Reading Time: 1 minutes
これまでのコラムでは、Active Directoryのデータベースやドメインコントローラーについて解説してきました。今回から2回にわたって、Active Directoryデータベース内で管理する「オブジェクト」について解説します。
■ オブジェクト
オブジェクトとは、Active Directoryデータベース内に登録されるアカウントやリソースの総称です。Active Directoryデータベースには様々な情報を登録し、その情報を利用することができますが、それらは総称してオブジェクトと呼ばれます。Active Directoryデータベースに登録する代表的なオブジェクトには、以下のようなものがあります。
・ OU
・ ユーザー
・ コンピューター
・ グループ
・ 共有フォルダー/プリンター
そして、これらのオブジェクトを管理するための管理ツールとして、ドメインコントローラーには [Active Directoryユーザーとコンピューター] と [Active Directory管理センター] という2つのGUI管理ツールを備えています。
今回のコラムでは、[Active Directoryユーザーとコンピューター] という管理ツールを使用し、OUとユーザーという2種類のオブジェクトの管理方法についてピックアップして解説します。
■ OU
OU(Organizational Unit)は、組織単位とも呼ばれることがあり、オブジェクトを階層的に管理するための「フォルダーのようなもの」です。OUを作成することで、多数のオブジェクトを効率よく管理することができます。たとえば、オブジェクトの所属する部署や地域、コンピューターの種類などにOUを分けて管理します。
OUは管理者が組織の環境に合わせて任意に作成することができ、必要に応じてOUの配下に別のOU(サブOU)を作成することもできます。しかし、無計画にOUを作成してしまうと、却って管理しにくくなってしまう可能性もあります。OUの階層を設計する前に、OUの特性と、組織でどのように管理したいかを適切に理解しておく必要があります。
OUには、2つの大きな特性があります。1つは、OUはグループポリシーの適用単位として活用できることです。本コラムではグループポリシーについては細かく触れませんが、グループポリシーはコンピューターの標準構成をおこなうための機能であり、OUはそのグループポリシーを関連付ける単位となります。そのため、たとえば地域や部署の単位で適用するグループポリシーの内容を異なるものにしたい場合などには、OUを分けて運用します。
もう1つのOUの特性は、委任設定により、管理範囲の境界として使用できることです。管理するオブジェクトの数が少なければ1人の管理者で管理することも可能ですが、オブジェクトの数がある程度多い場合には、管理作業を部分的に他のユーザーに委任したいというニーズが出てきます。委任の設定をする際には、OUの単位で誰にどのような管理作業を委任するかを設定します。たとえば、特定の部署のオブジェクトの管理をその部署のマネージャーにお願いしたいようなケースでは、部署ごとにOUを分けた上で委任設定をおこないます。
このように、OUは単なるフォルダーではないため、上記の特性を理解して階層を設計することが重要です。
■ ユーザー
ユーザーは、コンピューターにサインインする際の認証(本人確認)情報となるものです。適切な利用者だけが組織内のコンピューターを使用できるように、認証によって適切なユーザーであるかどうかを判断する必要があります。そのために使用される情報がユーザーであり、基本的にはログオン名とパスワードによって認証をおこないます。管理ツールからユーザーの作成時には、ログオン名やパスワードなどの必要最低限の情報入力だけが求められますが、作成後には様々な詳細情報をプロパティから入力することができます。
プロパティには様々なタブが用意されていますが、その中でも管理において重要となるタブが[アカウント]タブです。[アカウント]タブでは、ログオンに関するいくつかの設定が利用可能です。例えば、作成したユーザーは、既定でどの時間帯/どのコンピューターでも使用可能ですが、ログオン時間やログオン先を制限することも可能です。業務時間外での悪用を防止したい場合や、そのユーザーが使用できるコンピューターを絞り込みたい場合には、これらのオプションを構成すると良いでしょう。
アカウントの有効化と無効化を切り替えることも可能です。ユーザーが長期休暇などによって一時的に使用しない期間が発生する場合には無効化し、休暇中のアカウントの悪用を回避することができます。休暇から復帰した場合には、そのアカウントを有効化(無効のチェックをオフに)することで、再び使用可能な状態にすることが可能です。このように、アカウントの有効化/無効化を切り替えれば、オブジェクトのSIDそのものは変更されないため、権限設定やアクセス許可設定に影響を与えることはありません。
また、契約社員などのように、特定の期間のみ使用するユーザーに対しては[アカウントの期限]を設定しておくと良いでしょう。[アカウントの期限]を設定しておくと、その期限を過ぎたタイミングでアカウントを無効化してくれます。
今回のコラムでは、Active Directoryで管理されるオブジェクトのうち、OUとユーザーについて解説しました。次回のコラムでは、コンピューターとグループについて解説します。
株式会社ソフィアネットワークに勤務し、2009年よりマイクロソフト認定トレーナーとしてトレーニングの開催やコース開発に従事。前職である会計ソフトメーカー勤務時には、会計ソフトの導入サポート支援や業務別講習会講師を担当。これらの経歴も活かして、ユーザー視点や過去の経験談なども交えながらのトレーニングを提供。主にWindows OS、仮想化技術関連のマイクロソフト認定コースを中心に講師として活動しながら、近年の書籍の執筆などの活動も評価され、2017年からMicrosoft MVP for Enterprise Mobilityを受賞。
主な著作は『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』『徹底攻略MCP問題集 Windows 10』(インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは、ゾーホージャパンの前田です。今回は、Active Directoryデータベース内で管理されているオブジェクトのうち、「OU」と「ユーザー」について学びました。その中で、特定の期間のみ使用するユーザーに対して活用可能な[アカウントの期限]オプションが紹介されていましたが、これをさらに効率化するツールとして、ManageEngineが提供する「ADManager Plus」では、アカウントの作成 → 無効化 → 削除の一連の流れを自動化し、「ゾンビアカウント」と呼ばれる不要アカウントの発生を防止することが可能です。具体的なシナリオとして、
4月1日に契約社員のアカウントを作成し、その1年後に当該アカウントの無効化、ならびに紐づけられているOffice365ライセンスの除外を実施、そしてさらに1か月後に削除する
というスケジュールを、アカウント作成のタイミングで組むことができます。
自動化ポリシー設定画面
■ ADManager Plusとは?
WebベースのGUIでActive Directoryのユーザー/コンピューター/ファイルサーバーを管理し、自動化/ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。
ADManager Plusについて詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスください。
【ADManager Plusの製品ページ】
https://www.manageengine.jp/products/ADManager_Plus/
【ADManager Plusのダウンロードページ】
https://www.manageengine.jp/products/ADManager_Plus/download.html
▼▼ 過去記事はこちら ▼▼
第6回 Active Directoryのサイト【MicrosoftのMVP解説!Active Directoryのハウツー読本】
第7回 操作マスター【MicrosoftのMVP解説!Active Directoryのハウツー読本】
▼▼ 別シリーズのブログ記事もチェック! ▼▼
第1回 AzureADを利用する意味【MicrosoftのMVP解説!AzureADの虎の巻】
第2回 Azure ADを使って安全にクラウドサービスへアクセスする【MicrosoftのMVP解説!AzureADの虎の巻】
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。