質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.59%

ActiveDirectoryでのユーザーの置き場所

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 1,418

score 151

お世話になっております。

現在WindowsSever2012R2の
ActiveDirectory設定で迷っております。

現在業務を引き継いだのですが
「ActiveDirectoryユーザーとコンピューター」
には

+DOMAIN
  +営業 OU
  +開発 OU
  +G_Eigyou  セキュリティグループ
  +G_Kaihatsu セキュリティグループ
  +Users コンテナー
    +ユーザーA
    +ユーザーB
    :


との構成になっていました。

現在まとめようとしているのですが
例えば営業のユーザーAがいた場合
ouの営業に入れるか
G_Eigyouに入れるか
どちらの方がよいのでしょうか?

また
G_Eigyouを利用する場合は
Usersに入れた方が良いのではないでしょうか?

ADはファイルサーバーのアクセス権に利用しております。

基本的な事で申し訳ないのですが上記お問い合わせいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

0

Active DirectoryにおいてOUを利用するメリットはGPOの制御をOU単位で行えることにあります。
※他にもあるかもしれませんが...

セキュリティグループにおいては、GPOの制御単位としては使用できず、アクセス権の制御単位として使用します。

現在まとめようとしているのですが 

従って、OUとセキュリティグループでは単位のコンテキストが全くことなるものであり、纏められるものではありません。

ouの営業に入れるか 
G_Eigyouに入れるか 

オブジェクトはOU間の移行はできますが、セキュリティグループに追加したからといって、OUの所属を外れるものではありません。
例えば、オブジェクトAが「OUの営業」にあったとして、オブジェクトAをセキュリティグループ「G_Eigyou」に追加したとしても、「OUの営業」から移動するものではなく、所属は「OUの営業」のままです。

G_Eigyouを利用する場合は 
Usersに入れた方が良いのではないでしょうか?

比べる単位が違うので、ここで比較対象となるのは、「OUの営業」と「Users」が相応しいでしょう。
GPOエディタで確認されてみては如何でしょうか。
前任者が「OUの営業」といわれるものにGPOを割り当てているのであれば、対象のユーザオブジェクト(またはコンピュータオブジェクト)を所属から外した場合に、GPOの恩恵を受けられなくなります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/09/29 17:48

    度々のご連絡ありがとうございます。

    意思伝達の瑕疵があるのかも知れませんが
    Usersで 新規作成>グループ で作成出来ていて
    引継前の担当者はコチラにユーザーやグループを置いているのです……

    これが正しいのか迷っております。

    「基礎 ActiveDirectory」などでググっても良いサイトが見当たらないので困ってます…
    良いサイトをご存知でしたらお教え頂けますと嬉しく思います。

    キャンセル

  • 2016/09/29 18:01

    OUではなく、セキュリティグループのことを言っていますか?

    そうであるなら、Users以下に作成するか別の場所に作成するかは管理者の好みとなります。
    Users以下にはActive Directoryが提供するデフォルトのアカウント/グループが登録されておりますので、これと分割して自サイトのアカウント/グループの視認性を高めたいのであれば、ユーザ定義OUを作成の上、その下に作成するのも一つの手段だと思います。

    キャンセル

  • 2016/09/30 09:10

    度々のご返答ありがとうございます。

    >OUではなく、セキュリティグループのことを言っていますか?
    はい。言葉足らずで申し訳ございませんでした。

    >そうであるなら、Users以下に作成するか別の場所に作成するかは管理者の好みとなります。

    了解しました。
    OUとセキュリティグループの理解がおぼろげながら分かってきました。
    この度はご返答ありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.59%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る