ActiveDirectoryでのユーザーの置き場所

お世話になっております。

現在WindowsSever2012R2の
ActiveDirectory設定で迷っております。

現在業務を引き継いだのですが
「ActiveDirectoryユーザーとコンピューター」
には

ActiveDirectory
1+DOMAIN
2  +営業 OU
3  +開発 OU
4  +G_Eigyou  セキュリティグループ
5  +G_Kaihatsu セキュリティグループ
6  +Users コンテナー
7    +ユーザーA
8    +ユーザーB
9    ：

との構成になっていました。

現在まとめようとしているのですが
例えば営業のユーザーAがいた場合
ouの営業に入れるか
G_Eigyouに入れるか
どちらの方がよいのでしょうか？

また
G_Eigyouを利用する場合は
Usersに入れた方が良いのではないでしょうか？

ADはファイルサーバーのアクセス権に利用しております。

基本的な事で申し訳ないのですが上記お問い合わせいたします。

行動規範の内容に同意します

回答1件

ベストアンサー

Active DirectoryにおいてOUを利用するメリットはGPOの制御をOU単位で行えることにあります。
※他にもあるかもしれませんが...

セキュリティグループにおいては、GPOの制御単位としては使用できず、アクセス権の制御単位として使用します。

現在まとめようとしているのですが

従って、OUとセキュリティグループでは単位のコンテキストが全くことなるものであり、纏められるものではありません。

ouの営業に入れるか
G_Eigyouに入れるか

オブジェクトはOU間の移行はできますが、セキュリティグループに追加したからといって、OUの所属を外れるものではありません。
例えば、オブジェクトAが「OUの営業」にあったとして、オブジェクトAをセキュリティグループ「G_Eigyou」に追加したとしても、「OUの営業」から移動するものではなく、所属は「OUの営業」のままです。

G_Eigyouを利用する場合は

Usersに入れた方が良いのではないでしょうか？

比べる単位が違うので、ここで比較対象となるのは、「OUの営業」と「Users」が相応しいでしょう。
GPOエディタで確認されてみては如何でしょうか。
前任者が「OUの営業」といわれるものにGPOを割り当てているのであれば、対象のユーザオブジェクト(またはコンピュータオブジェクト)を所属から外した場合に、GPOの恩恵を受けられなくなります。

投稿2016/09/29 05:27

over

総合スコア4309

moitaro

2016/09/29 07:15

コメントありがとうございます。私の理解がぜんぜん足りないということは理解しました。TT ＞比べる単位が違うので、ここで比較対象となるのは、「OUの営業」と「Users」が相応しいでしょう。 GPOエディタで確認しようとgpedit.mscを実行してみたのですが仰っていらっしゃるのはコチラで良いのでしょうか？ ``` ローカルコンピューター　ポリシー　＋コンピューターの構成　＋ユーザーの構成 ``` とでて何も確認出来ないのです…… お忙しい中申し訳ないのですが上記お問い合わせいたします。

over

2016/09/29 07:17

ドメインコントローラを導入したサーバの管理ツール「GPO」で確認できると思います。

moitaro

2016/09/29 07:57

ありがとうございます。サーバーマネージャー　＞ダッシュボード　＞　ツール　＞　グループポリシーの管理でしょうか？そちらには微々たるグループポリシーオブジェクトが無いのを確認しました。なんかグループポリシーは10年前に作成したので削除し新しいユーザーのグループを作ってみたいと思っております。そこで１）OUで作るか２）新規作成＞グループでドメインの直下に作るか３）新規作成＞グループでUsersの下に作るか一般的なのは上記1~3のうちでどれなのか伺ってよろしいでしょうか？上記　お問い合わせ致します。

over

2016/09/29 08:05

すいません。「グループポリシーの管理」が正しいです。 > そこで > １）OUで作るか > ２）新規作成＞グループでドメインの直下に作るか > ３）新規作成＞グループでUsersの下に作るかこれは何を言われているのかがわかりませんが、新しくOUを作成するとの理解で宜しいでしょうか? そうであれば、基本的にユーザ定義OUは、ActiveDirectoryが提供するデフォルトOU直下には作成できませんので、最初のユーザ定義OUはドメイン直下に作成することになります。ユーザ定義OU以下には新たにユーザ定義OUを作成することができます。従って、3)は実現できません。

moitaro

2016/09/29 08:48

度々のご連絡ありがとうございます。意思伝達の瑕疵があるのかも知れませんが Usersで　新規作成＞グループ　で作成出来ていて引継前の担当者はコチラにユーザーやグループを置いているのです…… これが正しいのか迷っております。「基礎　ActiveDirectory」などでググっても良いサイトが見当たらないので困ってます… 良いサイトをご存知でしたらお教え頂けますと嬉しく思います。

over

2016/09/29 09:01

OUではなく、セキュリティグループのことを言っていますか? そうであるなら、Users以下に作成するか別の場所に作成するかは管理者の好みとなります。 Users以下にはActive Directoryが提供するデフォルトのアカウント/グループが登録されておりますので、これと分割して自サイトのアカウント/グループの視認性を高めたいのであれば、ユーザ定義OUを作成の上、その下に作成するのも一つの手段だと思います。

moitaro

2016/09/30 00:10

度々のご返答ありがとうございます。＞OUではなく、セキュリティグループのことを言っていますか? はい。言葉足らずで申し訳ございませんでした。＞そうであるなら、Users以下に作成するか別の場所に作成するかは管理者の好みとなります。了解しました。 OUとセキュリティグループの理解がおぼろげながら分かってきました。この度はご返答ありがとうございました。

行動規範の内容に同意します