アカウント OU とリソース OU の管理を委任する
アカウント組織単位 (OU) には、ユーザー、グループ、およびコンピューターオブジェクトが含まれています。 リソース OU には、リソースと、それらのリソースの管理を担当するアカウントが含まれます。 フォレスト所有者は、これらのオブジェクトとリソースを管理し、その構造の制御を OU 所有者に委任する OU 構造を作成します。
アカウント OU の管理を委任する
ユーザー、グループ、およびコンピューターオブジェクトを作成および変更する必要がある場合は、アカウント OU 構造をデータ管理者に委任します。 アカウント OU 構造は、個別に制御する必要がある勘定科目の種類ごとに OU のサブツリーです。 たとえば、OU 所有者は、ユーザー、コンピューター、グループ、およびサービスアカウントのアカウント OU にある子 OU を介して、特定のコントロールをさまざまなデータ管理者に委任できます。
次の図は、アカウント OU 構造の一例を示しています。
次の表に、アカウント OU 構造で作成できる子 OUの一覧とその説明を示します。
OU | 目的 |
---|---|
ユーザー | 非ユーザーアカウントのユーザーアカウントが含まれています。 |
サービス アカウント | ネットワークリソースへのアクセスを必要とする一部のサービスは、ユーザーアカウントとして実行されます。 この OU は、ユーザー OU に含まれるユーザーアカウントからサービスユーザーアカウントを分離するために作成されます。 また、さまざまな種類のユーザーアカウントを別々の OU に配置することで、特定の管理要件に従ってそれらを管理できます。 |
[Computers (コンピューター)] | ドメインコントローラ以外のコンピュータのアカウントが含まれています。 |
グループ | 個別に管理される管理グループを除く、すべての種類のグループが含まれます。 |
管理者 | 通常のユーザーとは別に管理できるように、account OU 構造内のデータ管理者のユーザーアカウントとグループアカウントが含まれています。 管理ユーザーとグループの変更を追跡できるように、この OU の監査を有効にします。 |
次の図は、アカウント OU 構造の管理グループ設計の一例を示しています。
子 OU を管理するグループには、管理を担当するオブジェクトの特定のクラスに対してのみ、フルコントロールが付与されます。
OU 構造内の制御を委任するために使用するグループの種類は、管理対象の OU 構造を基準として、アカウントがどこに配置されているかに基づいています。 管理者ユーザーアカウントと OU 構造がすべて1つのドメイン内に存在する場合は、委任に使用するために作成するグループがグローバルグループである必要があります。 組織に独自のユーザーアカウントを管理し、複数の地理的リージョンに存在する部署がある場合、複数のドメインでのアカウント OU の管理を担当するデータ管理者のグループがある可能性があります。 データ管理者のアカウントがすべて1つのドメインに存在し、制御を委任する必要がある複数のドメインに OU 構造がある場合は、それらの管理アカウントをグローバルグループのメンバにして、各ドメインの OU 構造の制御をグローバルグループに委任します。 OU 構造の制御を委任するデータ管理者アカウントが複数のドメインから取得されている場合は、ユニバーサルグループを使用する必要があります。 ユニバーサルグループには、異なるドメインのユーザーを含めることができるため、複数のドメインで制御を委任するために使用できます。
リソース OU の管理の委任
リソース OU は、リソースへのアクセスを管理するために使用されます。 リソース OU の所有者は、ファイル共有、データベース、プリンターなどのリソースを含むドメインに参加しているサーバーのコンピューターアカウントを作成します。 リソース OU の所有者も、これらのリソースへのアクセスを制御するためのグループを作成します。
次の図は、リソース OU の2つの場所を示しています。
リソース OU は、ドメインルートの下、または OU 管理階層内の対応するアカウント OU の子 OU として配置できます。 リソース OU には、標準の子 OUはありません。 コンピューターとグループは、リソース OU に直接配置されます。
リソース OU 所有者は OU 内のオブジェクトを所有していますが、OU コンテナー自体を所有していません。 リソース OU 所有者は、コンピューターオブジェクトとグループオブジェクトのみを管理します。OU 内に他のクラスのオブジェクトを作成することはできません。また、子 OU を作成することもできません。
注意
オブジェクトの作成者または所有者は、親コンテナーから継承されたアクセス許可に関係なく、オブジェクトのアクセス制御リスト (ACL) を設定できます。 リソース OU の所有者が OU の ACL をリセットできる場合、その所有者はユーザーを含む OU に任意のクラスのオブジェクトを作成できます。 このため、リソース OU 所有者は OU の作成を許可されていません。
ドメイン内の各リソース OU に対して、OU のコンテンツの管理を担当するデータ管理者を表すグローバルグループを作成します。 このグループには OU 内のグループオブジェクトとコンピューターオブジェクトを完全に制御できますが、OU コンテナー自体は完全に制御できません。
次の図は、リソース OU の管理グループの設計を示しています。
コンピューターアカウントをリソース OU に配置すると、OU 所有者はアカウントオブジェクトを制御できるようになりますが、OU 所有者はコンピューターの管理者になりません。 Active Directory ドメインでは、Domain Admins グループは、既定ではすべてのコンピューターのローカルの 管理者グループに配置されます。 つまり、サービス管理者はこれらのコンピューターを制御できます。 リソース OU の所有者が OU 内のコンピューターを管理者に制御する必要がある場合、フォレストの所有者はグループポリシー制限されたグループを適用して、リソース OU 所有者をその OU 内のコンピューターの Administrators グループのメンバーにすることができます。