• ベストアンサー

Active Directoryのユーザー管理

ADでユーザー管理をする時って、 会社であれば、部署ごとのグループを作って、ユーザーを作って、ユーザーをグループに所属(追加)してGPOを適用して・・・となると思うのですが、 例えば、ユーザーが2つ部署などに所属していた場合は、どうするのでしょうか? ex) user01が営業部と総務部の両方に所属するような場合。

質問者が選んだベストアンサー

  • ベストアンサー
  • maesen
  • ベストアンサー率81% (646/790)
回答No.2

>会社であれば、部署ごとのグループを作って、ユーザーを作って、ユーザーをグループに所属(追加)してGPOを適用して・・・となると思うのですが、 セキュリティグループと、GPOを適用する組織単位(OU)は設計が異なりますのできちんと分けて考えたほうが良いと思います。 GPOを適用する先はOUです。 だからOUは、適用するGPOが異なるものを網羅するように設計するのが一般的だと思います。 必ずしもこれが組織と同一になる必要はありません。(というか組織通りにきっちり分かれないのが普通だと思います) 例えば全社的にポリシーが同じならばOUは一つで良いし、 営業部はスクリーンセーバを強制するが 総務部はスクリーンセーバを自由に設定できるように ポリシーが部署ごとに異なるのであれば部署ごとのOUにするというようなことです。 ちなみにユーザーアカウントが2つのOUに同時に所属することはできません。 そのため、OUを部署ごとに作成した場合、複数部署に所属する人はどの部署のポリシーを適用するのかを検討する必要があります 次にセキュリティグループはセキュリティプリンシパルの設定です。 リソースに対するアクセス許可などで使用することになると思います。 こちらもセキュリティグループと部署が同一になる必要はありませんが、概ね部署ごとにアクセス出来るリソースが異なることが多いのでこちらは部署ごとのグループになることが多いです。 こちらは複数のセキュリティグループに所属でき、所属しているセキュリティプリンシパルが適用されるので問題ないです。 >例えば、ユーザーが2つ部署などに所属していた場合は、どうするのでしょうか? 従ってこの回答としては、 ・セキュリティグループの場合は両方の部署に追加する ・OUの場合はOU構成とGPOの設計を再考するか、どこのポリシーに従うかを選択しそのOUに所属する という感じになるかと思います。

その他の回答 (1)

  • IDii24
  • ベストアンサー率24% (1597/6506)
回答No.1

二つのグループに登録すればよいだけです。ポリシーは両方が適応されます。 あるいは兼務者用のグループをつくりポリシーを作るなど。 組織に対応させるかどうかはその会社の決め事です。別に対応させなくても良いという考え方で作成も出来ますし、ADのスキーマを拡張させて独自項目で管理することで分ける事も可能です。 設計は計画的に。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • Active Directory ユーザーの管理

    にわか管理者です。よろしくお願いいたします。 管理者が急きょ不在になりまして私が代理の管理者になっております。 アクティブディレクトリ仕組みを勉強しております。 タイトルのユーザー管理についてですが 今現在部署ごとにOUを作成して所属させていますが、 ユーザーが一時的に他の部署に異動する場合は 今現在のOUから一時的に所属する部署のOUに移動という作業になるのでしょうか そして元の部署に戻るときには元のOUに移動するという作業になりますでしょうか よろしくお願いいたします。

  • GPOとグループアカウント

    以下のようにOUを構築しました ドメイン |-OU:ログ吐き出しあり |  |-グループ:A | |-OU:総務 | |-ユーザー:test1 | |-OU:庶務 |-ユーザー:test2、test3 「OU:総務」に、「test11ユーザー」を作成しています。 「OU:庶務」に「testユーザー2」「test3ユーザー」を作成しています。 「OU:ログ吐き出しあり」に、「test1ユーザー」「testユーザー2」が属する「グループA」 を作成しています。 「OU:ログ吐き出しあり」に、ユーザーログオン時に、ログインした時間等を吐き出すスクリプトを作成し、「名前:GPO1」の「ユーザーログオン」項目に仕込みました。 それを「OU:ログ吐き出しあり」にGPO1を適用しました。 この状態で、「test1」「test2」でログオンしたところ、 ログオンスクリプト(=GPO)が走らないのです。 当然、「OU:ログ吐き出しあり」に、「test1」「test2」を移動させると ログオンスクリプトが走りログが吐き出されます。 グループA(=グループアカウント)には、GPOは適用されないのでしょうか? グループAに適用され、グループAに属しているtestとtest2に間接的にGPOが適用されると思っていたのです。 どうしても、「test3ユーザ」には、「GPO1」を適用させたくないのです。1と2だけログを出力させたいのです。 また、可能であればOU構成は変えたくないのです。 どなたか良い解決方法をご存知の方がいらっしゃいましたら ご教授のほうよろしくお願いします。

  • ADに作成するグループについて教えて下さい

    ドメイン環境にグループを作成した場合、どこに格納するのが一般的なのでしょうか? 例えば「営業部OU」を作成し、その配下に営業部に所属する「営業部ユーザー」を複数人作成します。 その営業部ユーザーを「営業部グループ」を作ってそこに所属させます。 ============================ 営業部OU   ・営業部員A(営業部グループ所属)   ・営業部員B(営業部グループ所属)   ・営業部員C(営業部グループ所属) ============================ このような構成になった場合、「営業部グループ」自体のオブジェクトはどこに格納すべきなのでしょうか? 「営業部OU」に格納するか、「Users」グループに格納するか。 OUにグループポリシーはリンクしますが、グループには適用されないので、グループをOUに格納するのは見栄え以外の意味は無いですよね? 一般的にはどうするものなのでしょうか? 経験者の方、アドバイスお願いします。

  • Active Directory のGPOリンク

    Windows server 2003のADを勉強中です。 下記のサイトの中段部分のGPOのリンクの説明って間違ってませんか? http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy02/gpolicy02_02.html 例) 「A」と言う名前のOUに 「a」というGPOをリンクしている。 ここに「B」という新しいOUをつくり、このOUには「A」と同じグループポリシーを与えたい場合。 そんなときは「B」OUに「a」GPOをリンクさせてやるだけでよい。 この考え方であっていますか?

