Windows TIPS

［Active Directory］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ Active DirectoryのUsers／Computersコンテナをリダイレクトする → 解説をスキップして操作方法を読む デジタルアドバンテージ　打越 浩幸 2005/10/08 　 対象OS Windows Server 2003

■ ユーザーやコンピュータ・オブジェクトは、デフォルトではUsersやComputersコンテナの中に作成される。 ■ コンテナにはグループ・ポリシーを適用できないため、UsersやComputersコンテナのオブジェクトだけに適用させるのは簡単ではない。 ■ リダイレクト機能を利用すると、UsersとComputersコンテナを任意の組織単位に割り当て、グループ・ポリシーを適用させることができる。

　

解説

　Active Directoryドメインにおいて、例えば「net user」や「net group」「net computer」といったコマンドでユーザーやグループ、コンピュータ・オブジェクトを新規作成すると、デフォルトでは、ドメイン・パーティションの最上位にある「Usersコンテナ（CN=Users）」や「Computersコンテナ（CN=Computers）」の中に作成される。

　だがこれらは「コンテナ」であり、「組織単位（OU）」ではないため、少し注意が必要である。これらには専用のグループ・ポリシーを適用することができないからだ。

　グループ・ポリシーは組織単位に適用するものであり、コンテナにはグループ・ポリシーは直接適用できない。そのため、管理者がこれらコンテナ中のユーザーやコンピュータに対してポリシーを適用したければ、ドメインのルートで定義されているポリシー（「Default Domain Policy」など）を利用する必要がある。だがこのポリシーはドメイン全体に適用されるため、特定のコンテナや組織単位にのみ適用されないようにするためには、アクセス制御リスト（ACL）を定義するなど、煩雑な操作が必要となる。

　この問題を解決するため、Windows Server 2003のActive Directoryでは、CN=UsersとCN=Computersのコンテナを任意の組織単位にリダイレクト（振り向け）するための機能が導入された。これを利用すると、ユーザーやコンピュータ・アカウントの新規作成を任意の組織単位で行えるようになり、かつ、その組織単位に対するグループ・ポリシーを容易に定義、設定することができるようになる。本TIPSでは、このリダイレクトの方法について解説する。

操作方法

　以下では、例としてUsersコンテナのリダイレクトを取り上げる。Computersコンテナをリダイレクトするには、redirusr.exeの代わりにredircmp.exeを使用するだけで、それ以外の手順は同じである。

手順1―Windows Server 2003のドメインの機能レベルを上げる

　リダイレクト機能を利用するためには、ドメインの機能レベルが「Windows Server 2003」になっている必要がある。これは、すべてのドメイン・コントローラがWindows Server 2003で構成される場合にのみ利用できる機能レベルである。ドメインの機能レベルの詳細や機能レベルの変更方法については、以下の情報を参照していただきたい。

• Windows Server 2003 でドメインの機能レベルおよびフォレストの機能レベルを上げる方法（マイクロソフト サポート技術情報）

手順2―リダイレクト先の組織単位の作成

　機能レベルが確認できたら、次はリダイレクトする先の組織単位を作成する。

組織単位の新規作成

リダイレクトする先の組織単位を作成しておく。このためには、［管理ツール］の［Active Directory ユーザーとコンピュータ］を起動し、任意の組織単位を作成する。

ドメインのルート。 　 指定した場所にユーザーやコンピュータ、組織単位などを作成する。 　 組織単位（OU）を作成する。

　ここでは「NewUsers」という組織単位を作成してみた。

新しく作成した組織単位

Usersコンテナのリダイレクト先として使用するために、新しい組織単位を作成する。ドメインのルートではなく、任意の場所に作成することができる。

作成した組織単位（OU）。 　 デフォルトのComputersコンテナ（CN=Computers）。これはコンテナであり、組織単位ではない。 　 デフォルトのUsersコンテナ（CN=Users）。これはコンテナであり、組織単位ではない。

手順3―redirusrコマンドの実行

　Usersコンテナのリダイレクトには、redirusr.exeというWindows Server 2003のコマンドを利用する。redirusrの使い方は次の通りである。

redirusr.exe コンテナDN

　「コンテナDN」とは、作成したコンテナの識別名（DN）を表すパス文字列のことであり、例えば上記の画面サンプルの組織単位の場合は、「OU=NewUsers,DC=OurDomain,DC=example,DC=com」という文字列を指定する。これを実行すると次のようになる。

C:\>redirusr.exe OU=NewUsers,DC=OurDomain,DC=example,DC=com リダイレクトは成功しました。

　もしドメインの機能レベルがWindows Server 2003でなければ、次のようにエラー・メッセージが表示される。

C:\>redirusr.exe OU=NewUsers,DC=OurDomain,DC=example,DC=com エラー: wellKnownObjects の属性を変更できません。ドメインのドメイン機能 レベルが少なくとも Windows Server 2003 であることを確認してください: 実行しようとしません リダイレクトは成功しませんでした。

手順4―リダイレクトの確認

　以上の操作でリダイレクトは完了である。実際にリダイレクトされているかどうかを確認しておこう。まずはnet userコマンドでユーザー・アカウントを作成し、それを管理ツールで確認してみる。

C:\>net user NewUser /random /add & dsquery user -name NewUser …アカウントの作成と確認 NewUser のパスワード: 6py@Us2Y1 コマンドは正常に終了しました。 "CN=NewUser,OU=NewUsers,DC=OurDomain,DC=example,DC=com"

　結果を［管理ツール］の［Active Directory ユーザーとコンピュータ］で見ると、次のようになっているはずである。

リダイレクトされたコンテナと作成されたアカウント

net userコマンドで新しくユーザー・アカウントを作成したところ。リダイレクトされた先の組織単位中に作成されていることが確認できる。

新しく作成された組織単位。ここにUsersコンテナがリダイレクトされる。 　 作成されたユーザー・アカウント。正しくこの組織単位内に作成されている。

　NewUsers組織単位にグループ・ポリシーを設定すれば、新規作成したユーザーにはそのポリシーが適用されるようになる。

■

　Usersコンテナをリダイレクトすると、Exchange 2000でsetup /domainprepコマンドを実行したときにエラーが表示されることがある。解決方法については以下のサポート技術情報を参照のこと。

• Exchange Enterprise Servers グループと Exchange Domain Servers グループを新規のコンテナに移動した場合に Domainprep ユーティリティが機能しない（マイクロソフト サポート技術情報）

	関連記事（Windows Server Insider）
		Windows TIPS：安全性の高いランダムなパスワードを生成し、パスワードを変更する
		連載：管理者のためのActive Directory入門

	関連リンク
		Windows Server 2003 ドメインの Users および Computers コンテナのリダイレクト（マイクロソフト サポート技術情報）
		Windows Server 2003 でドメインの機能レベルおよびフォレストの機能レベルを上げる方法（マイクロソフト サポート技術情報）
		Exchange Enterprise Servers グループと Exchange Domain Servers グループを新規のコンテナに移動した場合に Domainprep ユーティリティが機能しない（マイクロソフト サポート技術情報）

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）