none
Active Directoryユーザーの属性OUについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows Server 2012 R2 StdのAD環境を利用中です。

    ダイナミックアクセス制御(DAC)を使用予定で、
    そのうちの制御の一部にADユーザーの属性「OU」を使用してアクセス制御を行おうと考えています。

    そこで確認したいのですが、
    1、「Active Directory ユーザーとコンピューター」の拡張機能で表示される属性「OU」は、
        LDAPのディレクトリ情報ツリー(DIT)の「OU」とは別物と考えて良いでしょうか?
    2、「Active Directory ユーザーとコンピューター」の拡張機能で表示される属性「OU」に
        任意の情報を登録しても、DITへの影響は無いと考えて良いでしょうか?

    ご存じの方がいらっしゃればご教示お願い致します。

    補足:
    私が検証する限りだと、DAC設定のClaim TypesにあるOUは、
    「Active Directory ユーザーとコンピューター」の拡張機能で表示される属性「OU」と紐付いているように見えます。
    また、「Active Directory ユーザーとコンピューター」に所属している「OU」の場所を移動することで、
    属性「distinguishedName」の情報の「OU=○○」が、動的に変更されていることは確認しています。

    2014年9月1日 6:52
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    ユーザーオブジェクトのou属性については、ここに情報があります。

    http://technet.microsoft.com/ja-jp/sysinternals/ms679009

    AD DSおよびAD LDSで簡単に確認した限り、システム属性的な他の属性とのリンク関係はありませんので、設定した値が勝手に書き換えられる、といったことはないはずです。(文字列しか設定できませんが)

    ただし、本来の利用方法と異なる目的での流用はあまりお奨めしません。将来的にこの属性が利用される可能性や、他のアプリケーションでこっそり使われている可能性は常にあるからです。

    スキーマ属性を拡張して必要な属性を新規に定義するのがよいと思います。OIDさえ用意できれば難しくはないので(OIDはMSが提供するスクリプトで簡単に生成できます)、試されてみてはどうでしょうか?過去ログにも情報があると思います。


    2014年9月3日 0:42
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    スキーマの拡張については、過去にお答えしたことがありますので、こちらをご覧になってみてください。他の方も情報を寄せていただいており、それも参考になると思います。

    http://social.technet.microsoft.com/Forums/ja-JP/87042715-852c-439f-a88e-9551f2191e78/ad?forum=windowsserver2003ja

    • 回答としてマーク 佐伯玲 2014年9月4日 8:00
    2014年9月3日 5:34
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    ユーザーオブジェクトのou属性については、ここに情報があります。

    http://technet.microsoft.com/ja-jp/sysinternals/ms679009

    AD DSおよびAD LDSで簡単に確認した限り、システム属性的な他の属性とのリンク関係はありませんので、設定した値が勝手に書き換えられる、といったことはないはずです。(文字列しか設定できませんが)

    ただし、本来の利用方法と異なる目的での流用はあまりお奨めしません。将来的にこの属性が利用される可能性や、他のアプリケーションでこっそり使われている可能性は常にあるからです。

    スキーマ属性を拡張して必要な属性を新規に定義するのがよいと思います。OIDさえ用意できれば難しくはないので(OIDはMSが提供するスクリプトで簡単に生成できます)、試されてみてはどうでしょうか?過去ログにも情報があると思います。


    2014年9月3日 0:42
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様、

    属性の情報についてご教示頂きましてありがとうございます。

    スキーマ属性の拡張については、検討していたのですが、
    スキーマ属性部分の知識に不安があるため、実装しない方向で進めていました。
    (拡張によってシステムへの影響が無いか?拡張後の削除が行えない?など)

    しかし、私が行おうとしていたことも、ご回答頂いた懸念事項を考慮すると利用すべきか悩む部分ではあります。
    もう少し関係者内で詰めて方針を固めていこうと思います。

    ありがとうございました。



    • 編集済み りじえ 2014年9月3日 6:32
    2014年9月3日 5:10
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    スキーマの拡張については、過去にお答えしたことがありますので、こちらをご覧になってみてください。他の方も情報を寄せていただいており、それも参考になると思います。

    http://social.technet.microsoft.com/Forums/ja-JP/87042715-852c-439f-a88e-9551f2191e78/ad?forum=windowsserver2003ja

    • 回答としてマーク 佐伯玲 2014年9月4日 8:00
    2014年9月3日 5:34
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    スキーマ拡張についての情報ありがとうございます。
    私が把握していた以上の情報があり、参考になりました。

    やはり、拡張したスキーマの削除が行えないことが気になります。
    また、拡張したスキーマがDAC設定のClaim Typesに表示されなければ
    その属性でDAC制御が行えないので、拡張自体が無駄になってしまう恐れがあります。

    実際に検証していないので分かりませんが、
    上記2点のことからスキーマ拡張は見送っておりました。


    ユーザーオブジェクトのOU属性をDACで利用することについて、
    DAC設定のClaim TypesからOUは普通に参照できるので、
    「本来の利用方法と異なる目的での流用」では無いと考えているのですが、
    ADの視点からすると通常は隠している部分なので、判断が難しいところです。

    現在、他の属性での制御も検討しておりますので、
    引き続き関係者内で詰めて結論を出そうと思います。

    色々とありがとうございました。

    2014年9月3日 7:36
    |
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、りじえ さん
    フォーラムオペレータの佐伯 玲 です。

    チャブーンさんからご参考になる情報がいただけたかと思い私のほうから「回答としてマーク」とさせていただきました。
    またその後進展があればそちらの状況なども宜しければご返信くださいね。

    今後ともTechNet フォーラムを宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2014年9月4日 8:00
    |