• ベストアンサー

ActiveDirectoryのOUとグループの違いについて

すみません、タイトルのままなのですが、 ACtiveDirectory環境におけるOUとグループの違いに ついて教えて下さい。 ある書籍には、 「OUはグループとは異なり、共有資源の アクセス設定対象に出来ない」 と書いてあったのですが、同書籍内に、 「アクセス権を設定する単位としてOUを使用できる」 と記述してあり、混乱しています。 できれば、グループではコレが出来るがOUでは出来ない、 やその逆パターンといった感じで説明していただけると 助かります。 よろしくお願い致します。

質問者が選んだベストアンサー

  • ベストアンサー
  • raly-raly
  • ベストアンサー率29% (24/82)
回答No.1

こんにちは。 わたしもACtiveDirectoryの運用はまだまだ初心者なのですが、OUはドメインの中に作成する「サブ母集団」のように理解しています。 ドメインAdminはドメイン全体にAdmin権限がありますが、 OUを設定することで、あるユーザやグループに、OUの中だけでAdmin権限の一部を与えることができます(委任)。 また、見た目(エクスプローラ)的にいろいろな共有物を整理するのにいいのでは、と思っています。

  1. カテゴリ
  2. パソコン・スマートフォン
  3. Windows
  4. Windows NT・2000

関連するQ&A

  • ActiveDirectoryのグループでのアクセス権

    ActiveDirectoryのグループについて教えてください。 ActiveDirectoryでユーザーアカウントを作成しました。(彼にA) これをBグループのメンバーに登録しました。 ドメイン参加しているファイルサーバの共有フォルダのアクセス権を Bグループにフルコントロールで付与しました。 ところが、ユーザーAは、そのフォルダにアクセスしようとすると 「アクセスが拒否されました」となります。 ちなみに、フォルダのアクセス権にBではなく、ユーザーA自身を フルコントロールできるようにすると、きちんとアクセスできます。 共有フォルダを複数の人でアクセスできるにするには、 グループではなく、ユーザーひとりひとりを登録しないと いけないのでしょうか。

  • OUのグループポリシーを適用させるには

    例えば、ドメインのグループポリシーでパスワードのポリシーを設定して、OU単位でドメインとは異なるパスワードのポリシーを設定したいのですが、OUで設定したパスワードのポリシーが適用されません。 色々と調査した所、ドメインのグループポリシーとOUのグループポリシーの両方が設定された場合は、OUのグループポリシーが適用されると書いてあるのですが・・・。 調査内容------------------------------- (1)ローカル・コンピュータのポリシー (2)サイトのポリシー (3)ドメインのポリシー (4)親OUのポリシー (5)子OUのポリシー (1)から(5)の順序でグループポリシーが適用される。 ---------------------------------------

  • ActiveDirectoryポリシーの設定が

    ActiveDirectoryで部署ごとにOUグループを作成して管理しています。 そのOUグループ毎にポリシーを設定して適用しているのですが バッチファイルを実行するポリシー(※以下ポリシーA)だけ一部のOUグループに適用されません。 ポリシーAを設定してgpupdate /forceで適用をかけてみるのですが変わりません。 gpresult /Zで適用状況を確認すると【フィルターで除外された】と表示されました。 このフィルターの設定の解除方法もしくはフィルターに引っかからないようにするにはどうすればよいのでしょうか?

  • ActiveDirectory グループポリシー

    クライアントへActiveDirectoryとは別のサーバ上にあるフォルダをショートカットとしてデスクトップへ配布したいと考えております。 設定内容は画像の通りです。 グループポリシーを設定後にクライアントを再起動しましたが適用されておりませんでした。 クライアントからフルパスを指定するとアクセスは可能です。 何かわかる方がいらっしゃればご教授頂けますと幸いです。

  • Activedirectoryを降格するとき

    Windows2000Serverをファイルサーバーとして利用しているのですが、この度、事情があり ActiveDirectoryに昇格した設定を降格して、通常のワークグループサーバーにしたいのです。 そこで、以下の件を教えていただけませんでしょうか。 1.降格して、ワークグループサーバーにした場合、このサーバーにアクセスしているWindowsXPのパソコンのログインに関して、特に何も変更しないで従来通りログインできますでしょうか。 2.上記1.の場合ですが、サーバー内の共有フォルダーの設定を 再設定する必要があるかとは思います。その場合、サーバーのフォルダーの設定をやり直すことになるのでしょうか。 ※特にアクセス制限を行わなくても良いのですが、一番簡単に行える方法を考えております。 3.ActiveDirectory降格の方法は、regeditから行っても問題ないでしょうか。設定内容はバックアップしておきます。万が一の場合を考えて。 結論として、ActiveDirectory降格変更において、サーバーの設定変更はOKなのですが、アクセスしているクライアントパソコンの設定を変更しないでできないかなと考えております。 そんなうまい方法はないのでしょうか。

