Active Directory ドメインには、オブジェクトを格納する入れ物として、コンテナーと組織単位 (OU) があります。
この記事では、コンテナと組織単位 (OU) の違いと、OUの追加・削除の手順について確認していきます。
コンテナとは
コンテナは、ユーザやコンピューターなどのオブジェクト(コンピューター、ユーザー、グループなど)を格納するフォルダー(入れ物)です。
Active Directoryを構築すると、デフォルトでコンテナが作成されています。
ドメイン参加をすると、既定では、Computers コンテナにコンピューターオブジェクト、Users コンテナにユーザオブジェクトが格納されます。
OUと違い、コンテナの特徴は、グループポリシーを適用できないことです。また、新しいコンテナーを作成したり、既存のものを削除することもできません。
サーバーマネージャー >> ツール >> Active Directory 管理センター より Active Directory 管理センターを起動し、左ペインのドメイン名を選択すると、デフォルトで構成されているコンテナが表示されます。
下記の赤枠がコンテナです。
Active Directory ユーザーとコンピューターでもコンテナを確認することはできますが、一部表示されていません。
表示 >> 拡張機能 を選択することで、すべてのコンテナが表示されます。
下記のとおり、表示されました。
組織単位 (OU)とは
組織単位 (OU) もコンテナと同様、オブジェクト(コンピューター、ユーザー、グループなど)を格納するフォルダーですが、ドメイン管理者が作成および削除できます。
OUの中に、OUを含める(ネスト)こともできます。
OUの特徴は、グループポリシーを適用でき、かつ、制御の委任ができることです。
Active Directory 管理センターよりデフォルトで構成されているOUは、Domain Controllers のみです。
以降では、OUの追加、削除について、手順を確認します。
OUの追加
OU を作成する 下記、3つの手順を確認します。
- Active Directory ユーザーとコンピューター
- Active Directory 管理センター
- Windows PowerShell
hirotanoblog.localドメインに対して、Salesという名前のOUを作成します。
OUを追加するには、ドメイン管理者(Domain Admins グループのメンバー)である必要があります。
Active Directory ユーザーとコンピューター
ドメイン名(hirotanoblog.local)を右クリックし、新規作成 >> 組織単位(OU)をクリックします。
名前に Sales と入力し、OKをクリックします。
下記のとおり、追加されます。
Active Directory 管理センター
ドメイン名(hirotanoblog.local)を右クリックし、新規 >> 組織単位 をクリックします。
名前に Sales と入力し、OKをクリックします。
下記のとおり、追加されます。
Windows PowerShell
Windows PowerShell 用の Active Directory モジュールがインストールされているドメインコントローラなどから、下記を実行します。
New-ADOrganizationalUnit “Sales”
OUが追加されたか、OU名の一覧を取得します。下記を実行します。
Get-ADOrganizationalUnit -filter * | ft name
PS C:\Users\Administrator> New-ADOrganizationalUnit "Sales" PS C:\Users\Administrator> Get-ADOrganizationalUnit -filter * | ft name name ---- Domain Controllers Sales
OUの削除
OU を削除する 下記、3 つの手順を確認します。
- Active Directory ユーザーとコンピューター
- Active Directory 管理センター
- Windows PowerShell
上で追加したSalesを削除します。
OUを削除するには、ドメイン管理者(Domain Admins グループのメンバー)である必要があります。
デフォルトでは、OU は誤って削除されないように保護されています。保護を解除せずに削除しようとすると、エラーとなります。(下記は、Active Directory ユーザーとコンピューター より保護を解除せずに削除を試みた場合のエラー画面)
削除する場合は、先に保護を解除する必要があります。
Active Directory ユーザーとコンピューター
表示 >> 拡張機能 をクリックします。
削除対象のOU(Sales)を右クリックし、プロパティをクリックします。
オブジェクトタブで、 「誤って削除されないようにオブジェクトを保護する」にチェックが入っているので、チェックを外して、OKをクリックします。
削除対象のOU(Sales)を右クリックし、削除をクリックします。
確認画面が出力されますので、はいをクリックします。
Active Directory 管理センター
削除対象のOU(Sales)を右クリックし、プロパティをクリックします。
「誤って削除されないように保護する」にチェックが入っているので、チェックを外して、OKをクリックします。
削除対象のOU(Sales)を右クリックし、削除をクリックします。
確認画面が出力されますので、はいをクリックします。
Windows PowerShell
PowerShellを用いて、オブジェクトの保護を解除はできないので、先に、Active Directory ユーザーとコンピューター、もしくはActive Directory 管理センターを用いて上の手順で、保護を解除します。
解除後、Windows PowerShell 用の Active Directory モジュールがインストールされているドメインコントローラなどから、下記を実行します。
Remove-ADObject -Identity “OU=Sales,DC=hirotanoblog,DC=local”-Recursive -Confirm:$False
OUが削除されたか、OU名の一覧を取得します。下記を実行します。
Get-ADOrganizationalUnit -filter * | ft name
PS C:\Users\Administrator> Remove-ADObject -Identity "OU=Sales,DC=hirotanoblog,DC=local"-Recursive -Confirm:$False PS C:\Users\Administrator> Get-ADOrganizationalUnit -filter * | ft name name ---- Domain Controllers
コメント