■Active Directoryのスケーラビリティを生かすには,組織単位(OU)を利用するのが効果的だ。今回は,OUを使ったActive Directoryの運用において,OUの中の管理を現場の管理者に委任する方法を紹介する。
■委任するには,[制御の委任ウィザード]を用いるか,ACLを直接設定するか,いずれかの方法がある。

(横山哲也=グローバル ナレッジ ネットワーク)


 Active Directoryは,1000万人を超えるユーザーを管理できるほどの高い拡張性を持っている。しかし,多数のオブジェクト(ユーザーやコンピュータ)を管理するには,ある程度の工夫が必要になる。

 Active Directoryを管理する方法として,ドメインとフォレスト,サイトとグローバル・カタログといった論理的・物理的な単位によって行う方法を紹介した。最近は,Active Directoryもシングル・フォレスト/シングル・ドメインで管理する傾向がある。この場合はドメインの内部を組織単位(OU:Organizational Unit)に分けると,効果的に管理できる。

 既にOUに関しては,第3回で概念,第5回で作成を説明したが,今回はさらにOU内の制御をシステム管理者に委託する方法を中心に解説する。

ドメイン内部に階層構造を与えるOU
 OUはドメイン内に階層構造を与える論理的な概念である。OUが存在する目的は,主に(1)ドメインの状況を把握しやすくする,(2)管理権限を委任する,(3)グループ・ポリシーを適用する——の3点である。

 (1)の目的は,次のようなことから明らかだ。多数のオブジェクトが同じ場所に存在するのは見通しが悪い。例えば,1つのフォルダに何万ものファイルが入っているところを想像してほしい。あまりに多くのファイルがあると,一覧を見るだけでも一苦労である。そんなときは,種類や目的ごとに分類して,サブフォルダに収めるのが常とう手段だろう。OUに関しても同じで,多数のオブジェクトを分類するため,ドメインの中を小さな単位に分割して,階層化して管理しやすくしているのである。

 階層に分類したら,今度は階層ごとに管理権限を委任できると便利である。それが(2)の目的だ。Active Directoryでは,OUごとに管理者を任命し,OUに登録されている情報の管理を委任できる。

 さらに(3)の目的は,OU管理者の管理負担を減らすために,グループ・ポリシーを使うことである。OU配下のオブジェクトを一定のルールで運用できると管理負担が減る。第3回でも説明したように,OUは管理者のための機能である。エンドユーザーから隠されているわけではないが,主な利用者としては想定されていない。

OUはあくまで管理されるもの 管理する側ではない
 OUを初めて学ぶ人は,OUとセキュリティ・グループをしばしば混同しがちである。しかし,両者は全く異なるものだ。セキュリティ・グループは,ユーザー権利を割り当てたり,アクセス許可を割り当てるといった,グループはセキュリティ設定のためにある。1つのオブジェクト(ユーザーやコンピュータ)は,複数のグループに同時に所属できる。つまり,グループはオブジェクトの属性と考えられる。

 一方,OUはアクセス許可を割り当てる対象にはなるが,セキュリティのためにあるわけではない。たとえ話として,セキュリティ・グループを「ユーザー」,OUを「ファイル」と置き換えて考えれば分かりやすいだろう。ファイルは管理される対象であり,管理する主体ではないように,OUも管理される対象であり,管理する主体になるわけではない。また,OUはオブジェクトの階層を一意に示せる。すなわち,1つのオブジェクトが複数のOUに所属することはない。これはオブジェクトが複数のグループに所属できるのとは大きな違いである。