Active Directoryを運用する中で、OUやセキュリティグループという単語はよく見聞きしても、実際に操作する画面と紐づかないという状態が過去の私の経験としてありました。そこで、Active Directoryユーザーとコンピューターを扱う上の頻出の、OUとセキュリティグループについて、画像多めでまとめてみました。
OU(Organizational Unit、組織単位)
実は、赤枠で囲んでいないもの(デフォルトで作成されているUsersなど)はOUではありません。見分け方としては、下記画像のようにフォルダマークの中に模様が描かれているか否かで判別できます。(Usersの中のオブジェクトに対してdsqueryすると、CN=Usersと表示され、OUではないことが分かります。)
OUを利用する場面としては、グループポリシーの配信管理が挙げられます。以下の画像では、ドメイン全体にDefault Domain Policyが適用されていて、Domain ControllersのOUにDefault Domnain Controllers Policyが適用されています。
OUの新規作成
右クリック→新規作成→組織単位(OU)より、名前を入れてOKボタンを押してあげるだけです。カンタン。
OUの削除
OUの削除は面倒です。というのも、右クリックして削除しようとすると、以下のようなメッセージが表示されることがあります。これは、OUの削除を防止するための保護機能が働いているからです。OUの作成時に「間違って削除されないようコンテナーを保護する」にデフォルトでチェックが入る仕様となっており、この保護を解除しないことには、OUは削除できません。
この保護を解除するためには、以下の手順を踏む必要があります。
- 表示メニューより、拡張機能にチェックを入れる
- 削除したいOUのプロパティを開き、オブジェクトタブの「誤って削除されないようにオブジェクトを保護する」のチェックを外す
- OUを右クリックして削除をクリック(保護かかかっていない場合はこの手順のみでOK)
- 表示メニューより、拡張機能のチェックを外す
セキュリティグループ
下記画像の赤枠で囲まれているものがセキュリティグループです。種類の欄にセキュリティグループと記載があるのでOUよりは分かりやすいと思います。
セキュリティグループを利用する場面として、ファイルサーバーの権限管理が挙げられます。ユーザー単位でも権限を振ることはできますが、グループ単位で振ったほうが管理しやすいです。
セキュリティグループの新規作成
右クリック→新規作成→グループより、グループ名の入力とグループの種類で「セキュリティ」を選択してOKをクリックします。グループのスコープは3種類あり、単一フォレスト・単一ドメインのActive Directory なら使い分けるメリットはないです(詳しくはググってください)。他のセキュリティグループと合わせておくのが無難でしょう。
セキュリティグループの削除
削除手順はOUと同じです。OUと異なりデフォルトでは保護は働いていないため、簡単に削除できます。