ユーザーはActive Directoryの複数の組織単位(OU)のメンバーになることができますか?また、OUの作成方法とその属性についてMicrosoftが言及した標準形式はありますか?
私はこれを Wikipedia で見つけました:
ただし、組織単位は管理者にとって単なる抽象概念であり、真のコンテナーとしては機能しません。基になるドメインは、オブジェクトがすべてOUなしの単純なフラットファイル構造で作成されたかのように動作します。たとえば、「fred.staff-ou.domain」と「fred.student-ou.domain」などの2つの別々のOUに、同じユーザー名で2つのユーザーアカウントを作成することはできません。
ユーザーはActive Directoryの複数の組織単位(OU)のメンバーになることができますか?
番号。
番号。
あなたが言うように:
However, Organizational Units are just an abstraction for the administrator, and do not function as true containers; the underlying domain operates as if objects were all created in a simple flat-file structure, without any OUs.
ファイルをファイル構造内の別の場所にコピーできますが、ディレクトリフォレスト内で特定のユーザーを作成できるのは1回だけです。したがって、複数のOUに追加することはできません。
そして、私の意見では、ユーザーを複数のOUに追加しても、それらは実際のADグループとして機能しないため、役に立ちません。本当に階層が必要な場合は、OUの階層を構築する必要があります。
オブジェクトは、常にActive Directory内の1つの場所にのみ存在できます。
そのアサーションによって、いいえ、ユーザーはActive Directoryドメインの2つの異なるOUに同時に存在することはできません。ユーザーは、あるOUから別のOUに移動できますが、常に1つの場所にしか存在しません。
したがって、いいえ、ユーザーはActive Directoryの2つのOUのメンバーになることはできません。
ユーザーは2つのグループに属することができ、グループは2つの異なるOUに属することができますが、グループのメンバーシップが2つの異なるOUに存在することはありません。グループメンバーシップはリンクで表されます。
はい。
ユーザーを2つの異なるグループのメンバーにして、その2つのグループを2つの異なる組織単位に入れると、ユーザーは2つの異なる組織単位に属します。しかし、ポリシーや権限などが混乱するため、そうする意味はありません。
したがって、AD用語では、ユーザーアカウントはOUに単一値属性を持ち、グループに複数値属性を持ちます。フォルダーなどのメタファーを拡張するのは便利ですが、構造を理解することはできません。