pileyou
ADサーバーの「ユーザーとコンピューター」
サーバーマネージャー>ツール>ユーザーとコンピューター
「ユーザーとコンピューター」ツールでは、ドメインで利用する下記のようなオブジェクトが階層構造で配置され、集中管理ができます。
- ユーザー
- グループ
- コンピューター
- OU
- プリンター
- 共有フォルダー
- 連絡先
- InetOrgPerson
- MSMQキューエイリアス
環境:Windows Server バージョン1809(OSビルド17763.4252)
コンテナー
まず、ドメインの配下にはデフォルトで下記5種類のコンテナーが配置されています。
これらはコンテナーのため、一般的にはグループポリシーを適用することができません。
※グループポリシーはOUにリンクさせて利用します。
- Builtin
- Computers
- Domain Controllers
- ForeignSecurity Principals
- Users
※「表示>機能拡張」から「LostAndFount」など他のコンテナーを表示できます。
「Domain Controllers」はOUであり、見ての通りフォルダーアイコンがコンテナーと区別されています。
コンピューターアカウント
ドメインに参加したコンピューターは「Computers」に格納され、この時点で「Default Domain Controllers Policy」の制御を受けることとなります。
コンピューターアカウントは、下記のように「拠点>拠点名」OU配下で管理されるケースをよく見かけます。
<例>
OU(Organaization Unit)
OUは日本語で組織単位と呼ばれ、利用環境に応じてユーザー、グループ、コンピューターを論理的に別けるために利用します。
デフォルトで存在するOUは「Domain Controllers」しかないため、どのように管理するかを検討し、必要なOUを作成します。
例えば、拠点毎にオブジェクトを管理したい場合は拠点を階層とした構成にする手段があります。
OU自体の管理権限を委任したい場合、委任したい範囲をまとめた構成とする考慮も必要です。
OUの具体的な利用法
OUにはグループポリシーを適用することで、配下のオブジェクトに、階層毎のポリシーを継承しながら特定の制御を強制することができます。
例えば、拠点全体の端末にスクリーンセーバーを強制しながら、特定の拠点には強制しないという制御ができます。
下記の例では、倉庫に上位階層のルールが継承されながら、優先順位としては倉庫階層のルールが優先され、最終的に端末のスクリーンセーバーが無効として制御されます。
<例>
OUはRFC4511で規定されるLDAPデータベースの用語で、ADではこのLDAPを採用しています。
LDAPはリレーショナルデータベースとは異なり、単純な階層構造を構成することに向いています。
上記のように、OUは組織単位として、別けたいオブジェクトのまとまり毎に階層構造を採ることができます。
初期状態
ドメイン
Builtin
Computers
Domain Controllers
ForeignSecurityPrincipals
Managed Service Accounts
Users
