Active Directoryオブジェクトの種類と効果的な活用方法：基礎から分かるActive Directory再入門（9）

連載目次

Active Directoryオブジェクトを確認しよう

　Active Directoryを管理するに当たり、「ユーザーというものが必要らしいから、作成しておこう」とか「上司に言われたから、マニュアルに書いてある通りにユーザーを作成しよう」でもよいのだが、せっかく日常業務でActive Directoryに接するのであれば、その仕組みを知り、意味を理解して使いこなしたいものである。

　そこで、今回はアクセス制御に利用するオブジェクトを中心に、Active Directoryのオブジェクトの種類と効果的な活用方法を紹介したい。

オブジェクトとプロパティの関係

　Active Directory内に作成されるユーザーやグループは、「オブジェクト」と呼ばれる単位で管理される。オブジェクトは、言ってみればActive Directory内の「モノ」である。Active Directoryでは、「ユーザー」の他に以下のオブジェクトを作成できる。

　Active Directoryのオブジェクトは、上記に挙げた種類が全てではない。この他にも、さまざまなオブジェクトが存在する。こうして見ると、Active Directoryは単純に「ユーザー名」と「パスワード」だけを保存する場所（仕組み）ではないことが分かるだろう。

　オブジェクトは、付随する情報を「プロパティ」と呼ばれる領域に保存している。例えば、ユーザーオブジェクトの作成時には、ユーザー名やパスワードなどの情報を登録するが、このユーザー名やパスワードに相当する情報を登録する領域がプロパティになる（図1）。このように、Active Directoryに保存される情報は、オブジェクトとプロパティの関係で登録されている。

図1　オブジェクトとプロパティの関係

　それでは、オブジェクトの基本を確認できたら、続いて代表的なオブジェクトの種類を見ていこう。

ユーザーオブジェクト

　ユーザーオブジェクトは、ご存じのようにユーザー名とパスワードを確認し、認証を行うためのオブジェクトだ。ドメインに参加しているコンピューターがログオン（サインイン）を行えるように、必ず事前に作成しておかなければならない。

　また、ユーザーオブジェクトはプロパティ項目が豊富で、前回ログオンした日時や過去にログオンした回数など、ユーザー管理に役立つ情報が数多く蓄積されている。ユーザーのプロパティを参照する方法については、本連載の第7回と第8回でも紹介したので、そちらを参考にしてほしい。

• 【参考記事】ユーザー管理再入門［Part1］
• 【参考記事】ユーザー管理再入門［Part2］〜複数のユーザーを一括作成する方法〜

グループオブジェクト

　グループオブジェクトは、ファイルやフォルダーなどにアクセス許可を割り当てる際、複数のユーザーに対してまとめて設定できるメリットを持つ。グループの主なプロパティ項目に「種類」と「スコープ」がある（画面1）。この二つのプロパティは単なる情報としてグループオブジェクトに登録できるだけでなく、どのような種類／スコープを設定するかによってグループオブジェクトそのものの特徴が変化する。

画面1　グループの作成画面。グループ名の他、「種類」と「スコープ」をそれぞれ設定できる

　ここでは簡単にグループの種類とスコープについて確認しておこう。

【グループの種類】

　種類はグループを利用する目的を表すもので、「セキュリティ」と「配布」の二種類で作成できる。「セキュリティグループ」はアクセス許可を割り当てる目的で利用するオブジェクト、「配布グループ」はメーリングリストのようにメールを一斉配信する目的で利用するオブジェクトになる。

　配布グループはExchange Serverのような配布グループをメーリングリストと認識して動作するメールサーバーで利用されるため、少し特殊なグループとなる。そのため、アクセス許可を割り当てるという本来の目的でグループを利用するのであれば、グループの種類は「セキュリティ」を選択する。

【グループのスコープ】

　一方、スコープはグループを利用する範囲を示すもので、「グローバル」「ユニバーサル」「ドメインローカル」の三つの範囲がある。それぞれのグループは、グループのメンバーとして追加可能なグループや利用可能な範囲が決まっていることから、一般的には次のように使い分けられている。

