Active Directory - OU / Domain Tree / Domain Forest



 ◆ Active Directory:OUとグループポリシー

 企業規模が大きくなり管理対象となるユーザ、グループ、コンピュータが増えてくると運用管理が大変です。
 そこでActive Directoryでは、
OU(Organizational Unit)と呼ばれる箱を作成することによって、複数の
 オブジェクトを簡単に管理できるようになります。オブジェクトとは、Active Directoryデータベース内に
 登録されるアカウントやリソースなどの総称であり、以下のようなオブジェクトがあります。

オブジェクト オブジェクトの用途
ユーザ  ユーザ名とパスワードを確認して認証を行うためのもの
グループ  複数のユーザをまとめることでアクセス権限をまとめて割り当てやすくするもの
コンピュータ  ドメインに参加するコンピュータを識別するためのもの
プリンタ  Active Directoryの検索機能を利用し、プリンタを発見しやすくする
共有フォルダ  Active Directoryの検索機能を利用し、フォルダを発見しやすくする
グループポリシー  グループポリシーの設定を格納する
OU  ユーザ、グループ、コンピュータなどをまとめて管理しやすくする(OU配下のサブOU)


 OUは組織単位という意味ですが、例えば、東京と大阪とでユーザ、グループ、コンピュータを分類したり、
 開発部と営業部とでユーザ、グループ、コンピュータを分類したり、都合の良いようにOUで分類できます。
 
グループポリシー設定の割り当てができる最小単位が OU であるため、適切なOUの分類が重要となります。


    



 Active Directoryの「
グループポリシー」の機能を使用することで、ドメインに参加する参加するすべての
 ユーザやWindowsコンピュータに対し、様々な設定をドメインコントローラで集中管理することができます。
 グループポリシーにより、例えばPCのコントロールパネルへのユーザのアクセスを禁止したり、Office等の
 アプリケーション設定を強制的に制御したり、ユーザに変更されたくない項目をあらかじめ制御できます。


 ◆ Active Directory:ドメインツリー

 大企業の規模になると、ドメインそのものを複数に分けて管理するケースもあります。複数のドメインを
 作成する際には、
親ドメインからドメイン名の一部を継承して、親ドメインから子ドメインを作成します。

 ドメイン間で「
信頼関係」を構築することで、親ドメイン、子ドメインに関係なく別ドメインのリソースを
 利用できるようになります。このようなActive Directoryドメインの階層構造を
ドメインツリーといいます。
 ※ 信頼関係とは、ログオンしたユーザがアクセスできる範囲を拡張するActive Directoryの機能のことです。



    



 ◆ Active Directory:フォレスト

 Active Directoryを導入している企業同士が合併する場合などで、異なるドメインツリーとの間で関係性を
 持たせたい場合、ドメインツリー同士で信頼関係を持たせることもできます。この状態は
フォレストといい
 Active directoryにおけるグループの最大単位となります。

 ドメインツリー同士で信頼関係の設定があれば、完全に異なるドメインであっても、ユーザはフォレストに
 参加するドメインの共有リソースにアクセスできるようになります。


  


Active Directory 用語 説明
Active Directory  Windows Serverの機能の1つであり、ユーザとコンピュータを管理する仕組みの総称。
ドメイン  ユーザとコンピュータの管理単位。Active Directoryデータベースを管理・共有する範囲。
ドメインコントローラ  ドメイン内のユーザ管理、認証、アクセス権限の付与などを一元的に管理するWindowsサーバ。
 ユーザアカウント  ユーザともいう。PCを利用するユーザを識別するための情報。
グループアカウント  グループともいう。複数のユーザアカウントをまとめて1つの代表アカウントにまとめたもの。
オブジェクト  ADで管理される情報の最小単位。ユーザ、グループ、コンピュータ、プリンタ、共有フォルダなど。
OU  グループポリシー設定や権限委任できる最小単位。組織単位で効率よく運用管理したい場合に使用。
ドメインツリー  同一の上位ドメインに属するドメインの集合体。Active Directoryドメインの階層構造。
ドメインフォレスト  複数のドメインツリーが信頼関係で連結された集合体。Active Directoryのグループの最大単位。



サーバ技術をはじめから

ネットワークエンジニアとして

Copyright (C) 2002-2021 ネットワークエンジニアとして All Rights Reserved.