0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@ti-ito

Active Directory・OU・グループポリシーの全体像

0
Posted at

Active Directory・OU・グループポリシーの全体像
企業IT基盤の中で、この3つは「認証」「構造」「設定管理」という役割を分担しながら連携して動いている。
まずはそれぞれの役割を押さえ、その後に関係性を深掘りする。

1.Active Directory(AD)とは

ADは企業ネットワークの「ユーザー・PC・サーバー・権限の管理基盤」。
Windowsドメイン環境の中心にあり、以下の機能を提供する。

主な役割

  • 認証(Authentication)
    ユーザーがログオンするときのID/パスワードを検証する
  • 認可(Authorization)
    どのリソースにアクセスできるかを制御する
  • ディレクトリサービス
    ユーザー、コンピューター、グループ、ポリシーなどの情報を一元管理
  • レプリケーション
    複数のドメインコントローラー(DC)間で情報を同期

AD の構造(ざっくり)

  • フォレスト:AD全体の最上位
  • ドメイン:管理単位
  • OU(組織単位):ドメイン内の階層構造
  • オブジェクト:ユーザー、PC、グループなど
    ADは「会社の社員名簿+アクセス管理+設定配布の土台」と考えると理解しやすい。

2.OU(Organizational Unit)とは

OUはAD内のフォルダのようなもので、オブジェクトを整理し、管理権限を委任するための単位。

OUの役割

  • ユーザーやPCを分類する(部署・役割・用途など)
  • GPOを適用する単位になる
  • 管理権限を委任できる(OU管理者)

OUの設計例

  • 会社
  • 東京本社
  • 営業部
  • 開発部
  • 大阪支社
  • 営業部
  • サーバー
  • Web
  • DB
    OUは「組織構造に合わせた管理の箱」。
    GPOをどこに適用するかの“ターゲット”にもなる。

3.グループポリシー(GPO)とは

GPOはWindowsクライアントやサーバーに設定を一括配布する仕組み。

GPOで設定できること

  • セキュリティ設定(パスワードポリシー、UAC、ファイアウォール)
  • デスクトップ設定(壁紙、スタートメニュー)
  • Windows Update(WSUS の URL)
  • ソフトウェア配布
  • スクリプト実行(ログオン/ログオフ)

GPOの適用範囲

  • サイト
  • ドメイン
  • OU
    優先順位は
    ローカル → サイト → ドメイン → OU(下位が優先)

4.Active Directory・OU・GPO の関係性
この3つは次のように連携して動く。

① ADが“基盤”として存在する

  • ユーザー、PC、グループ、GPOなどすべての情報を保持
  • ドメインコントローラーがGPOを保存し、クライアントに配布する

② OUが“対象を分類する箱”になる

  • PCやユーザーをOUに配置することで、どのGPOを適用するかが決まる
  • OUごとに管理権限を委任できるため、運用分担が可能

③ GPOが“設定を配布する仕組み”として機能する

  • GPOはADに保存され、OUにリンクされる
  • クライアントはログオン時・定期的にDCからGPOを取得して適用する

3つの関係を一言でまとめると

  • AD:管理の土台
  • OU:対象を分類する箱
  • GPO:設定を配布する仕組み
    そして
    GPOをどのOUにリンクするかで、どのPC/ユーザーに設定が適用されるかが決まる。

5.現場での実運用イメージ
インフラ全体を扱う立場だと、次のような運用が一般的。

サーバー構築時

  • サーバーOUに配置
  • セキュリティ GPO、WSUS GPO、ログ設定GPOを適用
  • JP1/AJSやHULFT用のレジストリ設定もGPOで配布可能

クライアント管理

  • 部署OUにユーザー/PCを配置
  • 部署ごとのGPO(プリンタ、ネットワークドライブ、アプリ設定)を適用

セキュリティ運用

  • ドメインレベルで共通セキュリティGPO
  • OUレベルで例外や追加設定

トラブルシューティング

  • gpresult /r で適用GPOを確認
  • dcdiagやrepadminでDCの状態を確認
  • GPOのレプリケーションはDFSRで同期

最後に:全体像を視覚的にまとめると
Active Directory(基盤)

├─ OU(分類)
│ ├─ ユーザー
│ ├─ PC
│ └─ サーバー

└─ GPO(設定)
├─ セキュリティ
├─ WSUS
├─ デスクトップ
└─ アプリ設定

AD が土台 → OU が対象 → GPO が設定
この3つが揃って初めて、企業の Windows 管理が成立する。

以上です。

「なりたい自分の、その先へ」
エンジニアファーストの会社、助け合いの共同体、ワークスタイルは多様、集まり帰る場所のある会社

株式会社CRE-COエンジニアリングサービス
https://www.cre-co.jp/
伊藤 俊広

私たちと一緒に働きませんか?
https://en-gage.net/cre-co/

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?