OUを作成すると、次に発生する作業はオブジェクトをOUに移動する作業ということになる。今週は、このオブジェクトの移動について解説しよう。
同じドメイン内であれば、ドメイン、コンテナ、OUの相互間でオブジェクトを移動できる。なお、OUは移動先になれるが、OU自体を移動することはできない。
[Active Directoryユーザーとコンピュータ]管理ツールを使用する方法
[Active Directoryユーザーとコンピュータ]管理ツールでは、以下の手順でオブジェクトを移動できる。
[Active Directoryユーザーとコンピュータ]管理ツールを起動する。
左側のツリー画面で、移動したいオブジェクトがある場所(ドメイン、OUまたはコンテナ)を選択する。
右側の一覧で移動したいオブジェクトを選択して、[操作]-[移動]、あるいは右クリックして[移動]を選択する。
- 続いて表示するダイアログのツリー画面で、移動先を選択して[OK]をクリックすると、オブジェクトが移動する。
なお、Windows Server 2003以降のWindowsサーバでは、左側のツリー画面にある移動先OUに、目的のオブジェクトをドラッグ&ドロップ操作する方法も使用できる。エクスプローラで、ファイルをあるフォルダから別のフォルダに移動する際の操作と同じだ。ただし、この方法は操作ミスによって間違った場所に移動する可能性が高くなるので、移動後に間違いがないかどうか確認する習慣をつけるようお薦めしたい。
dsmoveコマンドを使用する方法
コマンド操作によってオブジェクトを移動するには、dsmoveコマンドを使用する。このコマンドでは、移動したいオブジェクトのLDAP識別名に続いて、引数「-newparent」と、移動先となるコンテナやOUのLDAP識別名を指定する。その実行例を以下に示す。
「ad-domain.company.local」ドメインのコンテナ「Users」にあるユーザーアカウント「kojii」を、OU「Tokyo」に移動
dsmove cn=kojii,cn=Users,dc=ad-domain,dc=company,dc=local -newparent ou=Tokyo,dc=ad-domain,dc=company,dc=local
「ad-domain.company.local」ドメインのOU「Tokyo」にあるユーザーアカウント「kojii」を、OU「Osaka」に移動
dsmove cn=kojii,ou=Tokyo,cn=Users,dc=ad-domain,dc=company,dc=local -newparent ou=Osaka,dc=ad-domain,dc=company,dc=local
ここではユーザーアカウントを対象に指定しているが、他のオブジェクトも同じ要領で移動できる。
OUは移動できない
他のオブジェクトと違って、OU自体は移動操作の対象にできない。そのため、ある場所にあるOUを別の場所に移動するには、削除と再作成の作業が必要になる。
そこで注意したいのは、OUを削除すると、そのOUに所属しているオブジェクトも削除対象になる点だ。そのため、「うっかり削除」を防ぐには、移動先となるOUを先に作成しておいて、削除するOUに属しているオブジェクトを移動してから削除を行う必要がある。
場所が異なっていれば、同名のOUを作成することができる。もちろん、以前からあるものとは別のオブジェクトとみなされるため、グループポリシーやアクセス権の設定はすべてやり直す必要がある。
OUとグループの関係
もうひとつ、OU相互間でのオブジェクトの移動に関連して、間違えやすいポイントについて解説しておこう。
それは、グループとOUの関係だ。グループとOUはまったく別個の存在なので、オブジェクトを配置しているOUとグループのメンバシップは、まったく連動していない。「グループはアクセス権付与の単位」、「OUはグループポリシーの設定や管理委任の単位」と、完全に頭を切り替える必要がある。
実のところ、どのOUに配置しているオブジェクトでも関係なく、同じグループに所属させることができる。また、オブジェクトをあるOUから別のOUに移動しても、そのオブジェクトが所属しているグループは変わらない(オブジェクトがグループの場合、そのオブジェクトに所属しているオブジェクトについても同様)。
そのため、「異なる複数のOUを作成して、それぞれの配下に別々のグループを配置する。さらに、それぞれに異なるグループポリシーオブジェクト(GPO)をリンクしておく。そして、グループ間でアカウントを移動すると、それに合わせてグループポリシーの適用対象となるOUも切り替わる」という使い方はできない。