小規模向けのAUPと大規模環境向けのAGUDLPについても学ぼう
「機能レベル」でActive Directoryの互換性を確保しよう
2010年03月16日 06時00分更新
ユニバーサルグループのメンバを抑える
理由は後述するが、ユニバーサルグループのメンバ数はなるべく少なく抑えたい。そのため、ユーザーを直接ユニバーサルグループのメンバにするのではなく、同一ドメイン内のユーザーをいったんグローバルグループにまとめて、そのグローバルグループをユニバーサルグループのメンバにする。これを「AGUDLPポリシー」と呼ぶ(図1)。
ユニバーサルグループは、グループ名だけではなくそのメンバ一覧もグローバルカタログに複製される。そのため、ユニバーサルグループを多用すると、グローバルカタログへの複製トラフィックが増える。ユニバーサルグループのメンバ数を抑えるのはそのためだ。
なお、ユニバーサルグループのメンバ一覧がグローバルカタログに複製されるには理由がある。グローバルグループのメンバは、そのグローバルグループが登録されているドメインのドメインコントローラに問い合わせればすぐわかる。グローバルグループのメンバは同一ドメイン内に限られるからだ。ドメインローカルグループは、別ドメインのグローバルグループがメンバとなっている可能性があるが、グローバルグループなので1回の問い合わせでメンバ一覧を入手できる。ところが、ユニバーサルグループの場合は、ユニバーサルグループのメンバが別ドメインのユニバーサルグループの可能性があるため、複数の再帰的な問い合わせが必要になる。Active Directoryではこうした問題を避けるため、ユニバーサルグループのメンバはすべてグローバルカタログに登録する。これにより、グローバルカタログに対する問い合わせをするだけで完全なメンバリストが得られる。
組織単位(OU)
Active DirectoryにはOU(Organizational Unit : 組織単位)という機能がある。しばしばグループと間違えられるが、OUは純粋なユーザーの分類のために使われる。OUのおもな目的は、以下の3つである。
- 管理者がユーザーをわかりやすく分類する
- 特定のユーザーに、OUの管理権限の一部を委任
- ユーザーに対して特定のポリシーを強制(グループポリシー)
OUの詳細については回を改めて解説する。ドメイン階層と異なり、いったん作成したOUの構成変更は難しくない。現時点では「Active Directoryオブジェクトの分類」、つまり(1)の意味だけと考えてもらってかまわない。
(次ページ、「Active Directoryの機能レベル」に続く)
この連載の記事
-
最終回
ソフトウェア・仮想化
スナップショットとクイックマイグレーションを使ってみよう -
第34回
ソフトウェア・仮想化
Hyper-Vの仮想マシンに「統合サービス」を入れよう -
第33回
ソフトウェア・仮想化
Hyper-Vの仮想マシンのハードウェアを設定しよう -
第32回
ソフトウェア・仮想化
Hyper-Vのインストールはネットワークに注意しよう! -
第31回
ソフトウェア・仮想化
Windows Server 2008の仮想化機能「Hyper-V」を活用しよう -
第30回
ソフトウェア・仮想化
Windows Server Update Servicesの活用方法とは? -
第29回
ソフトウェア・仮想化
Windows ServerをWindows Updateサーバにしよう -
第28回
ソフトウェア・仮想化
Active Directoryと連携できるIISの認証機能を理解 -
第27回
ソフトウェア・仮想化
Windows Serverの標準Webサーバ「IIS」を活用しよう -
第26回
ソフトウェア・仮想化
Windows ServerのCAでメールを安全に -
第25回
ソフトウェア・仮想化
Windows Server証明書サービスを設定しよう - この連載の一覧へ