OU の定義

  • 10 分

OU は、ユーザー、コンピューター、グループ、およびその他のオブジェクトを統合するために使用できる、ドメイン内のコンテナー オブジェクトです。 グループ ポリシー オブジェクト (GPO) を OU に直接リンクして、OU に含まれるユーザーとコンピューターを管理することができます。 また、OU マネージャーを割り当て、COM+ パーティションを OU に関連付けることもできます。

次を使用して、AD DS に新しい OU を作成できます。

  • Active Directory 管理センター。
  • Active Directory ユーザーとコンピューティング。
  • Windows Admin Center。
  • Windows PowerShell と Active Directory PowerShell モジュール。

OU を作成する理由

OU を作成する理由は 2 つあります。

  • 複数のオブジェクトを統合し、そのまとめたものに GPO を適用することにより、管理しやすくするため。 GPO を OU に割り当てると、設定は OU 内のすべてのオブジェクトに適用されます。 GPO は、コンピューターまたはユーザーの設定を管理および構成するために管理者が作成するポリシーです。 GPO を展開するには、OU、ドメイン、またはサイトにリンクします。
  • OU 内のオブジェクトの管理制御を委任するため。 OU に管理アクセス許可を割り当てることで、その OU の制御を、Domain Admins グループに加えて AD DS 内のユーザーまたはグループに委任することができます。

OU を使用すると、組織内の階層的で論理的な構造を表すことができます。 たとえば、組織内の部門、組織内の地域、または部門と地域の両方の組み合わせを表す OU を作成できます。 OU を使用して、組織モデルに基づいてユーザー、グループ、およびコンピューター アカウントの構成と使用を管理することができます。

汎用コンテナーとは

AD DS には、"Users" や "Computers" など、組み込みのコンテナー (汎用コンテナー) がいくつかあります。 これらのコンテナーにはシステム オブジェクトが格納されており、ユーザーが作成する新しいオブジェクトの既定の親オブジェクトとして機能します。 これらの汎用コンテナー オブジェクトを OU と混同しないでください。 OU とコンテナーの主な違いは、管理機能です。 コンテナーの管理機能は限られています。 たとえば、GPO をコンテナーに直接適用することはできません。

A screenshot of Active Directory Users and Computers. The administrator has selected the Computers container `Contoso.com` domain. Other containers that are displayed are described in the following tables.

AD DS をインストールすると、既定でドメイン コントローラー OU といくつかの汎用コンテナー オブジェクトが作成されます。 AD DS には、主に、これらの既定オブジェクト (これらも既定で非表示) の一部が使用されています。 既定では、次のオブジェクトが表示されます。

  • ドメイン。 ドメイン組織階層の最上位。
  • Builtin コンテナー。 いくつかの既定のグループが格納されているコンテナー。
  • Computers コンテナー。 ドメイン内に作成する新しいコンピューター アカウントの既定の場所。
  • Foreign Security Principals コンテナー。 ローカル AD DS ドメイン内のグループに追加する、ローカル AD DS ドメイン外のドメインから信頼されているオブジェクトの既定の場所。
  • Managed Service Accounts コンテナー。 管理されたサービス アカウントの既定の場所。 AD DS には、管理されたサービス アカウントの自動パスワード管理機能があります。
  • Users コンテナー。 ドメイン内で作成する新しいユーザー アカウントとグループの既定の場所。 Users コンテナーには、管理者、ドメインのゲスト アカウント、およびいくつかの既定グループが含まれています。
  • ドメイン コントローラー OU。 ドメイン コントローラーのコンピューター アカウント用の既定の場所。 これは、AD DS の新規インストールに存在する唯一の OU です。

[高度な機能] を選択したときに表示されるコンテナーがいくつかあります。 既定では非表示になっているオブジェクトを次の表に示します。

Object

説明

LostAndFound

このコンテナーには、孤立したオブジェクトが格納されます。

プログラム データ

このコンテナーには、Active Directory フェデレーション サービス (AD FS) などの Microsoft アプリケーションの Active Directory データが格納されます。

システム

このコンテナーには、組み込みのシステム設定が格納されます。

NTDS クォータ

このコンテナーには、ディレクトリ サービスのクォータ データが格納されます。

TPM Devices

このコンテナーには、トラステッド プラットフォーム モジュール (TPM) デバイスの復旧情報が格納されます。

注意

AD DS ドメイン内のコンテナーに、GPO をリンクさせることはできません。 GPO をリンクして構成と制限を適用するには、OU の階層を作成してから、GPO をそれらにリンクしてください。

階層型設計を使用する

組織の管理上のニーズにより、OU 階層の設計が決まります。 地理、職務、リソース、またはユーザーの分類はすべて、設計に影響する可能性があります。 どのような順序であっても、AD DS リソースを可能な限り効果的かつ柔軟に管理できる階層にする必要があります。 たとえば、すべての IT 管理者のコンピューターを特定の方法で構成する必要がある場合は、すべてのコンピューターを OU にグループ化し、GPO を割り当ててそれらのコンピューターを管理することができます。

他の OU 内に OU を作成することもできます。 たとえば、組織に複数のオフィスがあり、それぞれにユーザー アカウントとコンピューター アカウントの管理を担当する独自の IT 管理者が存在する場合があります。 また、各オフィスに、コンピューター構成の要件が異なる複数の部門が存在する場合があります。 このような場合には、オフィスごとに OU を作成し、それぞれの OU の中に、IT 管理者用の OU とその他の部門用の OU を作成することができます。

OU 構造内のレベル数に制限はありませんが、管理容易性を確保するために、OU 構造の深さを 10 レベル以下に制限してください。 ほとんどの組織では、管理を容易にするために 5 レベル以下を使用しています。 AD DS と連携するアプリケーションにより、使用される階層の部分について、階層内の OU の深さに制限が課せられる場合があることに注意してください。