こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

解決済みの質問

Active Directoryのユーザー管理

ADでユーザー管理をする時って、
会社であれば、部署ごとのグループを作って、ユーザーを作って、ユーザーをグループに所属(追加)してGPOを適用して・・・となると思うのですが、

例えば、ユーザーが2つ部署などに所属していた場合は、どうするのでしょうか?
ex)
user01が営業部と総務部の両方に所属するような場合。

投稿日時 - 2014-11-15 18:33:42

QNo.8826071

困ってます

質問者が選んだベストアンサー

>会社であれば、部署ごとのグループを作って、ユーザーを作って、ユーザーをグループに所属(追加)してGPOを適用して・・・となると思うのですが、

セキュリティグループと、GPOを適用する組織単位(OU)は設計が異なりますのできちんと分けて考えたほうが良いと思います。

GPOを適用する先はOUです。
だからOUは、適用するGPOが異なるものを網羅するように設計するのが一般的だと思います。
必ずしもこれが組織と同一になる必要はありません。(というか組織通りにきっちり分かれないのが普通だと思います)

例えば全社的にポリシーが同じならばOUは一つで良いし、
営業部はスクリーンセーバを強制するが
総務部はスクリーンセーバを自由に設定できるように
ポリシーが部署ごとに異なるのであれば部署ごとのOUにするというようなことです。

ちなみにユーザーアカウントが2つのOUに同時に所属することはできません。

そのため、OUを部署ごとに作成した場合、複数部署に所属する人はどの部署のポリシーを適用するのかを検討する必要があります

次にセキュリティグループはセキュリティプリンシパルの設定です。
リソースに対するアクセス許可などで使用することになると思います。

こちらもセキュリティグループと部署が同一になる必要はありませんが、概ね部署ごとにアクセス出来るリソースが異なることが多いのでこちらは部署ごとのグループになることが多いです。

こちらは複数のセキュリティグループに所属でき、所属しているセキュリティプリンシパルが適用されるので問題ないです。

>例えば、ユーザーが2つ部署などに所属していた場合は、どうするのでしょうか?

従ってこの回答としては、
・セキュリティグループの場合は両方の部署に追加する
・OUの場合はOU構成とGPOの設計を再考するか、どこのポリシーに従うかを選択しそのOUに所属する

という感じになるかと思います。

投稿日時 - 2014-11-17 10:21:48

ANo.2

このQ&Aは役に立ちましたか?

8人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(2)

ANo.1

二つのグループに登録すればよいだけです。ポリシーは両方が適応されます。
あるいは兼務者用のグループをつくりポリシーを作るなど。
組織に対応させるかどうかはその会社の決め事です。別に対応させなくても良いという考え方で作成も出来ますし、ADのスキーマを拡張させて独自項目で管理することで分ける事も可能です。
設計は計画的に。

投稿日時 - 2014-11-15 20:32:36

-広告-
-広告-

あなたにオススメの質問

-広告-
-広告-