OU の設計概念を確認する

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

ドメインの組織単位 (OU) 構造には、次のものが含まれます。

• OU 階層の図

• OU の一覧

• OU ごとにそれぞれ:

  • OU の目的

  • OU または OU 内のオブジェクトを制御するユーザーまたはグループの一覧

  • ユーザーおよびグループが OU 内のオブジェクトに対して持つ制御の種類

OU 階層は、組織またはグループの部署の階層を反映する必要はありません。 OU は、管理の委任、グループ ポリシーの適用、オブジェクトの表示の制限など、特定の目的のために作成されます。

OU 構造を設計することで、自身のリソースとデータを管理するための自律性を求めている組織内の個人やグループに管理を委任できます。 OU は管理の境界を表し、データ管理者の権限の範囲を制御することを可能にします。

たとえば、ResourceOU という名前の OU を作成したうえで、それを使用して、グループによって管理されるファイル サーバーとプリント サーバーに属するすべてのコンピューター アカウントを格納できます。 次に、OU に対するセキュリティを構成して、グループ内のデータ管理者だけが OU にアクセスできるようにすることが可能です。 これにより、他のグループのデータ管理者がファイル サーバーのアカウントとプリント サーバーのアカウントに変更を加えるのを防ぐことができます。

グループ ポリシーを適用する、保護されたオブジェクトを特定のユーザーのみが表示できるように、その可視性を制限するなど、特定の目的のために OU のサブツリーを作成することで、OU の構造をさらに洗練させることができます。 たとえば、グループ ポリシーを特定のユーザーまたはリソースのグループに適用する必要がある場合は、それらのユーザーまたはリソースを OU に追加し、その OU にグループ ポリシーを適用することができます。 また、OU 階層を使用して、管理制御の更なる委任を有効にすることもできます。

OU 構造内のレベルの数に技術的な制限はありませんが、管理しやすいように、OU 構造を 10 レベルを超える深さにならないよう制限することをお勧めします。 各レベルでの OU の数に技術的な制限はありません。 Active Directory Domain Services (AD DS) が有効になっているアプリケーションでは、識別名 (ディレクトリ内のオブジェクトへの完全ライトウェイト ディレクトリ アクセス プロトコル (LDAP) パス) に使用される文字の数、または階層内の OU の深さに制限が存在する可能性があることに注意してください。

AD DS における OU 構造は、エンドユーザーに表示するためのものではありません。 この OU 構造は、サービス管理者およびデータ管理者向けの管理ツールであり、簡単に変更できます。 管理構造に対する変更を反映し、ポリシーベースの管理をサポートするために、OU 構造の設計の確認と更新を引き続き行ってください。