OUとは何か

OUは、Active Directoryで作成できるオブジェクトの一種だ。ただし、他のオブジェクトと異なり、オブジェクトを収容する「器」としての機能を提供する。

つまり、ファイルを整理する際に分野別、目的別などのフォルダを作成して分類するのと同様、Active Directoryで使用するオブジェクトをOUに分類して整理できる。OUは、部門別、用途別など、好みの用途に応じて作成すればよい。もちろん、あるOUに配置しているオブジェクトは、任意のタイミングで別のOUに移動することもできる。

グループポリシーの適用単位

ただし、OUは単なる「器」ではない点に注意したい。

まず、Active Directoryにおいてグループポリシーを適用する際の単位として利用できる。グループポリシーについては、いずれ本連載でも取り上げることになるが、要約すると、ユーザー、あるいはコンピュータに対して適用したい設定についてまとめた「グループポリシーオブジェクト(GPO)」を、ドメイン、あるいはOUにリンクすることで設定を適用する方法をとっている。

したがって、一部のユーザー、あるいはコンピュータにだけ適用したいグループポリシー項目がある場合、対象となるオブジェクトをまとめたOUを作成しておき、そこに所要の設定を行ったGPOをリンクする使い方が可能になる。

もちろん、リンク対象になったOUにオブジェクトを追加した場合、あるいは他のOUから移動してきた場合には、それもGPOの適用対象になる。逆に、当該OUから削除したり、別のOUに移動したりしたオブジェクトは、GPOの適用対象から外れる。

アクセス権の設定と管理の委任

ファイルシステムにNTFSを使用していると、ファイル、あるいはフォルダに対してアクセス権を設定できる。フォルダに対して設定したアクセス権は、意図的に継承を切らない限り、そのフォルダの中にあるファイルも同様に継承する。

これと同じメカニズムが、Active Directoryにも存在する。そこで登場するのがOUで、OUに対してアクセス権の設定を行うと、そのOUに追加、あるいは他のOUから移動してきたオブジェクトも、同じアクセス権設定を継承する。

もちろん、個別のオブジェクトごとにアクセス権を設定することもできるが、OUに設定したアクセス権を継承させて、OUから出し入れすることでアクセス権をコントロールする方が管理しやすい。

このアクセス権の設定機能を利用したのが、OUの管理委任だ。これは、既定値ではドメイン管理者だけが行えるようになっているユーザーアカウントなどの管理作業を、特定のユーザーに対して許可する機能だ。

委任の設定を行う場合、委任したい機能と、委任の対象にしたいユーザーをウィザードで指定する。実は、このウィザードが行っている作業とはOUに対するアクセス権の設定であり、委任した機能について、委任したユーザーに対してアクセス権を有効にするという動作になっている。

この、OUを単位とした管理委任についても、いずれ本連載で取り上げる予定だ。

OUを利用する際の注意

もちろん、こうした機能を利用しない場合でも、単にオブジェクトを分類・整理するための手段としてOUを用いることができる。しかし、必ずそうしなければならないというものでもない。

一般的には、Active Directoryの規模が小さいうちはOUを作成せずに運用して、分類整理したい、あるいはGPOの適用対象を区分したり管理委任を行う必要が生じた、といった場面で、初めてOUを作成する方がよいだろう。というのは、どういった単位でOUを作成するのがよいのかは、それぞれの組織の事情によって異なるからだ。もっとも常識的な方法は部門別だが、それがすべての組織にとって最適解になるとは限らない。

なお、オブジェクトを分類・整理するのであれば、ひとつのドメインの中にOUを作成するのではなく、ドメインそのものを分けてしまうという考え方もある。しかし、ドメインの数が増えるとドメインコントローラの所要台数が増えて、ハードウェアとソフトウェアの両方について、余分な費用がかかる。また、異なるドメイン間でオブジェクトを移動できない制約もある。こうした事情を考慮すると、ドメインはできるだけ単一に集約しておき、その中でOUを作成する方が好ましい。