4.2.8.管理作業の委任

OU を使用してドメインを階層化すると、ある OU の管理を特定のユーザやグループに分担させることができます。 この機能を「制御の委任」といいます。

ユーザアカウントや共有リソースなどのオブジェクトは各部署ごとに管理した方が便利な場合があります。 このような場合は部署ごとに OU を作成し、OU の管理者を決め、管理者に管理権限を委任します。 ドメインが大きくなると、一人の管理者が全体を管理するよりも管理を委任し、複数の管理者で管理した方が管理がしやすく、効率が良くなります。

ここでは「オブジェクトの制御の委任ウィザード」を使用し、特定のOUに対して全ての管理を委任する方法を解説します。 今回は OU 「総務」の管理者をユーザアカウント「sato」とし、OU 「総務」に対するすべての管理権限を委任します。 OU 「総務」を選択し、右クリックします。ポップアップメニューより [ 制御の委任 ] を選択します。 もしくは、OU を選択し、[ 操作 ] メニューより [ 制御の委任 ] を選択します。

オブジェクト制御の委任ウィザードの開始画面です。[ 次へ ] ボタンを押します。

制御を委任するユーザやグループを指定する画面です。[ 追加 ] ボタンを押して、ユーザやグループを選択します。

委任するユーザやグループを指定する画面です。[ 詳細設定 ] ボタンをクリックし、登録されているユーザやグループ情報から選択します。

[ 今すぐ検索 ] ボタンをクリックし、登録されているユーザやグループ情報を表示させます。

画面下部の検索結果に登録されているユーザやグループの一覧情報が表示されます。ここから委任するユーザを選択します。 ユーザアカウント「sato」を選択し、[ OK ] ボタンを押します。

「選択するオブジェクト名を入力してください」に先ほど選択したユーザアカウント「sato」が表示されています。 ユーザアカウント「sato」が表示されていることを確認し、[ OK ] ボタンを押します。

今回はユーザアカウントを選択しましたが、この画面で「選択するオブジェクト名を入力してください」に直接ユーザアカウント名を入力することもできます。

「選択されたユーザーとグループ」に委任するユーザやグループ情報が指定されていることを確認し、 [ 次へ ] ボタンを押します。

委任するタスクの選択画面です。選択したユーザやグループにどの権限を委任するかを指定します。 「次の共通タスクの制御を委任する」と「委任するカスタムタスクを作成する」から選択します。 「委任するカスタムタスクを作成する」を選択すると詳細に制御の委任が行えます。 今回は「委任するカスタムタスクを作成する」を選択し、[ 次へ ] ボタンを押します。

「このフォルダ、このフォルダ内の既存オブジェクト、およびこのフォルダ内の新しいオブジェクトの作成」を選択し、[ 次へ ] ボタンを押します。

アクセス許可の設定画面です。 「全般」にはチェックが付いているので、他の「プロパティ固有」と「特定の子オブジェクトの作成または削除」にもチェックを付けます。 更に「アクセス許可」で「フルコントロール」にチェックを付けます。すべての項目にチェックが付いていることを確認し、[ 次へ ] ボタンを押します。

オブジェクトの制御の委任ウィザードの完了画面です。表示された内容を確認し、[ 完了 ] ボタンを押します。

この作業により、OU 「総務」はユーザアカウント「sato」で管理作業が行えるようになりました。

例えば、OU 「総務」にコンピュータアカウントの情報が登録されているとします。登録されているPCからはじめてドメインへ参加する場合、 管理者のユーザアカウントとパスワードが必要になります。 通常はドメインコントローラの管理者 Administrator が管理ユーザアカウントになり、Administrator のパスワードが必要になります。 管理の委任により OU 「総務」の管理者にユーザアカウント「sato」が追加されました。 クライアントPCからドメインへ参加するときに、ユーザアカウント「sato」の情報を入力すると、ドメインへ参加できるようになります。