ActiveDirectoryでのOU作成の注意点と方法

前へ 次へ
このQ&Aのポイント
  • Windows2008R2サーバでドメイン環境を構成している社内で、従業員のPCを整理するために部署毎にOUを作成し、ユーザを移動する方法についての注意点をまとめます。
  • 移動の際には、ユーザがログインしていない時間帯を選ぶことが重要です。また、事前にバックアップを取ることや、移動時のユーザ通知やサポートを行うこともおすすめです。
  • 今後グループポリシーの展開を計画している場合は、移動時にグループポリシーの影響を受けないように注意する必要があります。
回答を見る
  • ベストアンサー

ActiveDirectoryでのOU作成

度々恐れ入ります。よろしくお願いします。 社内でWindows2008R2サーバでドメイン環境を構成しています。 従業員のPCは40台程度で、8割がWindows7、残りがWindowsXPです。 現在ですが、ADサーバの「ユーザとコンピュータ」画面より、 「Users」や「Computers」というフォルダがあると思いますが、 現状階層化されておらず、40ものコンピュータ名やユーザ名がズラッと並んでいる状態です。 そこで部署毎にOUを作成し、上記の40人を各OU内に移動して整理しようかと思います。 ※今後グループポリシーの展開を計画していることもあり その移動の際に、注意すべき点などはありますでしょうか?。 例えば移動の時間帯はユーザがログインしていないこと、など・・。 ご意見を頂けますと助かります。 アドバイスを頂ければ幸いです。

質問者が選んだベストアンサー

  • ベストアンサー
  • maesen
  • ベストアンサー率81% (646/790)
回答No.2

>「Users」や「Computers」というフォルダがあると思いますが、 細かいことですが、これらはコンテナといいます。 >その移動の際に、注意すべき点などはありますでしょうか?。 >例えば移動の時間帯はユーザがログインしていないこと、など・・。 グループポリシーがリンクされていないOUにオブジェクトを移動することは問題ありません。 ユーザーは移動したことを意識しません。 グループポリシーがリンクされたOUに移動する場合は、グループポリシーの内容によってはユーザーが変化を意識する可能性があります。 グループポリシーはデフォルトで約90分毎に更新されますので、タイミングで新しいグループポリシーが有効になります。 この場合は事前にユーザーに内容を周知するなどの対応が必要かもしれません。

その他の回答 (1)

  • anmochi
  • ベストアンサー率65% (1332/2045)
回答No.1

ポリシーの適用範囲ごとにOUを分けるのはいい考えです。 強いて言えば、Windows Storage Server 2008 R2のNASなどAD配下に置く事ができるファイルサーバーでWindowsベース(共有またはNTFSアクセス権)のACLを利用したアクセス制御を行う場合、ドメイングループやドメインユーザーで設定する事になります。これはOU階層とは関係ありません。 OUは部署ではなくWindowsをどこまで制御できるか(システム管理者、正社員、準社員、バイト)という区分けにしておいて、部署はそれとは別にドメイングループで分け、NASの共有のアクセス権限はドメイングループごとに行うというようなAD設計もアリでしょう。 > 例えば移動の時間帯はユーザがログインしていないこと、など・・。 ここらへんはあんまり気にしなくていいです。 AD配下の各端末がグループポリシーを適用するタイミングは各自適当に決めてやってくれます(gpupdate.exe /forceとかで適用を強制する事もできます)。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Windows系OS

関連するQ&A

  • ADでのWSUSの運用について

    現在ActiveDirectoryでのWSUS運用を計画していて、 ADにOUを作成してOU毎にWindowsupdateの管理を分けて 運用をしたいと思っています。 現在はADに特にOUはないのですが、新たに「WSUS_TEST」という OUを作成して、このOUのグループポリシーにWSUSの設定をしたい と考えています。 その際にOU「WSUS_TEST」に所属させるのは、AD内のComputersにある コンピュータを移動して所属させればよいのでしょうか? (Users内のユーザーは参加させる必要なし?) Domain名 |-Computers |-Uses |-WSUS_TEST(←新しく作ったOU。ここにComputersから移動させる?) |-etc… またこのOUのグループポリシーのWindowsUpdateの箇所の設定 (参照サーバの指定やWSUSのグループ指定、再起動の設定等) をしてあげれば、このOUにだけWSUSの設定が反映される 認識でよいでしょうか? すいませんがご教授くださいませ。

