組織単位の設計を作成する
フォレスト所有者は、ドメインの組織単位 (OU) の設計を作成する責任を担っています。 OU の設計を作成するには、OU 構造の設計、OU 所有者ロールの割り当て、アカウントとリソースの OU の作成が必要です。
最初に、管理の委任を可能にするために OU 構造を設計します。 OU の設計が完了したら、ユーザーとコンピューターに グループ ポリシー を適用し、オブジェクトの可視性を制限するために、追加の OU 構造を作成できます。 詳細については、グループ ポリシー インフラストラクチャの設計に関する記事を参照してください。
OU 所有者ロール
フォレスト所有者は、ドメインに対して設計する OU ごとに OU 所有者を指定します。 OU 所有者は、Active Directory Domain Services (AD DS) 内のオブジェクトのサブツリーを制御するデータ マネージャーです。 OU 所有者は、OU 内の管理の委任方法とオブジェクトにポリシーを適用する方法を制御できます。 また、新しいサブツリーを作成し、それらのサブツリー内の OU の管理を委任することもできます。
OU 所有者はディレクトリ サービスの操作を所有または制御しないので、ディレクトリ サービスの所有権と管理をオブジェクトの所有権と管理から分離し、高いレベルのアクセス権を持つサービス管理者の数を減らすことができます。
OU によって、ディレクトリ内の管理の自律性と、オブジェクトの可視性を制御する手段が提供されます。 OU により、他のデータ管理者からの分離が提供されますが、サービス管理者からの分離は提供されません。 OU 所有者はオブジェクトのサブツリーを制御しますが、フォレスト所有者は、すべてのサブツリーを完全に制御できます。 これにより、フォレスト所有者は、アクセス制御リスト (ACL) のエラーなどの間違いを修正し、データ管理者が離職したときに、委任されていたサブツリーを再利用することができます。
アカウント OU とリソース OU
アカウント OU には、ユーザー、グループ、およびコンピューターのオブジェクトが含まれます。 フォレスト所有者は、これらのオブジェクトを管理する OU 構造を作成し、その構造の制御を OU 所有者に委任する必要があります。 新しい AD DS ドメインを展開する場合は、ドメインのアカウント OU を作成して、ドメイン内のアカウントの制御を委任できるようにします。
リソース OU には、リソースと、それらのリソースの管理を担当するアカウントが含まれます。 フォレスト所有者は、これらのリソースを管理する OU 構造を作成し、その構造の制御を OU 所有者に委任することも担当します。 データと機器の管理における自律性のために、組織内の各グループの要件に基づいて、必要に応じてリソースの OU を作成します。
各ドメインの OU 設計の文書化
チームを結成して、フォレスト内のリソースの制御を委任するために使用する OU 構造を設計します。 フォレスト所有者は、この設計プロセスに関与する場合があり、OU 設計を承認する必要があります。 また、設計の妥当性を確保するために、少なくとも 1 人のサービス管理者を関与させる場合もあります。 設計チームのその他の参加者として、OU で作業するデータ管理者や、その管理を担当する OU 所有者が含まれる場合があります。
OU 設計を文書化することが重要です。 作成する予定の OU の名前を一覧にします。 また、OU ごとに、OU の種類、OU 所有者、親 OU (該当する場合)、その OU の発生元を文書化します。
OU 設計に役立つワークシートについては、「Job Aids for Windows Server 2003 Deployment Kit」から Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip をダウンロードし、"Identifying OUs for Each Domain" (DSSLOGI_9.doc) を開いてください。