ADで、ユーザーをOUに入れることの利点を説明してください
これまで、ドメイン内のすべてのユーザーとコンピューターをドメインルートに残してきました。
ADをより適切に整理する方法を検討してきましたが、OUを使用する利点はまだわかりません。
現在、セキュリティグループを使用してすべてを整理し、セキュリティフィルタリングを使用してGPOを適用しています。
すべてをOUで整理すると、いくつかのGPOのセキュリティフィルタリングを削除するだけで済むように思えます。しかし、それはまた、メンバーシップと継承を全体的に理解することをより複雑にするようです。
ここで何が欠けていますか?
私は、他の人がOUをうまく利用する方法について同様に混乱しているように見えるこれらの2つのスレッドを見つけました:
組織階層を適切にモデル化するためのOUの構造化
グループポリシーを特定のコンピューター(OU内ではない)上の特定のユーザー(OU内)に適用する
ほとんどの場合、ユーザーをOUに配置する理由は、名前の目的として組織化するためです。
主に、最も重要な理由はGPOです。 OUは、GPOを分離するのに役立ちます。セキュリティオプションまたはWMIフィルターを使用してGPOを指示できますが、WMIフィルターは実際のパフォーマンスを低下させるものであり、通常、ログオンが遅くなります。
その他の重要な利点は、OUの制御をユーザーに委任できることです。そうすることで、セキュリティを強化し、管理者以外のユーザーに機能を委任できます。ユーザーが持つ特権は少ないほど良いです。
セキュリティグループを使用できるのに、なぜGPOでOUを使用するのかという質問だと思います。私はいくつかの理由を考えることができます:
1)明快さ。論理OU構造を作成する場合(たとえば、「コンピューター」と「ユーザー」のベースOUを作成する、「コンピューター」の下に「サーバー」と「PC」の子OUを作成する、PCの下に「管理者」と「アカウンティング」のOUを作成するなど)セキュリティフィルターを変更せずにGPOを適切なOUにリンクすると、どのGPOがどのユーザーまたはコンピューターグループに影響を与えているかが一目でわかります。セキュリティグループフィルタリングのみを使用する場合は、各GPOのセキュリティフィルタを調べるか、他の時間のかかる方法を使用して何が起こっているかを確認する必要があります。 GPOの数が少なく、GPOを管理するのがあなただけの場合は、それほど重要ではありませんが、GPOの数とGPOを管理する人の数が増えると、セキュリティグループのフィルタリングのみの方法がすぐに混乱します。
2)効率と管理性。上位レベルのOUにリンクされたGPOは、すべての下位OUに適用されます。適切に設計されたOU構造により、ピンポイントの精度と最小限の冗長性でグループポリシーを効果的に適用できます。たとえば、コンピューターとサーバーの両方に適用されるより一般的なコンピューターポリシーは、コンピューターOU(たとえば、一般的なIE/Edge設定、一般的なセキュリティ証明書の展開、PowerShell環境設定など)、特にPCに適用されるポリシー(たとえば、クライアントのみのWindowsファイアウォールルール、MS Office関連のルール、クライアントソフトウェアの展開ルール)をPC OUにリンクし、カスタムルールを下位レベルのOU(特定のファイル共有マッピング、特別なアクセス許可など)にリンクする必要があります。すべてのGPOが同じOUにリンクされている場合は、GPOの優先順位を変更して、より重要な/特定のポリシーがより一般的なポリシーよりも優先されるようにする必要があります(これは非常に忘れやすい)セキュリティグループフィルタリングが最小限に抑えられた論理OU構造がある場合、「GPOが適用されない」問題のトラブルシューティングがはるかに簡単になると思います(注:グループポリシーループバックポリシーなど、一部のグループポリシーは動作できます)。セキュリティグループフィルタリングを使用すると、予期しない方法で)。
3)スピード。セキュリティグループフィルタリングを使用するGPOは、処理に少し時間がかかります。 WMIフィルタリングを使用するGPOは、はるかに時間がかかります。少数のGPOだけでは問題にならないかもしれませんが、GPOが数百になり始めたら、最適化について考える必要があります。 GPO処理時間を最小限に抑えたい場合は、OUベースのGPO割り当てが最適です。