  • ActiveDirectoryで高い層のOUを指定する

    以下のように多階層でOrganizational Unitが作成されています。 ou1 - ou1-1    - ou1-2    - ou1-3 - ou1-3-1 ou2 - ou2-1    - ou2-2 ou3 - ou3-1 - ou3-1-1 この状態で、ou1-1 に所属するユーザー情報を取得したいのですが、その方法がわかりません。 LDAP://xxxxx.xxx/OU=ou1-1,dc=xxxxx,dc=xxx と指定すると、以下のエラーが出てしまいます。 System.DirectoryServices.DirectoryServicesCOMException: サーバーにそのようなオブジェクトはありません。 LDAP://xxxxx.xxx/OU=ou1,dc=xxxxx,dc=xxx と指定すればユーザー情報は取得できますが、1-1だけでなく、1-2,1-3のユーザー情報も一緒に取れてしまいます。 1-1のユーザーだけを指定するにはどうすればいいのでしょうか?

  • OUを移動してもポリシーが変わらない

    Windows2003でActiveDirectoryを構築しておりますが、挙動が判らないことがあり、 経験者の皆さまのお知恵を拝借したく存じます。 ドメイン参加しているPCのアカウントのポリシーを変更する際に、 「ActiveDirectoryユーザーとコンピュータ」の画面で、USR2というOUに所属しているアカウントを ドラッグ&ドロップしてUSR1というOUに移動させました。 USR1とUSR2はUSRという階層の下にあり、USRはALLというドメインの配下にあります。 ここで、USR2に対して設定してあるGPO(Windowsの設定-IEのメンテナンス-接続/プロキシの設定)がUSR1に移動させた後も外れない状態になってしまっています。 PCを何度もログアウトしたり、再起動しても同じです。 また、そのGPOは同じレベルのUSR1及び上の階層のOUでも使用していません。 このユーザーは色々なソフトをインストールしてあるので、アカウントを作り直す訳には いかないので困っています。 こうしたGPOによる設定内容をリフレッシュする方法はあるのでしょうか? よろしくお願い致します。

  • activedirectoryについて

    現在Windows2003Serverでドメイン環境の勉強をしています。 ADを組んでドメインコントローラにはすることができました。 ここで移動プロファイルについて教えてください。 まずADでユーザを作りそのユーザのプロファイルをサーバ側の任意のフォルダに指定します。その指定した任意のフォルダを共有かけてeveryoneフルコントロール等のアクセス権を与えます。 ここでクライアントをドメインに参加させて最初のログインではそのクライアントのDefault Userから読み込まれてログオフするタイミングでサーバ側へプロファイルを保存するという動作をすると思うのですが、その後同じコンピュータでログインするとその後はクライアントはサーバ側のプロファイルを読むのですか?それともローカル側に作られたプロファイルを読むのですか? もしローカル側のプロファイルを読むのだったらそのユーザで違うコンピュータでログインしたときにそこでは新たにプロファイルが作られてその作られたプロファイルがサーバにコピーされるのでしょうか? 動きについて分からないので教えてください。

  • OUのグループポリシーを適用させるには

    例えば、ドメインのグループポリシーでパスワードのポリシーを設定して、OU単位でドメインとは異なるパスワードのポリシーを設定したいのですが、OUで設定したパスワードのポリシーが適用されません。 色々と調査した所、ドメインのグループポリシーとOUのグループポリシーの両方が設定された場合は、OUのグループポリシーが適用されると書いてあるのですが・・・。 調査内容------------------------------- (1)ローカル・コンピュータのポリシー (2)サイトのポリシー (3)ドメインのポリシー (4)親OUのポリシー (5)子OUのポリシー (1)から(5)の順序でグループポリシーが適用される。 ---------------------------------------

