こんな人に見てほしい
・AD管理ツールのフォルダアイコンに違いがある事に気付いていない、または気にしていない
・グループポリシーを設定した事がない
OUとは
「Organizational Unit」、略してOU。
読み方は「オーガナイゼーショナルユニット」、日本語訳は「組織単位」です。
ADにおいては「ルールを設定出来るフォルダ」と考えるとわかりやすいと思います。
このルールはグループポリシーにより実装されます。
このフォルダ(OU)にはコンピュータやユーザーをまとめる事ができ、設定したルールに基づいた動作をさせる事ができます。
OUはActive Directoryユーザーとコンピュータ上ではこのようなアイコンで表現されます。
またDN(絶対式別名)の表記では
OU=hoge
となります。
なおADを構築した最初の段階では「Domain Controllers」OUのみが存在します。
コンテナとは
勘違いされる前に注意ですが、dockerやAWSでのECSなどの「コンテナ」とは全くの別物です。
AD上の以下の見てくれをしている物がコンテナです。
コンテナはグループポリシーを設定できません。
単にオブジェクトをまとめる役割しか持ちません。言い換えると、コンテナ内のオブジェクトはどのような環境であってもグループポリシーによるルールが設定されていないことが保証されている、と言い切れます。
ADを構築した初期の段階では以下の通りトップ階層にいくつかコンテナがあります。
Builtin
Computers
ForeignSecurityPrincipals
LostAndFound
Managed Service Accounts
Program Data
System
Users
NTDS Quotas
TPM Devices
これらのコンテナ内には初期から構成されているオブジェクトがあったり、また以下のような構文で場所を指定せずにオブジェクトを作った場合は特定のコンテナ内に配置されます。
New-ADUser -Name testuser↓Usersコンテナに配置される
コンテナは手動で作成する事も可能ですが、グループポリシーが適用できないため、AD管理者が独自に作る機会はそうそうないかと思います。
なおDN(絶対式別名)の表記では
CN=hoge
となります。
まとめ
OUはグループポリシーを設定できるフォルダです。ユーザーやコンピュータなどオブジェクトをまとめるなら統一してOUを使いましょう。当然、ユーザーなどオブジェクトを作る場合も、どこのOUに作るかを指定して作りましょう。
コンテナはシステムが使うフォルダなのでAD管理者が意識して作ったり使うことはありません。システムが最初から用意しているアカウントやグループ(Administrator、Account Operatorsなど)はコンテナの中にあるので、必要な時は覗いてみるくらいに思っておいてください。
コメント