ファイルシステムにNTFSを使用していると、ファイルやフォルダにアクセス権を設定できる。同様に、Active DirectoryのOU(Organizational Unit、組織単位)やオブジェクトについてもアクセス権を設定できる。

今回から何回かに分けて、このアクセス権設定と、関連する機能であるOUの管理委任について取り上げていこう。

Active Directory自身のアクセス権設定

Active Directoryでは、オブジェクトごとにアクセス権を設定できるようになっている。ここでいうアクセス権とは、「Active Directoryのオブジェクトを対象として、読み取りや書き込みなどを許すかどうか」という意味である。

たとえば、既定の設定ではオブジェクトの書き込みを行えるのは管理者だけで、一般ユーザーは読み取りしか行えない。そのため、オブジェクトの作成やプロパティ設定の更新を行えるのは管理者だけということになる。

OUに設定したアクセス権については、既定の設定では、そのOUの下に格納したオブジェクトも同じアクセス権設定を継承するようになっている。ファイルシステムのアクセス権で、上位のフォルダに設定したアクセス権を、その下のサブフォルダやファイルが継承するのと同じ理屈だ。

そのため、アクセス権の設定が異なる複数のOUを用意すると、所属するOUを変更するだけでオブジェクトに対するアクセス権を変更できる。フォルダにアクセス権を設定することで、そのフォルダに格納するファイルに対して同じアクセス権設定を継承させるのと同じ考え方だ。

アクセス権設定の手順

Active Directoryのオブジェクトを対象とするアクセス権設定には、[Active Directoryユーザーとコンピューター]管理ツールを使用する。ただし、初期状態ではアクセス権の設定は行えず、設定変更が必要になる点に注意したい。

  1. [Active Directoryユーザーとコンピューター]管理ツールを起動したら、まず[表示]メニューの[拡張機能]を選択する。この操作により、オブジェクトのプロパティ画面に[セキュリティ]タブが現れる(既定では表示しない)。

  2. アクセス権を指定したいオブジェクトを選択して、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。

  3. 続いて表示するプロパティ画面で[セキュリティ]タブに移動する。設定の要領はファイルやフォルダのアクセス権設定と同じで、設定対象になるユーザー、あるいはグループを上のリストに追加してから、下側にあるチェックボックスをオン/オフすることで、選択したユーザー/グループに対するアクセス権を設定する仕組みだ。

  4. これもファイル/フォルダのアクセス権設定と同じだが、[詳細設定]をクリックすると別のダイアログが現れて、さらに細かい設定を行うこともできる。もっとも、通常はそこまで行う必要はないだろう。

  5. 設定が完了したら、[OK]をクリックしてダイアログを閉じる。

[Active Directoryユーザーとコンピューター]管理ツールで[表示]メニューの[拡張機能]を選択する

その状態でオブジェクトのプロパティ画面を表示させると、[セキュリティ]タブが現れる

アクセス権設定の操作手順は、ファイル/フォルダなどのアクセス権設定画面と同じだ。ただし、設定できる権限の内容は異なる。[詳細設定]をクリックすると表示するダイアログの[アクセス許可]タブでは、さらに詳細なアクセス権設定が可能