この特集のトップページへ

head1.gif 3.5 管理の委任

 管理すべきドメインが複数あったり,ドメインが大規模化したりすると,1人のシステム管理者ではすべてを管理しきれなくなることもある。このような場合,管理権限の一部または全部を,特定の部署の担当者などに委任したいこともあるだろう。Windows NT 4.0では,管理権限の境界がドメインであったため,このような管理を実現するには部署レベルでドメインを分離するしかなかった。

 しかしWindows 2000では,ドメイン内で組織単位を作成し,その組織単位に対する管理作業を任意のユーザーやグループに委任することができる。たとえば,人事部の下部組織である給与計算グループや採用グループ,教育育成グループなどに所属するすべてのユーザーアカウントとコンピュータアカウントの管理権限を,コンピュータについて詳しい管理担当者に委ねることができる。あるいは,部署内に存在する特定のリソース(たとえばコンピュータアカウントなど)に対する管理権限のみを,特定のユーザーに割り当てることもできる。さらに,人事部という組織単位に対する管理権限は与える半面,その下部組織に対する管理権限は与えないことも可能である。

 以上のように,Windows 2000では,組織単位,グループ,アクセス許可,ユーザー権限を組み合わせて,組織ごとに最適な境界で管理権限を委任したり制限したりすることができる。ドメイン全体の管理者グループ(Domain Adminsグループ)には選択された一部の管理者のみを参加させればよく,管理権限の委任対象者をわざわざDomain Adminsグループに参加させる必要はない。しかし,いくらWindows 2000で管理権限を委任できるようになったといっても,あまり多くの管理者や管理者グループを作成すべきではない。複数の管理者に管理を委任すると,各管理者や管理者グループに矛盾するポリシーが設定される可能性も高くなる。そのため,実際にどのポリシーが適用されるのか,予測しづらくなることがある。

 ところで,グループポリシーにかかわる管理を委任する方法には,いくつかの種類がある。

オブジェクトへのアクセス権限を付与したり変更したりするためのアクセス権限を組織単位レベルで設定する方法
 アクセス権限を割り当てる場合には,組織単位に対するアクセス権限を割り当てる場合と,個々のオブジェクトに対するアクセス権限を割り当てる場合の2種類がある。一般的には,組織単位に対するアクセス権限を割り当てるほうが,アクセス権限の管理は容易になる。組織単位に対するアクセス権限を付与すると,その組織単位に含まれるすべてのオブジェクトにアクセスできるようになる。
 組織単位に対するアクセス権限を割り当てるには,[Active Directoryユーザーとコンピュータ]管理ツールで管理権限を委任したい組織単位を右クリックし,[制御の委任]を選択する。[オブジェクト制御の委任ウィザード]が起動するので,管理を委任するユーザーまたはグループ,管理対象のオブジェクト,割り当てるアクセス権限を設定する。これによって,ユーザーやグループの作成と削除,グループポリシーの割り当てなどを,任意の管理者グループに委任できるようになる。
 グループポリシーの割り当てを管理させる場合には,[ユーザーまたはグループ]画面で管理権限を委任する対象者を選択し,そのあと[委任するタスク]画面で[グループポリシーのリンクの管理]を有効にする。
 この方法を用いる場合,既存のグループポリシーオブジェクトの割り当てだけを管理することができる。つまり,グループポリシーオブジェクトを作成したり変更したりする権限を委任することはできない。
 
グループポリシーを変更可能なユーザーまたはグループをグループポリシーオブジェクトに指定することで,読み取りと書き込みのアクセス権限を付与する方法
 グループポリシーの管理とは,(1) グループポリシーオブジェクトの作成,(2) グループポリシーオブジェクトの変更,(3) グループポリシーオブジェクトの削除,(4) グループポリシーオブジェクトの割り当て,という4つの要素で構成される。組織単位レベルで権限を委任する方法を用いると,グループポリシーオブジェクトの割り当て権限を委任することしかできないが,この方法を用いると,上記のすべての要素を委任することができる。
 グループポリシーの制御を委任するには,最初に[グループポリシー]管理ツールでグループポリシーを作成し,保存する必要がある(「3.3.1 [グループポリシー]管理ツールによるグループポリシーオブジェクトの作成」を参照)。次に,グループポリシーオブジェクトと,ドメイン,組織単位,サイトに対してアクセスを許可するユーザーまたはグループを特定する。

 前者の方法については,本節ではこれ以上詳細に説明することはしない。本節では,後者の方法について詳しく説明する。

prevpg.gif Chapter 3(後編) 6/17 nextpg.gif