【Active Directory】OUを作成する方法

Active Directory

【Active Directory】OUを作成する方法

こんにちは!そーまんです。

今回は Active Directory で OU の作成について説明しています。

そもそも OU とは何か?

OU OU (オーユーオーユー) とか職場で連発していたので、最初に私が聞いた時には「Oh you! (お前かぁ!)」と勘違いしてしまいました。w

まぁそんなことはさておき、OU は Organization Unit の略です。これで分かりましたよね。要は OU = 部署とかそういう組織単位のことを意味すると思います。具体的にはユーザーとかコンピューターアカウントを入れる器みたいなものだと思ってください。

OU = ユーザーアカウントとかコンピューターアカウントを入れる器みたいなもの

OU の作成方法

1. スタートメニューをクリックし、「dsa」と入力し、「Active Directory ユーザーとコンピューター」をクリックする。

2. このように 「Active Directory ユーザーとコンピューター」 スナップインが起動します。

3. 下記画像のようにドメイン名を右クリックして「新規作成」→「組織単位 (OU)」をクリックする。

4. OU に付けたい名前を入力する。※後で変更できます。

「間違って削除されないようコンテナーを保護する」のチェックは入れておくと、チェックを外さない限り削除ができないので入れたままにしておくと良いでしょう。

5. OU が作成されました。

OU の作成は簡単ですね!

どのようなOUの構成が良いのか

OU は簡単に作れましたが、OU をどうやって適切に作るかがなかなか考えるところではあります。画一的に「これ!」というものはありません。会社や学校、組織などによってシステムの環境が異なるのでそれに合った構成を考えてあげる必要があるからです。

そもそもユーザーとコンピューターを入れる器として考えることは必要ではありますが、GPOの設計をベースに考えると良いかと思います。

というのは、企業は PC にインストールされている OS や部署によって異なる GPO を適用する必要があるケースが多い為です。

また、PC でも物理 PC や VDI によって GPO も異なるかと思いますので、その辺は現状どういった環境で使っているのか、今後はその環境に大きな変化があるのかを把握した上で決めてゆくと良いでしょう。

かと言って余り多くの OU を作ってしまうと後で管理が大変なのですが、少なすぎるとかえって柔軟性に欠けるので適切な構成が必要です。

OUの設計が決まっていない場合にお勧めしたい構成

小規模の環境であれば、とりあえずサーバーと PC 用の OU の 2 個と、ユーザーの OU の2つがあれば良いでしょう。

あとは組織の拡張に合わせて OU を増やしたり、または GPO の設計に合わせて構成すれば良いでしょう。よく考えずにやっていると管理が煩雑になってしまうのでよく考えて決めると良いでしょう。ここでポイントなのはあまり細かくして作らないことだと思います。

個人的な意見としては、なるべく上の階層から共通した GPO が適用され、下の階層になるにつれ細分化された GPO が適用される構成になっていれば管理がしやすいかと思います。

Excel か何かで一旦整理して可視化すると整理ができますのでまとめてみると良いでしょう。

最後に

いかがでしょうか。

GPO は作るのは本当に簡単ですが、運用面で経験がないとなかなか考えることが多いのではないかと思います。

ユーザーの依頼で沢山実装すると、当然ながら複雑にもなります。後で訳がわからなくならないよう、GPO の作成や編集などの都度、Excel を使い台帳ベースで整理することが必要だと思います。

以上、最後までお読みいただき有難うございました!

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りな性格です。

人気記事

1

こんにちは!そーまんです。 今回は、PC に適用されている GPO を確認する方法について書きました。 本題に入る前に、一応参考までにGPOの適用タイミングについての記事をここに貼りましたので、必要に ...

2

こんにちは!そーまんです。 今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは前置きからです。 まずはじめに 組織では PC のラ ...

3

こんにちは!そーまんです。 今回は、グループポリシー (GPO) を使って、特定のコンピューターに対して、ドメインユーザーに ローカル管理者権限 (以下は特権と記載) を付与する方法について書きました ...

4

こんにちは!そーまんです。 今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 Windows 10 の検証環境をいじってたらサイン ...

5

こんにちは!そーまんです。 今回は、ユーザープロファイルを削除する方法について書いてみました。 企業の場合よくあることですが、1 台の PC を共有 PC として複数人で使ったり、また余り無いかもしれ ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!そーまんです。 今回は、Windows Server 2019 で NTP サーバーと同期する方法について書きました。 NTP サーバーの必要性や時刻同期の重要性を理解することは社内のシス ...

-Active Directory
-