初歩から理解するActive Directory (第7回) 続き


△ 図をクリックすると拡大されます
図1●OUを新規作成する方法

OUの作成とオブジェクトの移動
 ここからは具体的な操作方法を説明しよう。大まかに次のような段取りですすめる。
第1段階:OUを作成し,そこへユーザーやコンピュータといったオブジェクトを登録する。
第2段階:今回の目的であるOU管理者に,OU制御の委任を行う。
第3段階:ACLを使って制御内容を修正する。

 操作方法の第1段階は,OUの作成だ。OUは,管理ツール[Active Directoryユーザーとコンピュータ]を使って,ドメインやOUの階層の下に作成できる。第5回でも解説したように,作成方法は簡単で,OUを作成したい場所で右クリックし,現れたメニューから[新規作成]−[組織単位]を選ぶだけである(図1 )。あとは名前を入力するだけで作成できる。


△ 図をクリックすると拡大されます
図2●OUのプロパティ画面

 OUのプロパティ画面を開くと,設定項目が見られる(図2 )。[全般]タブでは,国/地域,郵便番号,都道府県,市区町村,番地,説明といった住所に関する項目を入力する。[管理者]タブでは,このOUの管理者情報を設定する。ただし,ここで入力された管理者情報は,コメント程度の意味しかなく,実際に管理権限を与えるものではない。[グループポリシー]タブでは,グループ・ポリシーを設定できる(詳細は第8回)。

 作成されたOUには,ユーザーやコンピュータのアカウントを登録できる。また,既存のオブジェクトを右クリックして現れたメニューから[移動]を選べば,移動もできる。さらに,Windows Server 2003からはドラッグ&ドロップもできるようになった。ただし,手が滑って移動中のオブジェクトが予期しない場所に落ちてしまうという事故には十分注意してほしい。

OUごとの管理者に制御を委任する
 具体的な操作方法の第2段階は,「制御の委任」だ。制御の委任とは,OUの管理責任を全社的な管理者から下位組織のユーザーやグループへ分散させることである。

 あるユーザーに,ドメイン全体のシステム管理作業を行わせるには,Domain Adminsグループに所属させればよい。しかし,不必要に,全コンピュータや全ユーザーに対してあらゆる管理作業が可能になってしまうと,セキュリティの低下になる。そこで,そのOU限定の管理権限を委任するわけだ。Active DirectoryではOU以外にも,ドメインやサイトの単位でも権限を委任できるため,管理者の責任範囲を明確にし,必要最低限の権限だけを与えられる。


△ 図をクリックすると拡大されます
図3●制御を委任すると特定の管理者に特定のOUの管理を委任できる

 例えば,営業部が管理する「Sales」OUと,企画部が管理する「Marketing」OUがあるとする。これらのOUにあるオブジェクトを個々の組織で管理してもらうには,各部署の管理者アカウントに,担当OUの管理権限を割り当てればよい(図3 )。各部署の管理者は自身が管理すべきコンテナに対してはユーザーを作成したりプロパティを変更したりできるが,他のOUに対してはそのような操作を実行できない。つまり,OUの境界を越える管理は実行できないため,OUにおけるセキュリティも向上する。