　以上のようなスコープの特徴から、いくつかのグループの使い方がシナリオとして考えられる。ここでは「AGDLP」と呼ばれる使い方を紹介しよう。

　AGDLPとは「アカウント（A：ユーザー）」を「グローバルグループ（G）」に追加し、グローバルグループを「ドメインローカルグループ（DL）」に追加して、ドメインローカルグループに「アクセス許可（P）」を割り当てる、というグループの使い方になる（図2）。

図2　AGDLPによるグループの利用方法

　図2を見ると、なぜ二種類グループ（グローバルグループとドメインローカルグループ）を使う必要があるのか、という疑問を持つだろう。繰り返すが、グループを利用する目的は二つある。一つは、部署や役職などに基づいてユーザーをまとめる目的。もう一つは、アクセス許可をまとめて割り当てる目的だ。

　この二つの目的が一つのグループで実現できればよいのだが、実際にはそうはいかない場合も多い（図3）。そのような場合に、グローバルグループとドメインローカルグループのように二種類のグループを作成して使い分けるようにすれば、効率よくアクセス許可を割り当てられる（図4）。

図3　ユーザーをまとめる目的とアクセス許可をまとめて割り当てる目的は必ずしも同じとは限らない

図4　二種類のグループを使い分ければ、効率よくアクセス許可を割り当てることができる

　なお、グループについては「グループ・アカウントの種類を知る」（＠IT）でも解説しているので、詳しく知りたい方はこちらの記事も参考にしてほしい。

コンピューターオブジェクト

　コンピューターオブジェクトは、コンピューターの名前とパスワードを基に認証を行うために利用するオブジェクトだ。ユーザーオブジェクトとは異なり、管理者が作成するのではなく、「ドメイン参加」と呼ばれる作業を行うことで自動的に作成される。

　本連載第3回「ドメインコントローラーの役割とは」でも紹介したように、パスワードは自動的に設定されるため管理者が設定することはなく、またプロパティに登録する項目もほとんどないため、「Active Directoryユーザーとコンピューター」管理ツールからコンピューターオブジェクトを直接操作する機会はほとんどない。

OU（組織単位）

　「組織単位」とも呼ばれるOU（Organizational Unit）は、「Active Directoryユーザーとコンピューター」管理ツールの中でオブジェクトをまとめる役割として利用する。

　以下の画面2の「Active Directoryユーザーとコンピューター」管理ツールを見てほしい。左ペインにフォルダー（っぽいもの）が確認できる。このフォルダーと同じ形のもの（画面2の「Computers」や「Builtin」など）を「コンテナー」、フォルダーの中に印が付いているもの（画面2の「Domain Controllers」や「Lab」）を「OU」と呼ぶ。

　コンテナーはデフォルトで作成されたものだけが利用でき、管理者が作成できるのはOUだけになる。

画面2　既定ではドメインに参加したコンピューターのActive Directoryオブジェクトは「Computers」コンテナーに作成される

　コンテナーとOUの違いは、コンテナーはフォルダーと同じように、単純なActive Directoryオブジェクトの入れものとしての使い方にとどまるが、OUには管理権限や「グループポリシーオブジェクト」（GPO）を割り当てることができる。そのため、OUを作るときには、誰に対してどのような管理権限を割り当てたいか、グループポリシーを誰に対して割り当てたいかなどを考慮して作成しなければならない。

　また、OUに入るコンピューターオブジェクトにも注意したい。GPOはコンピューターに対して割り当てるものなので、コンピューターオブジェクトがどのOUに含まれているかは重要である。

　しかし、デフォルトではコンピューターオブジェクトは「Computers」コンテナー（OUではない！）にまとめて作成されるので、特定のコンピューターに対してGPOを割り当てたい場合、必ずコンピューターオブジェクトを「Computers」コンテナーから別のOUに移動させなければならないことに注意しよう。

　OUの作成方法については「管理者のためのActive Directory入門 第8回 Active Directory導入後の作業」（＠IT）で詳しく解説されているので、参考にしてほしい。

　ここまで、Active Directoryオブジェクトの特徴と効果的な管理方法について見てきた。マニュアル化した日常業務の中では、オブジェクトの仕組みや考え方などを意識する機会は少ないかもしれない。しかし、現在の管理作業が効率的に行われているかどうかの確認や、今後の業務改善のきっかけとして今回の内容が役立てば幸いである。