Active Directory ドメインサービス – 組織単位 (OU)

Active Directory ドメインサービス

Active Directory ドメインサービス (AD DS) でのアカウントの管理について解説します.
まずは,AD DS 上でアカウントを管理する土台となっているディレクトリーや OU について説明します.

組織単位 (Organization Unit / OU) とは

組織単位 (OU) ですが,ユーザーやコンピューター,グループなどのオブジェクトを格納する箱 (コンテナオブジェクト) になります.では組織単位とはどういったものでしょうか.
会社組織で考えると「部」や「課」が組織単位となります.
この考え方を AD DS に適用するとこのようなイメージになります.

このような構成もよいのですが「管理」の点で考える必要があります.
OU はアカウントの管理だけではなく,管理の委任や今後の解説するグループポリシーを用いた設定の強制制御を適用する範囲としても用いられます.
OU に対してリソースのアクセス権などを設定する訳ではなく,管理の委任の設定やグループポリシーの適用が行えるというものです.
従って,管理の面では実際の組織に合わせることが正解とは言えません.
どのような委任,グループポリシーによる制御を行いたいのか.を第一に考慮すべきです.

例えば,東京・大阪があり,大阪の地域に関しては大阪の管理者に管理を委任したい場合はこのような構成も考えられます.

また,コンピューターに対するグループポリシーの適用を考えた場合,コンピューターの種別や制御するアプリケーション単位の OU を構成したほうが管理が容易になる場合もあります.

ここが後々響いてくるポイントになるので,OU の設計はしっかり行いたい所です.

  • OU の階層は実組織に合わせても,合わせなくてもよい
  • グループポリシーでの設定をどの程度合わせるのか,組織毎に分けたいのかを考慮すべき
  • 管理者の移管・委任を行うのかも考慮すべき

本環境ではシンプルに,ユーザー (とグループ) と コンピューター の二つを OU として作成し,その上でさらにグループポリシーを分けたい場合に別途子 OU を作成する.という方式をとります.
直上のイメージに近い構成です.

OU の構成は後でも変えることが可能ですので,一旦は何らかの方針で作成して進めてしまっても問題はありません.
ただし,変更には他の設定なども大きく見直す必要があるため,ある程度のコストがかかってしまうことは認識しておくべきです.

OU とデフォルトで用意されているコンテナ

以下イメージが AD DS 構成直後の「Active Directory ユーザーとコンピューター」のツリー構成です.
デフォルトで幾つか用意されていますのでまずこちらを説明します.

「Domain Controllers」とそれ以外でアイコンの形が違っていることが確認できます.これは「Domain Controllers」は OU で,それ以外はただのコンテナになります.
OU は先に説明したとおり管理の委任やグループポリシーの適用が出来ますが,コンテナに対してはできません.
従って,ユーザーやコンピューター用の OU は別途作成する必要があります.

デフォルトで用意されている OU やコンテナの役割を以下に説明します

  • Builtin
    ビルトイングループが格納されているコンテナです.この中には「Administrators」などのグループが作成されています.通常はここに自身でグループを作成するようなことは行いません.
  • Computers
    コンピューターをドメイン参加させる際,何も指定しないとここにコンピューターアカウントが作成されます.先に述べたとおり「コンテナ」ですので,ここに作成されたコンピューターに対してのポリシー設定はできませんので,管理できる OU に移動する必要があります.
  • Domain Controllers
  • AD DS ドメインコントローラーのコンピューターアカウントはこの中に作成されます.通常のコンピューター,サーバーと管理を分ける意味や,ドメインコントローラー用のポリシーがデフォルトで作成,適用されていますので最初から OU として用意されているものとなります.通常ここに普通のコンピューターアカウントを移動させることはありません.
  • ForeignSecurityPrincipals
    信頼関係 (詳細は別途) を構成した際のフォレストの情報が格納されます.ここも通常手で弄ることはありません.
  • Managed Service Accounts
    AD FS などの認証連携を行う際のオブジェクトが作成・格納されます.ここも通常手で弄ることはありません.
  • Users
  • AD DS セットアップ後にログインに用いた「administrator」などのユーザーアカウントやデフォルトで用意されているグループアカウントが格納されています.
  • ここにユーザーやグループのアカウントを作成することは可能ですが,ここもコンテナなのでグループポリシーの適用はできません.
    従って,グループポリシーを適用したくないユーザーやグループが必要な場合のみここに作成することになります.

OU を作成する

上で述べたとおり,ユーザー・グループを格納する OU および,コンピューターを格納する OU を作成していきます.

「サーバーマネージャー」の「ツール」をクリックして「Active Directory ユーザーとコンピューター」をクリックします.

「Active Directory ユーザーとコンピューター」管理ツールが起動するので,OU を作成したい所を選択します.今回ですとドメイン名直下に作成するため「lab.seichan.org」を選択しています.
右クリックで「新規作成」→「組織単位(OU)」をクリックします.

作成画面が表示されますので,OU名を入力して「OK」をクリックします.
通常「間違って削除されないようコンテナーを保護する」にチェックが入っています.これは記載のとおり間違って削除するとその OU の中に存在するユーザーアカウントなどのオブジェクトも削除されてしまいますので,その予防措置となります.本当に削除したい場合にはこの機能を無効化可能ですのでチェックはつけたまま作成を行いましょう.

OU を二つ作成が終わりました.ツリーはこのようになりました.

以上,今回は OU について説明しました.次回はユーザーアカウントの説明と作成を実施します.




seichan

ご連絡は X (twitter) の DM へお願いします.
AWS Certified Cloud Practitioner: https://www.credly.com/badges/020d959c-7f46-4b77-99ea-b54e70bc20a0
Nutanix Certified Professional - Multicloud Infrastructure 6
: https://www.credly.com/badges/f1a0f35b-730a-42ac-bf69-ccf6e51080f1
Palo Alto Networks System Engineer (PSE) - Hardware Firewall Professional: https://www.credly.com/badges/2cca4b78-8187-4798-a720-800a3517c418

seichanをフォローする
Active Directory ドメインサービス

seichanをフォローする




コメント

タイトルとURLをコピーしました