはできなかった。しかしActive Directoryでは,OUを単位として任意の管理作業を任意の管理者が分担できるようになっている。これにより,たとえば「営業部のユーザーの設定のみを変更可能な管理者を設ける」というように,必要な作業だけを分担することができるようになる。

 OUに対する管理権限を任意のユーザーに割り当てたい場合には,[Active Directoryユーザーとコンピュータ]で当該OUを選択してメニューから[操作]−[制御の委任]を選び,[オブジェクト制御の委任ウィザード]を起動させる(Fig.3-7)。

Fig.3-7 [オブジェクト制御の委任ウィザード]
fig2_07.gif

 [次へ]ボタンを押すと[ユーザーおよびグループ]画面が表示されるので,[追加]ボタンを押して管理を委任したいユーザーやグループを選択する(Fig.3-8)。[次へ]ボタンを押すと,[委任するタスク]画面が表示される(Fig.3-9)。

Fig.3-8 [ユーザーおよびグループ]
fig2_08.gif
Fig.3-9 [委任するタスク]
fig2_09.gif

 一般的な管理作業を委任する場合には[次の共通タスクの制御を委任する](原文は「common tasks」と思われる。「一般タスク」のほうが日本語訳としては適切だろう)から目的のタスクをチェックする。[委任するカスタムタスクを作成する]を選択すれば,さらに細かく設定することも可能である。

 [次へ]ボタンを押すと,設定内容の確認画面が表示される。Fig.3-10は,Fig.3-9の「共通タスク」から[ユーザーアカウントの作成,削除,および管理]を選択した例である。[完了]ボタンを押すと,管理権限の委任が完了する。

Fig.3-10 [オブジェクト制御の委任ウィザードの完了]
fig2_10.gif

 この場合,ユーザー「Akagi Akira」は,OU「Editorial」のなかにユーザーを作成したり削除したりすることができるようになる。しかし「Akagi Akira」は,ほかのOU――たとえば「Accounting」や「Marketing」など――に対しては,このような管理権限は持たず,単なるユーザーでしかない。

prevpg.gif Chapter 2 10/19 nextpg.gif