△　図をクリックすると拡大されます 図16●［Active Directortyユーザーとコンピュータ］でOUを作成する

組織単位（OU）の設定
　続いて，必要に応じて組織単位（OU）の設定を行う。OUについては連載第3回を参照してほしい。

　この作業には「管理ツール」を使用するので，あらかじめ起動しておく。

（1）「管理ツール」から［Active Directoryユーザーとコンピュータ］を起動する。
（2）ドメインを右クリックし，［新規作成］-［組織単位（OU）］を選択する（ 図16）。
（3）［新しいオブジェクト−組織単位（OU）］画面でOUの名前を指定する（ 図17）。

△　図をクリックすると拡大されます 図17●ポップアップした画面で，OU名を指定する

コンピュータ・アカウントの作成
　Active Directoryの全機能を利用するには，クライアント・コンピュータのために「コンピュータ・アカウント」（または「コンピュータ・オブジェクト」）を作成する必要がある。

　ドメイン・コントローラの場合は「Active Directoryのインストール・ウィザード」を実行することでコンピュータ・アカウントが作成され，「Domain Controllers OU」に配置される。

　ドメイン・コントローラ以外のコンピュータの場合は，以下の手順でコンピュータ・アカウントを作成する。ここではクライアントのOSがWindows XP Professionalの場合を例にとるが、Windows 2000やWindows Server 2003でも基本的な手順は同じである。

△　図をクリックすると拡大されます 図18●クライアントPC側でもログオン先のドメインを設定する

（1）［コントロールパネル］−［システム］で［システムのプロパティ］を起動する（Windows XPスタイルの場合は［コントロールパネル］−［パフォーマンスとメンテナンス］−［システム］）。［コンピュータ名］タブで［変更］ボタンをクリックする（図18-1）。
（2）［コンピュータ名の変更］画面が表示される。［次のメンバ］で［ドメイン］を選択し，ドメイン名を指定した後，指示にしたがって再起動する（図18-2 ）。

　以上の操作で，このコンピュータ・アカウントが［Active Directoryユーザーとコンピュータ］の［Computers］コンテナに登録される。なお，Computersコンテナは、オブジェクトの登録先であるがOUではない。

　続けて，必要に応じてコンピュータ・アカウントを適切なOUに移動する。通常は，コンピュータ・アカウントを右クリックし［移動］を選択して，移動先を指定する。なおWindows Server 2003では，ドラッグ＆ドロップでも移動できるようになった。

△　図をクリックすると拡大されます 図19●［Active Directoryユーザーとコンピュータ］の［Users］コンテナで右クリックして［新規作成］−［ユーザー］を選択

ユーザー名の設定
　Active Directoryのインストールとコンピュータ・アカウントの設定が終わったら，次はユーザーとグループを設定する。

　実際にユーザーを登録する前に，ユーザーの名前付け規則（ネーミング・ルール）と属性を決定しておきたい。Active Directoryは階層管理ができるが，ログオン時に指定するのはユーザー名とドメイン名だけである。OUによる階層は指定できない。そのため，ユーザー名はドメイン内で唯一に識別できる必要がある。ユーザー名が衝突しないように，事前に名前付け規則を定義しておくべきである。

　ユーザーの登録や変更には，管理ツール「Active Directoryユーザーとコンピュータ」を使う。このとき，事前に適当なOUを作っておいてもよい。以下の手順で行う。

△　図をクリックすると拡大されます 図20●［新しいオブジェクト−ユーザー］画面でユーザー情報を入力する

（1）「Active Directoryユーザーとコンピュータ」を起動し，適切な場所を右クリックし［新規作成］−［ユーザー］を選択する（ 図19）。新しいユーザーが作成される。
（2）［新しいオブジェクト−ユーザー］画面で，姓，名，フルネーム，ユーザーログオン名を入力する（図20-1）。ログオンに使うのはユーザー・ログオン名であり，他は検索対象となる。イニシャルはミドルネームのイニシャルであり，日本では普通使わない。［次へ］ボタンをクリックする。
（3）パスワードに関する情報を入力する（図20-2）。［次へ］ボタンをクリックする。
（5）［完了］ボタンをクリックすると，ユーザーが登録される（図20-3）。

　また，［ユーザーのプロパティ］で検索対象となる項目を設定しておけば，Active Directoryをさらに効率的に利用できる。設定は以下の手順で行う。

（1）作成したユーザーをダブル・クリックする。
（2）［全般］［住所］［電話］［組織］タブで，可能な限り多くのプロパティに値を指定する（図21）。これらのタブにある項目は，検索時に指定できるだけで特別な意味は持たないので，できるだけ多くの値を指定するとよい。

　Ctrlキーを押しながらクリックすると，複数のユーザーを選択できる。ここでプロパティを表示させれば，複数のユーザーの属性を一括変更することも可能である。これは，Windows Server 2003からの追加機能である。

△　図をクリックすると拡大されます 図21●［Active Directoryユーザーとコンピュータ］画面のユーザーのアイコンをダブル・クリックすると，詳細な情報が設定できる

グループの登録
　ファイルのセキュリティ設定を行う場合など，複数のユーザーを1つにまとめることができれば便利である。Active Directoryでは，ユーザーを「グループ」のメンバーにすることで効率の良い管理が可能である。

　グループには以下の種類があり，それぞれ目的が異なる。単一ドメイン環境であればグローバル・グループだけを使うのが最も簡単だろう。

・ドメイン・ローカル・グループ
　有効範囲はドメイン内の全ドメイン・コントローラ。Windows 2000ネイティブ・モード以上ならドメイン内の全コンピュータ。メンバーとして任意のドメイン階層のユーザーとグローバル・グループ，およびユニバーサル・グループが所属可能。

・グローバル・グループ
　有効範囲はドメイン階層全体，メンバーとして自ドメインのユーザーが所属できる。

・ユニバーサル・グループ
　Windows 2000ネイティブ・モード以上でのみ利用可能。有効範囲はドメイン階層全体，メンバーとして自ドメインのユーザー。任意のドメイン階層のユーザーとグローバル・グループが所属できる。

　いずれの場合も、Windows 2000ネイティブ・モード以上なら、同じ種類のグループをメンバーにできる（入れ子構造）。

　さらに非ドメイン・コントローラーだけで有効なローカル・グループも利用できる。有効範囲は（1）そのコンピュータだけ（2）メンバとして任意のドメイン階層のユーザーとグローバル・グループ（3）ユニバーサル・グループが可能である。

　グループの作成も［Active Directoryユーザーとコンピュータ］を使う。Windows 2000ネイティブ・モード以上であれば，ドメイン・ローカル・グループとユニバーサル・グループ，グローバル・グループとユニバーサル・グループの相互変換が可能である。

＊　　＊　　＊

　以上で，Active Directory構築方法の解説を終わる。最初に解説したように，Active Directoryの構築では，あらかじめDNSとドメイン階層について理解しておくことが大切である。今までの連載も参考にして，理解を深めておいてほしい。