  • Active Directory情報

    ADを利用して運用を行っています。 今回、棚卸しを行う事となったのですが、ユーザ名、グループ等をエクスポートする事は出来たのですが、グループに所属しているメンバー一覧を出力させるにはどうすれば良いでしょうか? そのような機能を持っているフリーソフトなどありました教えて下さい。

  • 管理部門の定義

    管理部門とは、営業部以外のことを指すのでしょうか。 例えば、総務、人事、経理、財務、法務、情報処理、営業、と考えた場合、どの部署が管理部門ということなのですか。またなぜ「管理」という言葉を使うのでしょうか。ご存知の方、よろしくお願い致します。

  • Windows ドメインでの管理者ユーザについて

    Windows Server 2008 R2でドメイン環境を構成しており、 複数台のメンバーサーバが所属しております。 そのメンバーサーバには、それぞれ個別の業務用アプリケーションが搭載されております。 今度、アクティブディレクトリ(AD)上のAdministrator(ビルドインユーザ)以外にも、 AD上に作業用のためのAdmin権限を持った作業用ユーザを作成することになりました。 そこでご教示頂きたいことがあります。 AD上のAdministrator(ビルドインユーザ)では、 所属グループがAdministrators、Domain Adminsとなっているため、 ドメイン内のどのメンバーサーバでもAdmin権限で作業が出来ることになるかと思いますが、 (1) 他のメンバーサーバではAdmin権限を利用出来ない、メンバーサーバ単位での Admin権限を持った作業用ユーザをアクティブディレクトリ上に作成することは可能でしょうか。 他のメンバーサーバ上で稼動するアプリケーション環境に対して、   その環境をいじくらせないようにするためです。 (所属するグループをAdministratorsのみにしてDomain Adminsグループに所属させない等)   やはり、この場合は、そのメンバーサーバ内のローカルユーザ"Administrator"と同等の 権限を持った作業用ユーザを作成することになるのでしょうか? 以上、ご教示のほど、なにとぞ、宜しくお願い申し上げます。

  • バッチファイルによる ユーザーのグループ間移動

    Windows 2003 serverを使用しています。 各部署ごとに各共有フォルダがあり、部署員はそこに必要な書類を 読み書きすることで業務を進めています。 例 フォルダ名「営業部」 ユーザーグループ「eigyoubu」 ユーザー「suzuki」「satou」「tanaka」「yamada」 4名の営業所員はユーザーグループ「eigyoubu」に所属し 「営業部」フォルダに「フルコントロール」のアクセス権を設定し使用しています。 人事異動でユーザー「suzuki」「satou」が別部署の 「広報部」に移ることになりました。 広報部も同様の構造なため「kouhoubu」に「suzuki」「satou」を 移動させる必要が出てきました。 この作業をbatファイルで実行したのですがどのように記述すればよいのでしょうか? 単にフォルダに対してユーザーのアクセス権の移動であれば cacls c:\営業部 /e /r suzuki cacls c:\営業部 /e /r satou cacls c:\広報部 /e /g suzuki:f cacls c:\広報部 /e /g satou:f 権限の削除+付与で問題ないのですが、グループ間の移動がわかりません。 ご存知の方いらっしゃいましたら どうぞご教示ください。 よろしくお願いします。

  • openLDAPで管理できる情報について

    ユーザをLinuxベースのopenLDAPで管理しようと計画しております。 そこで質問があります。 Q1.openLDAPで管理できる情報は何があるのかご教授ください。  WindowsのActiveDirectoryのユーザ管理のように、  ユーザの部署、メールアドレスや、連絡先といった、  パスワード以外の情報を管理できるでしょうか? Q2.また部署が管理できる場合、以下のイメージのような  階層的なユーザ管理はできるでしょうか? <イメージ>  営業部─1課─Aさん       ├2課─Bさん       └3課─Cさん           └Dさん Q3.上記のイメージで3課をグループとして扱えますか?  3課に属するユーザのみにアクセスを許可するような設定が  できるのでしょうか? 初歩的な質問ですが、何卒よろしくお願い致します。

  • 管理者権限のユーザーが分かりません

    私が所属している会社で、管理者権限のあるユーザーとパスワードが分からなくなってしまいました。 WindowsXP Professional SP2です。 元々管理者権限だったユーザーのユーザー名を変更したら、 知らない間に管理者権限が外されてしまったようです。 (通常有り得ないので、誰かがいじったのか・・・?) そして、Administratorユーザーのパスワードも誰も知りません。 はたまた、Administratorユーザーが存在するかすらもう分かりません。 一応、管理者権限ではないユーザーであればログインは出来るようです(多分Userグループ)。 どうにかして、ログインしたユーザーに管理者権限を付与するか、 管理者ユーザー、パスワードが分かる方法はありますでしょうか?(後者は有り得ない・・・) 出来ればリカバリーは避けたいと祈るばかりです。 また、どこにユーザー情報は保持されているものなのでしょうか?分かったら好き勝手にいじれそうですが、 設定するからにはどこかにあると思うのですが・・・。 宜しくお願い致します。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する