OUの委任を受けた側の管理作業

先週は、OUの管理委任を設定する際の手順について解説した。今週は、その委任を受けた側のユーザーが管理作業を行うための方法について解説する。

委任を受けた側のユーザーがActive Directory上のユーザー/グループを管理するには、[Active Directoryユーザーとコンピュータ]管理ツールが必要だが、使用する管理ツールの導入手順に違いがあるため、Windows Server 2003ベースの場合とWindows Server 2008ベースの場合とで解説を分ける。

委任を受けた側の作業[W2K3]

Windows Server 2003の場合、Active Directory関連の管理ツール群は、Windows Server 2003 CD-ROMの「i386」フォルダにある「ADMINPAK.MSI」ファイルをダブルクリックするとセットアップできる。この管理ツールは、Windows Server 2003、あるいはWindows XP Professional(SP1以降)で使用できる。

セットアップした管理ツールを実行するには、[スタート]メニューで[プログラム]または[すべてのプログラム]を展開して、[管理ツール]-[Active Directoryユーザーとコンピュータ]を選択する。このとき、Active Directoryにログオンした状態になっていなければならないのはいうまでもない。

管理ツールを実行すると、委任対象になったものもそうでないものも、すべてのドメイン・OUが表示されている。ただし、委任を受けたユーザーが行えるのは委任を許可したタスクだけであり、それ以外のタスクはメニューアイテムが現れないので実行できない。

なお、OUの管理委任を受けたユーザーがユーザーアカウントを作成すると、「ユーザーアカウントの一意性を検証できない」という意味のメッセージを表示する場合がある。これは、作業を行っているコンピュータがドメインコントローラではないときに発生するエラーだ。しかし実際のところ、ユーザーアカウントの重複が発生していなければ実害はないようだ。

安全策として、管理を委任したOUでユーザーアカウントの新規作成を認める場合、それ以外のドメイン/OUで作成するユーザーアカウントと名前が重複しないように、識別用のプレフィックスやサフィックスを付加する等のルールを定めておくのも一案だ。既存のユーザーアカウントを編集するだけで新規作成を行わない場合、こうした問題はない。

委任を受けた側の作業[W2K8]

Windows Server 2008では、Active Directory管理ツールは「機能」のひとつと位置付けられており、[サーバーマネージャ]で追加するようになっている。[Active Directoryドメインサービスツール]以下の[Active Directoryドメインコントローラツール]がそれだ。

このため、クライアントPCにActive Directory管理ツールをセットアップすることができない。そこで、Microsoftダウンロードセンターで無償配布しているRSAT(Remote Server Administration Tools)をダウンロードして利用する。

RSATをセットアップした後で、コントロールパネルの [プログラム]-[Windowsの機能の有効化または無効化]を実行して、利用したい管理ツールについてチェックボックスをオンにすると、その管理ツールが[スタート]メニューの[すべてのプログラム]-[管理ツール]以下に現れる仕組みだ。

そして、RSATに[Active Directoryユーザーとコンピュータ]管理ツールが含まれているため、それを利用すればよい。ただし、これを利用するにはWindows Vista SP1(ないしはそれ以降)が必要になる。

クライアントPCのOSとしてWindows XPを使用している場合、RSATを利用できない。その場合には仕方ないので、委任を受けたユーザーが利用するためのサーバマシンを用意するか、Windows Server 2008をセットアップした管理用ステーションを用意することになるだろうか。