  • ActiveDirectoryのDNSについて。

    ActiveDirectoryのDNSについて。 Windows2000 ServerにてADが構築された環境があります。 ドメインコントローラが2台あり、2台ともDNSサーバーとして稼動しています。 ドメインに参加しているコンピュータからは、ドメインに参加している他のコンピュータの情報が名前解決ができるのですが、ドメインに参加していないコンピュータ(Windows)やLinuxOSからはドメインに参加しているコンピュータ名が名前解決できません。(nslookupでもダメ) ただし、www.yahoo.co.jpなど、ドメイン外の名前解決は可能です。 ドメインに参加しているコンピュータの情報を引くためには、ドメインに参加していないとだめなのでしょうか?

  • グループポリシー(壁紙の設定)について

    Active directoryをインストールしたサーバ(windows 2000 server)を利用して ユーザに統一された壁紙を設定するために、設定したいOUを選択して、グループポリシーを起動させて 画面右端の"ツリー"の[ユーザの構成]→[管理用テンプレート]→[デスクトップ]→[Active desktop(以下Ad)]と展開して "Adを有効にする"を有効にして、"Adの壁紙"を有効にし、壁紙名と壁紙のスタイルを指定しました。 そして、そのOUに属するユーザでクライアントPCからドメインにログオンしたところ、指定した壁紙は表示されるのですが、それまで表示されていたデスクトップアイコンが非表示になってしまいました。 ユーザがログオン時に"壁紙もデスクトップアイコンも"表示させられるようなグループポリシーの設定方法を教えてください。 よろしく、お願いします。

  • コンピュータアカウントの作成について

    はじめまして。どうぞよろしくお願いいたします。 ドメインに参加していないコンピュータを、 ADの指定のOUにコンピュータアカウントを作成したいと思っております。 ドメイン名:ABC.net OU:tokyo コンピュータ名:PC-01 どうしてもVBScriptでプログラムを作成しなければならないのですが、 WMIかコマンドを使用することでADの指定OUにコンピュータアカウントの作成はできますでしょうか? 知識がなく困っております。 何か参考になるサイトやサンプルを教えて頂けると大変嬉しいです。 どうぞよろしくお願い致します。

  • ActiveDirectory登録ユーザに関して

    教えてください。 この度「WindowsServer2008R2」サーバで「AD環境」を構築します。 そのドメイン配下には、100台ほどの「Windows7端末」。 使用するユーザは、200人程度。 この200名をADに登録するのですが、「Windows7」にログオンする時は200名の登録ユーザ とは関係の無い「特定のユーザ」で全員ログオンさせたいと思っています。 このような事が実現可能なのでしょうか? いまいちイメージが沸かなくて、申し訳ないのですがご教授願います。

  • OU名で共有フォルダをマウントさせたい

    はじめまして。 Windows2000 Server SP4でドメイン+ファイルサーバを運用しています。 現在、ドメインサーバには各課のユーザIDが作成してあり、 ログオンバッチにて、各課の共有フォルダをマウントするようになっています。 今後、課IDから個人IDへの切り替えに伴い、各課OUの下に個人IDを登録予定ですが、 個人IDになっても、課の共有フォルダはマウントは行いたいです。 効率的なOUの設定方法について教えて頂きたく。 また、個人IDごとに共有フォルダのマウント設定を行うと、 人事異動の際に手間がかかります。 そこで、○○会社のポリシーでにてログオン時に、OU名から 該当する課の共有フォルダをマウントさせることが可能か についても教えて頂きたく。 以下、個人IDに切替後のOU例です。 + ○○会社  + soumu (課OU)   - soumu1 (個人ID)   - soumu2  + sizai (課OU)   - sizai1 (個人ID)   - sizai2

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する