none
OUの管理委任について RRS feed

  • 質問

  • ADにて以下のようなことが可能かご質問いたします。

    内容としては「ドメインAとBがあり(AとBは別フォレスト)、ドメインAにあるOUをドメインBの管理者に管理委任することは可能でしょうか?」です。

    管理委任は同じドメイン内のユーザに委任できるという認識ですが、

    例えばフォレストで信頼関係を結んだ後、ドメインBの管理者に委任するといったことは出来るのでしょうか?

    お手数ですが、よろしくお願い致します。

    2013年10月2日 14:33

回答

  • チャブーンです。

    「ドメインAのとあるOUはドメインBの管理者に管理委任して、ドメインBの管理者に編集や閲覧を出来るようにしたいが、ドメインAのその他のOUには編集はもちろん、閲覧もさせない」ように出来ればと思っております。

    一応は可能です。ドメインオブジェクト直下の閲覧不要なOUやコンテナのセキュリティ設定で、該当ユーザについて「読み取り」の拒否を設定します。ただし、管理したいOUの階層パスについてはこの設定を行うことはできません。たとえば[example.com]-[OU-A]-[OU-B]という階層があって、[OU-B]が委任対象な場合[OU-A]を見えないように設定する、といったことはできません。

    また一応、と書いたのは、該当ユーザからOUを見えないように設定した場合、あらゆるシチュエーションで、該当ユーザは委任OU内アカウント以外のアカウントを認識できないため、不測の問題が起こる可能性があるため、素直にお奨めできない要素があるためです。どこに問題が発生する可能性があるのか、はシステムに依存するため、ご自身で探していただく(想定される作業をくまなく実施して問題がないことをご自身で確認いただく)しかないでしょう。

    うえのような事態を避けたい場合、アクセス許可をいじるのではなくて、コンソールファイルで目的のOUだけを表示させる方法があります。[ファイルを指定して実行]でmmcを実行し、[Active Directoryユーザーとコンピューター]を選択したあと、表示させたいOUを右クリックして[ここから新しいウインドウ]を選択することで、コンソール上にそのOUだけが表示され、ほかのオブジェクトは表示されなくなります。で、このコンソールを.mscとして保存して、該当ユーザに使って(.mscファイルをダブルクリックするだけ)もらえば問題はないでしょう。

    • 回答としてマーク yasu-s 2013年10月4日 6:44
    2013年10月4日 3:11
    モデレータ

すべての返信

  • チャブーンです。

    結論として可能です。簡単に検証したところ、双方向信頼のあるフォレストAのユーザがフォレストBのOUの委任ユーザに指定することができました。ただし、そちらでも検証いただくことをお奨めします。

    2013年10月3日 5:00
    モデレータ
  • チャブーン様

    掲題の件、ご回答頂きありがとうございます。

    大変申し訳ございませんが、もう一点ご回答をお願いいたします。

    上記ご回答頂いたように、ドメインAのOUの管理委任を、ドメインBの管理者に設定後、ドメインBの管理者はドメインAの"委任されていないOU"の情報は見れないように設定することは可能でしょうか?

    「ドメインAのとあるOUはドメインBの管理者に管理委任して、ドメインBの管理者に編集や閲覧を出来るようにしたいが、ドメインAのその他のOUには編集はもちろん、閲覧もさせない」ように出来ればと思っております。

    以上、よろしくお願いいたします。

    2013年10月3日 5:37
  • チャブーンです。

    「ドメインAのとあるOUはドメインBの管理者に管理委任して、ドメインBの管理者に編集や閲覧を出来るようにしたいが、ドメインAのその他のOUには編集はもちろん、閲覧もさせない」ように出来ればと思っております。

    一応は可能です。ドメインオブジェクト直下の閲覧不要なOUやコンテナのセキュリティ設定で、該当ユーザについて「読み取り」の拒否を設定します。ただし、管理したいOUの階層パスについてはこの設定を行うことはできません。たとえば[example.com]-[OU-A]-[OU-B]という階層があって、[OU-B]が委任対象な場合[OU-A]を見えないように設定する、といったことはできません。

    また一応、と書いたのは、該当ユーザからOUを見えないように設定した場合、あらゆるシチュエーションで、該当ユーザは委任OU内アカウント以外のアカウントを認識できないため、不測の問題が起こる可能性があるため、素直にお奨めできない要素があるためです。どこに問題が発生する可能性があるのか、はシステムに依存するため、ご自身で探していただく(想定される作業をくまなく実施して問題がないことをご自身で確認いただく)しかないでしょう。

    うえのような事態を避けたい場合、アクセス許可をいじるのではなくて、コンソールファイルで目的のOUだけを表示させる方法があります。[ファイルを指定して実行]でmmcを実行し、[Active Directoryユーザーとコンピューター]を選択したあと、表示させたいOUを右クリックして[ここから新しいウインドウ]を選択することで、コンソール上にそのOUだけが表示され、ほかのオブジェクトは表示されなくなります。で、このコンソールを.mscとして保存して、該当ユーザに使って(.mscファイルをダブルクリックするだけ)もらえば問題はないでしょう。

    • 回答としてマーク yasu-s 2013年10月4日 6:44
    2013年10月4日 3:11
    モデレータ
  • チャブーン様

    掲題の件、ご回答頂きありがとうございます。

    上記を踏まえて実際に検証をしていきたいと思います。

    以上、よろしくお願いいたします。

    2013年10月4日 6:43