既定のコンテナーと OU の管理を委任する
すべての Active Directory ドメインには、Active Directory Domain Services (AD DS) のインストール時に作成されるコンテナーと組織単位 (OU) の標準セットが含まれています。 次に例を示します。
ドメイン コンテナー。階層のルート コンテナーとして機能します
ビルトイン コンテナー。既定のサービス管理者アカウントを保持します
ユーザー コンテナー。ドメインで作成された新しいユーザー アカウントとグループの既定の場所です
コンピューター コンテナー。ドメインで作成された新しいコンピューター アカウントの既定の場所です
ドメイン コントローラーの OU。ドメイン コントローラーのコンピューター アカウントの既定の場所です
これらの既定のコンテナーと OU はフォレスト所有者が制御します。
ドメイン コンテナー
ドメイン コンテナーは、ドメインの階層のルート コンテナーです。 このコンテナー上のポリシーまたはアクセス制御リスト (ACL) を変更すると、ドメイン全体に影響する可能性があります。 このコンテナーの制御は委任しないでください。これはサービス管理者が制御する必要があります。
ユーザーとコンピューターのコンテナー
Windows Server 2003 から Windows Server 2008 へのドメインのインプレース アップグレードを実行すると、既存のユーザーとコンピューターは自動的にユーザーとコンピューターのコンテナーに入れられます。 新しい Active Directory ドメインを作成すると、ユーザーとコンピューターのコンテナーが、ドメイン内のすべての新しいユーザー アカウントとドメイン コントローラー以外のコンピューター アカウント用の、既定の場所になります。
重要
ユーザーまたはコンピューターの制御を委任する必要がある場合は、ユーザーとコンピューターのコンテナーの既定の設定を変更しないでください。 代わりに、(必要に応じて) 新しい OU を作成し、ユーザーとコンピューターのオブジェクトを既定のコンテナーからその新しい OU に移動します。 必要に応じて、新しい OU の制御を委任します。 既定のコンテナーを制御するユーザーは変更しないことをお勧めします。
また、グループ ポリシーの設定を既定のユーザーとコンピューターのコンテナーに適用することもできません。 グループ ポリシーをユーザーとコンピューターに適用するには、新しい OU を作成し、それらの OU にユーザーとコンピューターのオブジェクトを移動します。 グループ ポリシーの設定を新しい OU に適用します。
必要に応じて、既定のコンテナーに置かれているオブジェクトの作成をリダイレクトして、任意のコンテナーに置かれるようにすることができます。
既知のユーザーとグループおよびビルトイン アカウント
既定では、新しいドメインに既知のユーザーとグループおよびビルトイン アカウントがいくつか作成されます。 これらのアカウントの管理は、既定のままサービス管理者が制御することをお勧めします。 これらのアカウントの管理を、サービス管理者以外の個人に委任しないでください。 次の表に、サービス管理者が制御する必要がある既知のユーザーとグループおよびビルトイン アカウントを示します。
既知のユーザーとグループ | ビルトイン アカウント |
---|---|
Cert Publishers ドメイン コントローラー Group Policy Creator Owners KRBTGT Domain Guests 管理者 Domain Admins Schema Admins (フォレスト ルート ドメインのみ) Enterprise Admins (フォレスト ルート ドメインのみ) Domain Users |
管理者 ゲスト ゲスト Account Operators 管理者 Backup Operators Incoming Forest Trust Builders 演算子を印刷します。 Pre-Windows 2000 Compatible Access Server Operators ユーザー |
ドメイン コントローラーの OU
ドメイン コントローラーをドメインに追加すると、そのコンピューター オブジェクトが自動的にドメイン コントローラーの OU に追加されます。 この OU には、既定のポリシー セットが適用されます。 これらのポリシーがすべてのドメイン コントローラーに均一に適用されるように、ドメイン コントローラーのコンピューター オブジェクトをこの OU から移動しないことをお勧めします。 既定のポリシーが適用されないと、ドメイン コントローラーが正常に機能しない場合があります。
既定では、サービス管理者がこの OU を制御します。 この OU の制御を、サービス管理者以外の個人に委任しないでください。