管理者の負担を軽減するドメイン管理の仕組み「OU」：NT管理者のためのActive Directory入門（5）

» 2001年07月20日 00時00分公開

[木村尚義，グローバルナレッジネットワークインク]

今回の内容

　連載の第1回目（「Windows 2000のアカウント管理」）で述べたとおり、OU（Organization Unit）とはActive Directoryで新たに採用された管理単位である。NTのドメインユーザーマネージャがアカウントを単に並べるだけなのに対して、OUは地域別のオブジェクトや組織別オブジェクトなどを管理者が任意に格納できる。OUによって管理者の作業がシンプルになる。

なぜOUが便利なのか？

　大規模運用の現場では、ユーザーアカウントの追加／変更／削除は本社で行い、リソースは各部門で管理したいという要望があるだろう。逆に部門によっては、部門のオブジェクトをすべて管理したいという要望もあるだろう。これらに共通していることは、ほかの部門の管理者に勝手に操作してほしくないということである。

　ではWindows NTの場合、上記の要望にこたえるためにはどのように設定すればよいのだろうか？ユーザーアカウントの管理を本社で、リソースの管理を各部門で行うことを例に考えてみよう。

Windows NTドメインの権限委譲ではセキュリティ上の問題が

　セオリーどおりなら、マスター／リソースドメインモデル（「マスター／リソースドメインモデル」の詳細は連載の第1回目を参照）を作り、マスターである本社側でユーザーアカウントを追加して、各部門にリソースを管理する形態となることが多いだろう。Windows NTの場合、部門ごとにユーザーアカウントを作成することが難しい。Windows NTドメインの場合はシステム管理作業を行うためには、Domain Admins（またはAdministrators）グループに所属する必要がある。しかし、Domain Adminsグループだとすべての管理作業が可能になってしまう。

　つまり、部門管理者のユーザーアカウントをドメインの管理者に追加させることになり、ほかの部門のユーザーアカウント変更の権利も同時に与えてしまうことになる。これは、必要以上に権限が与えられるため、セキュリティ上好ましくない。

Active Directoryでは権限委譲の細かい制御が可能

　一方、Active Directory上にオブジェクトを作成できるのは、デフォルトではActive Directoryドメイン管理者（Administrators／Account Operatorsグループ）だが、OU／ドメイン／サイトなどの単位で特定のグループオブジェクトやユーザーオブジェクトに権限を委任することができる。ちなみに、ユーザー個人に権限を委任するよりは、グループ単位で権限を委任し、ユーザーをグループに所属させることが推奨される。これは人事異動の際、ユーザーが別の部署に異動しても権限を削除することを忘れてしまい、権限を持ったままということがありえるからだ。

　では、権限の委任の例を見てみよう。例えば社内にMarketing部門とSales部門があるとする。Sales OU管理者グループにOUの管理の委任をすると、Sales OUにはメンバーの追加／変更／削除などオブジェクトの管理はできるが、Marketing OUにはアクセス権がない、といった設定ができる。

図1　OU管理のアクセス制限の例

　また、会社の組織形態に合わせてOUを作る必要はない。大前提としては、管理者が楽になるようにOUを設計する。部門内でOUの管理をしたい場合は、会社の組織に合わせてもかまわないし、プリンタのみのOUやクライアントPCのみのOUを作ってもかまわない。

図2　OU構成のパターン

Active Directoryでの「権限の委任」の手順

　権限の委任は「制御の委任」ウィザードを使うと楽だ。

(1) 管理ツールの「Active Directoryユーザーとコンピュータ」を起動、制御の委任をしたいOUを選ぶ

画面1　「Active Directoryユーザーとコンピュータ」を起動したところ。まずここで制御の委任をしたいOUを選ぶ（画面をクリックすると拡大表示します）

(2) (1)で選択したOUを右クリックするとサブメニューが表示されるので「制御の委任」を選ぶ

画面2　制御を委任したいOUを選択し、右クリックでサブメニューを表示。一覧にある「制御の委任」を選ぶ（画面をクリックすると拡大表示します）

(3) 「制御の委任」ウィザードが起動する

画面3　「制御の委任」ウィザードを起動したところ（画面をクリックすると拡大表示します）

(4) 委任したいグループ（ユーザー）を追加する。追加ボタンを押すと、画面5のダイアログボックスが表示される

画面4（上）・5（下）　制御を委任するユーザーまたはグループを選択する。画面4で「追加」ボタンを押すと画面5のダイアログボックスが表示される（画面をクリックすると拡大表示します）

(5) 委任するタスクの種類を「次の共通タスクを委任する」「委任するカスタムタスクを作成する」のいずれかから選ぶ。ここでカスタムタスクを選択すると、より詳細な単位で制御を委任できる。ここでは、ユーザーがパスワードを忘れてしまった場合の解除を「IS admins」に委任してみる

画面6　委任するタスクを選択する。詳細に設定を行いたい場合は、「カスタムタクスの作成」を選ぶ（画面をクリックすると拡大表示します）

(6) 委任するタスクの対象をユーザーオブジェクトだけに限定する

画面7　制御を委任するオブジェクトの種類を選択する（画面をクリックすると拡大表示します）

(7) 「アクセス許可」を「パスワードの変更」と「パスワードのリセット」のみに限定する

画面8　制御の委任先のアクセス許可範囲を設定する（画面をクリックすると拡大表示します）

(8) これらの設定をすべて行えば、オブジェクト制御委任ウィザードは完了する

画面9　最後に、ウィザードでの設定内容が表示される（画面をクリックすると拡大表示します）

設定内容を確認する

　では実際に、どのように追加されているのか確認してみよう。再び「Active Directoryユーザーとコンピュータ」を開いて対象OUを選び、右クリックでプロパティを表示させる。表示されたダイアログのセキュリティタブをクリックすると、「IS admins」が追加されていることが分かる。

画面10　OUのプロパティで先ほど設定したオブジェクトが追加されていることが分かる（画面をクリックすると拡大表示します）

　次に、設定内容の詳細を確認してみよう。画面10のダイアログボックスで「詳細」ボタンを押し、アクセス許可のエントリを表示する。IS adminsに、ユーザーオブジェクトのパスワードのリセットとパスワードの変更のアクセスが許可されていることが分かる。

画面11　画面10で詳細ボタンを押すことで、設定内容の詳細を確認できる（画面をクリックすると拡大表示します）

　これらの設定は、「制御の委任」ウィザードを使わずに手動でも設定することができるようになっている。画面11にある「追加」ボタンでグループの追加、「表示編集」ボタンでアクセス許可のエントリが表示される。ここで使用したいアクセス権のチェックを入れる。ちなみに、制御を委任されるユーザーが複数のグループに所属している場合は、許可よりも拒否が優先される。