web-dev-qa-db-ja.com

Windowsサーバー。組織単位とグループの違いは? (Active Directory)

したがって、これらは両方とも、他のオブジェクトを整理するために使用するオブジェクトです。ユーザー、グループ、コンピューターを両方に追加できます。

  1. それらの違いは何ですか?
  2. 企業内のさまざまな部門(OUまたはグループ)のユーザーとコンピューターを分割する最良の方法は何ですか?
3
redi

概要:

OUにはユーザーオブジェクトが含まれ、グループにはユーザーオブジェクトのリストがあります。

ユーザーをグループに入れて、そのユーザーのリソースへのアクセスを制御します。ユーザーをOUに配置して、そのユーザーに対する管理権限を持つユーザーを制御します。

これらは、ファイルサーバー(AD)上のフォルダー(OU)とファイル(グループ)のようなものです。単一のファイルではなく、フォルダー全体のアクセス許可/ ACLを管理し、それらをファイル(グループ)に適用することが簡単にできます。自動的に継承。このアナロジーは、詳細に説明されています アクセス拒否:AD OUとグループの違いを理解する

[...]ユーザーとグループにはACLがあるため、管理権限の一部を副管理者に委任できます。ただし、すべてのファイルのACLを個別に維持することは現実的ではないのと同様に、各ユーザーまたはグループオブジェクトの管理権限を個別に制御することも現実的ではありません。したがって、特定の副管理者が管理できるようにするすべてのユーザーとグループをOUに収集し、その副管理者にOUに対する適切な権限を付与できます。フォルダーACLがフォルダー内のすべてのファイルに流れ込むように、OUのACLで定義するアクセス許可は、そのOU内のすべてのユーザーとグループに流れます。

違い:

  • グループポリシーはOUにリンクできますが、グループはリンクできません
  • グループにはファイル/フォルダ/共有権限を付与できますが、OUは付与できません
  • グループにはSIDがありますが、OUにはありません

推奨事項:

  • OUを使用してActive Directoryを整理する必要があるため、管理が容易になります(たとえば、ユーザーとグループの管理制御を他の管理者に委任する場合)
  • リソースへのアクセス許可を与えるには、グループを使用する必要があります(たとえば、ファイルサーバー上の共有の読み取りアクセス許可)
  • リンクされたリソースから:

    OUとグループをわかりやすくするために、ユーザーは多くのグループのメンバーになることができますが、ファイルは1つのフォルダーにしか配置できないのと同じように、1つのOUにしか配置できません。

したがって、両方を使用して異なることを行う必要があります。

3
Mer

通常、OUを使用してActive Directoryツリーを編成し、グループポリシーを適用します。

リソースへのアクセス許可をグループに付与してセキュリティを確保し、ユーザーをグループに追加します。

0
JamesRyan
  1. グループは、データへのアクセスを許可するためのものであり、組織単位(略してOU)は、委任およびグループポリシー設定を介してオブジェクト(ユーザーおよびコンピューター)を整理および制御するためのものです。

  2. これは組織の空想に依存します。ネットワークを論理的に編成する方法。

0
Art.Vandelay05