OUを単位とする制御の委任

先週は、Active Directoryのオブジェクトを対象とするアクセス権設定の概要と、操作手順について解説した。

実のところ、手作業でアクセス権設定を変更しなければならない場面は少ない。しかし、今回取り上げる管理委任機能は、実はアクセス権設定機能によって実現しているため、先にそちらについて解説した次第だ。

今週は、OU(Organizational Unit、組織単位)を対象とする管理委任の設定手順について解説する。

管理委任の概要と、その正体

Active Directoryでは、OUを単位として管理者以外のユーザーに制御を委任する機能がある。これを使うと、管理者以外のユーザーがユーザーアカウントの作成やグループのメンバー変更などといった管理作業を行えるようになる。

ドメイン全体について管理者以外のユーザーが操作できるようにするとリスク要因が増えるが、特定のOUに限定することで管理権限の拡散に伴うリスクを局限できる。

誰に、どういった機能を委任するかは、ウィザード形式で指定するようになっている。実は、表向きはウィザードで設定を行っているが、それによって実際にシステムに加わる変更とは、当該OUを対象とするアクセス権設定の変更に他ならない。だから、アクセス権の設定を変更する方法でも同じ結果を得られるのだが、ウィザードを用いて委任を設定する方が安全・確実といえる。

委任を行う際の操作手順

では、管理者がOUを対象として制御の委任を行う手順について解説しよう。なお、話を単純にするため、委任の対象となるOU、あるいは委任する相手のユーザー/グループは、すでに存在するものとする。

1. [Active Directoryユーザーとコンピューター]管理ツールを実行して、ツリー画面で委任対象になるOUを選択する。

2. [操作]-[制御の委任]、あるいは右クリックして[制御の委任]を選択する。すると、[オブジェクト制御の委任ウィザード]が起動する。

3. ウィザード2画面目で、委任する相手のユーザー/グループを指定する。初期状態ではリストは空白なので、[追加]をクリックして一覧に追加する。ユーザー/グループの追加が完了したら、[次へ]をクリックして続行する。

4. 次の画面で、委任するタスクを指定する。一覧にあるタスクの中から、委任したいものについてチェックをオンにすればよい。ここで[委任するカスタムタスクを作成する]を選択すると、もっと詳細な指定が可能だが、通常は一覧にある分だけで事足りるだろう。そもそも、一般ユーザーにあまり込み入った作業を委任するのは感心できない。

5. ウィザード最終画面で[完了]をクリックすると、委任の設定(つまり当該OUのアクセス権設定変更)を行う。

委任が可能なタスク

委任が可能なタスクのうち、カスタムタスクの選択を行わずに設定できるものの一覧を以下に示す。たいていの場合、ここに示した項目で用が足りるはずだし、それ以上に複雑なタスクをエンドユーザーに委任するのも考え物だ。

・ユーザーアカウントの作成、削除、管理
・ユーザーのパスワードをリセットして、次回ログオン時にパスワードの変更を要求する
・すべてのユーザー情報の読み取り
・グループの作成、削除、および管理
・グループのメンバシップの変更
・グループポリシーのリンクの管理
・ポリシーの結果セットの生成(計画)
・ポリシーの結果セットの生成(ログ)
・inetOrgPersonアカウントの作成、削除、および管理
・inetOrgPersonパスワードのリセットと、次回ログオン時のパスワードの変更要求
・すべてのinetOrgPerson情報の読み取り

カスタムタスクでは、オブジェクトの種類ごとに作成と削除の権限を委任することができる。しかし、それにはActive Directoryオブジェクトに関する詳細な知識が必要になるし、よく分からないで操作する生兵法は大怪我の元だ。そもそも、通常は[委任するタスク]の一覧から選択する程度で用が足りるのではないだろうか。