【Active Directory】 コンテナとOU(追加・削除)について

Active Directory ドメインには、オブジェクトを格納する入れ物として、コンテナー組織単位 (OU) があります。
この記事では、コンテナ組織単位 (OU) の違いと、OUの追加・削除の手順について確認していきます。
スポンサーリンク

コンテナとは

コンテナは、ユーザやコンピューターなどのオブジェクト(コンピューター、ユーザー、グループなど)を格納するフォルダー(入れ物)です。
Active Directoryを構築すると、デフォルトでコンテナが作成されています。
ドメイン参加をすると、既定では、Computers コンテナにコンピューターオブジェクト、Users コンテナにユーザオブジェクトが格納されます
OUと違い、コンテナの特徴は、グループポリシーを適用できないことです。また、新しいコンテナーを作成したり、既存のものを削除することもできません。
サーバーマネージャー >> ツール >>  Active Directory 管理センター より Active Directory 管理センターを起動し、左ペインのドメイン名を選択すると、デフォルトで構成されているコンテナが表示されます。
下記の赤枠がコンテナです。

Active Directory ユーザーとコンピューターでもコンテナを確認することはできますが、一部表示されていません。

表示 >> 拡張機能 を選択することで、すべてのコンテナが表示されます。

下記のとおり、表示されました。

スポンサーリンク

組織単位 (OU)とは

組織単位 (OU) もコンテナと同様、オブジェクト(コンピューター、ユーザー、グループなど)を格納するフォルダーですが、ドメイン管理者が作成および削除できます。
OUの中に、OUを含める(ネスト)こともできます。
OUの特徴は、グループポリシーを適用でき、かつ、制御の委任ができることです
Active Directory 管理センターよりデフォルトで構成されているOUは、Domain Controllers のみです。

以降では、OUの追加、削除について、手順を確認します。
スポンサーリンク

OUの追加

OU を作成する 下記、3つの手順を確認します。
  • Active Directory ユーザーとコンピューター
  • Active Directory 管理センター
  • Windows PowerShell
hirotanoblog.localドメインに対して、Salesという名前のOUを作成します。
OUを追加するには、ドメイン管理者(Domain Admins グループのメンバー)である必要があります。

Active Directory ユーザーとコンピューター

ドメイン名(hirotanoblog.local)を右クリックし、新規作成 >> 組織単位(OU)をクリックします。

名前に Sales と入力し、OKをクリックします。

下記のとおり、追加されます。

Active Directory 管理センター

ドメイン名(hirotanoblog.local)を右クリックし、新規 >> 組織単位 をクリックします。

名前に Sales と入力し、OKをクリックします。

下記のとおり、追加されます。

Windows PowerShell

Windows PowerShell 用の Active Directory モジュールがインストールされているドメインコントローラなどから、下記を実行します。
New-ADOrganizationalUnit “Sales”
OUが追加されたか、OU名の一覧を取得します。下記を実行します。
Get-ADOrganizationalUnit -filter * | ft name
PS C:\Users\Administrator> New-ADOrganizationalUnit "Sales"
PS C:\Users\Administrator> Get-ADOrganizationalUnit -filter * | ft name

name
----
Domain Controllers
Sales

スポンサーリンク

OUの削除

OU を削除する 下記、3 つの手順を確認します。
  • Active Directory ユーザーとコンピューター
  • Active Directory 管理センター
  • Windows PowerShell
上で追加したSalesを削除します。
OUを削除するには、ドメイン管理者(Domain Admins グループのメンバー)である必要があります。
デフォルトでは、OU は誤って削除されないように保護されています。保護を解除せずに削除しようとすると、エラーとなります。(下記は、Active Directory ユーザーとコンピューター より保護を解除せずに削除を試みた場合のエラー画面)

削除する場合は、先に保護を解除する必要があります。

Active Directory ユーザーとコンピューター

表示 >> 拡張機能 をクリックします。

削除対象のOU(Sales)を右クリックし、プロパティをクリックします。

オブジェクトタブで、 「誤って削除されないようにオブジェクトを保護する」にチェックが入っているので、チェックを外して、OKをクリックします。

削除対象のOU(Sales)を右クリックし、削除をクリックします。

確認画面が出力されますので、はいをクリックします。

Active Directory 管理センター

削除対象のOU(Sales)を右クリックし、プロパティをクリックします。

誤って削除されないように保護する」にチェックが入っているので、チェックを外して、OKをクリックします。

削除対象のOU(Sales)を右クリックし、削除をクリックします。

確認画面が出力されますので、はいをクリックします。

Windows PowerShell

PowerShellを用いて、オブジェクトの保護を解除はできないので、先に、Active Directory ユーザーとコンピューター、もしくはActive Directory 管理センターを用いて上の手順で、保護を解除します。
解除後、Windows PowerShell 用の Active Directory モジュールがインストールされているドメインコントローラなどから、下記を実行します。
Remove-ADObject -Identity “OU=Sales,DC=hirotanoblog,DC=local”-Recursive -Confirm:$False
OUが削除されたか、OU名の一覧を取得します。下記を実行します。
Get-ADOrganizationalUnit -filter * | ft name
PS C:\Users\Administrator> Remove-ADObject -Identity "OU=Sales,DC=hirotanoblog,DC=local"-Recursive -Confirm:$False
PS C:\Users\Administrator> Get-ADOrganizationalUnit -filter * | ft name

name
----
Domain Controllers

コメント