にわか管理者のためのActive Directory入門

【第5回】Active Directoryの構成要素(2)

今回は、ドメイン内に作成するオブジェクトであるOU(組織単位)と、Active DirectoryがNTドメイン、あるいはNTドメイン対応OSとの互換性を維持するために必要としている二重構造のドメイン名について解説する。

ドメイン内のOU

一方、個々のドメインの配下には、OU(Organizational Unit、組織単位)というオブジェクトを作成できる。この中に、Active Directoryが扱うさまざまなオブジェクト、たとえばユーザーアカウントやグループなどを収容することができる。また、OUの下に別のOUを作成して、OUをツリー化することもできる。

OUは、単にオブジェクトを分類するための「器」として使ってもよいが、通常は以下のような場面で利用することが多い。

設定内容が異なる複数のグループポリシーを用意して、適用対象を使い分ける

グループポリシーについて取り上げる際に詳しく解説するが、グループポリシーの適用対象を区分する単位としてOUを利用できる

Active Directoryに対するアクセス権管理の単位とする

NTFSのアクセス権設定で、個別のファイルごとにアクセス権を設定する代わりにフォルダにアクセス権を設定する使い方がある。これは、フォルダに設定したアクセス権を、そのフォルダに置いたファイルも継承するようになっているため、アクセス権の設定を合理化できるためだ。それと同じことを、Active Directoryではフォルダの代わりにOUで行う。この仕組みは、管理の委任にも関わってくる

ドメインDNS名とドメインNetBIOS名

最後に、Active Directoryのドメインが持つ、2種類の名前について解説する。

前回、「Active Directoryのドメイン名は、インターネットで使用するドメイン名と同様の表記を行う」と述べた。これをドメインDNS名という。Windows 2000以降のOS(Windows Meを除く)は、このドメインDNS名を利用できる。

しかし、NTドメインにしか対応していない旧OSとの互換性を確保するため、Active DirectoryにはNTドメインの「ふりをする」機能があり、そちらではピリオドで区切らない、NTドメインと同様のドメイン名を使用する。これをドメインNetBIOS名といい、NTドメインとの互換性を維持する必要があるため、最長15文字というNTドメイン名の制約もそのままだ。

NTドメインに対応していない旧いOSでは、ドメインを指定する際にドメインNetBIOS名しか使用できない。Windows 2000以降のOSでは、ドメインDNS名の代わりにドメインNetBIOS名を使ってドメインを指定することもできる。つまり、どちらの名前でも使える。

通常、ドメインNetBIOS名はドメインDNS名を構成するパートのうち、左端のものを流用する。たとえば、ドメインDNS名が「ad-domain.company.local」なら、ドメインNetBIOS名の既定値は「AD-DOMAIN」となる(慣習的に、ドメインDNS名は小文字、ドメインNetBIOS名は大文字で表記することが多い)。これは階層が増えても同じで、ドメインDNS名が「tokyo.ad-domain.company.local」なら、ドメインNetBIOS名の既定値は「TOKYO」となる

もちろん、既定値をそのまま使用せずに、独自の名前付を行うこともできる。しかし、そうするとドメインDNS名とドメインNetBIOS名の関連が分かりにくくなるので、なるべく既定値のままにする方がよい。