  • ActiveDirectoryについて

    ActiveDirectoryについて質問します。 1.サーバにてActiveDirectoryを設定し、ファイルサーバとして使用しています。 サーバ内の共有ファイルを使用するネットワーク内のクライアントは、サーバのユーザとコンピュータに登録しておかなければならないことは存じ挙げています。 で、悩んでいますところは、 初めて作成したユーザはクライアントからサーバ内の共有ファイルへのアクセスは可能なのですが、 そのユーザを一度でも削除し作成し、作り直すと、適切なアクセス権限をつけているにも関わらず2度とファイル閲覧が不可能となってしまうところです。 どこかにゴミ?(設定ファイル)が残っていると思うのですが、削除の仕方、もしくは解決法ご存知でしたら教えてください。 2.ActiveDirectoryを作成したうえで、クライアントはドメインへの参加の有無を選ぶことができますが、参加するメリットがいまいちわかりません。小さなことで構いませんのでお聞かせください。ただし、ネットワーク内にドメインコントローラは1台しかなく、今後も他のドメインコントローラに接続する予定はありません。ですので、フォレスト等との考えは省いてください。私が知っている範囲内では、移動ユーザプロファイルの作成しか思いつきません。 よろしくお願いします。

  • ActiveDirectoryのグループポリシーの設定について質問です

    ActiveDirectoryのグループポリシーの設定について質問です。 InternetExplorer(IE)のセキュリティゾーン(イントラネット)を変更して ドメインに参加しているクライアントPCのIEのセキュリティゾーンの設定をコントロールしたいのですが、 以下の手順で行った限りではまったく反映されていないようです。 ・GPOの[ユーザーの構成]-[Windows の設定]-[Internet Explorerのメンテナンス]より  セキュリティの変更(イントラネットの未署名のActiveXを有効 ・上記のGPOを指定のOUへ設定 ・クライアントPCから上記ドメインにログオン(指定OU内のユーザ) ・IEを起動 → ツール→インターネットオプション→セキュリティを確認  →変化なし ActiveDirectoryのサーバ:windows2008server クライアントPC:windows2000 SP4、IE6 SP1 ちなみにやりたいことは、イントラネット上のサイトでVBSを使用しており、そこからExcelマクロを 実行しているのですが、その際に未署名のActiveXがデフォルトのセキュリティでは弾かれてしまうのを ユーザのオペレーションなく有効にしたいのです。 どんなことでも構いませんので、何かご存知の方いらっしゃいましたら、よろしくお願いします。

  • ActiveDirectoryの信頼関係について

    ActiveDirectoryの信頼関係について Windows2003のActiveDirectoryでAドメインからBドメインへ信頼関係を設定する方法を教えてください。 やりたいことはAドメインのユーザがBドメインの共有フォルダにアクセスできることです。

  • ActiveDirectoryのアクセス権について

    お世話になります。 表題の件ですが、現在Win2000サーバーにてActiveDirectoryのアクセス権設定を行っているのですが…。 フォルダの階層で下の階層にのみフルアクセスの権限を持たすことは可能でしょうか? 例) フォルダAの中にフォルダBがあり、Bの中にCのフォルダがあるとします。 (フォルダAは共有されている状態です) この条件で、A,B,Cの構成を変えたくないので、A,Bを読取のみのアクセス。 Cのフォルダ内は権限のあるグループで自由に変更したいので、フルアクセスにという設定は可能でしょうか? アドバイス宜しくお願いします。

  • ActiveDirectoryで印刷を制御する方法

    WindowsServer2008が会社にあり、ActiveDirectoryでネットワークが構築されています。 そのActiveDirectoryを利用して、特定のユーザーグループのみ、 印刷を許可しないように設定できるかどうか、教えてください。 -----------------当方の環境------------------ ・プリンタドライバは共有ではなく、各PCにローカルでインストール ・PCは数十台あり、WindowsXP ProとWindows7 Proが混在 ・印刷を許可したくないユーザーグループは、DomainUsersに所属 --------------------------------------------- また、Domain adminsに属しているグループの、特定のユーザーのみ印刷不可にすることは可能ですか? ActiveDirectoryは以前の担当者が構築したものであり、詳細がわからず困っております。 マイクロソフトのサイトを参照しても要領を得ない為、質問させていただきました。 回答よろしくお願い致します。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する