OU オブジェクトを使用して管理を委任する
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
組織単位 (OU) を使用して、OU 内のユーザーやコンピューターなどといったオブジェクトの管理を、指定した個人またはグループに委任することができます。 OU を使用して管理を委任するには、管理権限を委任する個人またはグループをグループに配置し、管理対象のオブジェクトのセットを OU に配置してから、OU の管理タスクをそのグループに委任します。
Active Directory Domain Services (AD DS) では、非常に詳細なレベルで委任できる管理タスクを制御できます。 たとえば、1 つのグループには OU 内にあるすべてのオブジェクトをフル コントロールできる権限を割り当て、別のグループには OU 内のユーザー アカウントを作成、削除、および管理する権限のみを割り当て、3 番目のグループには、ユーザー アカウントのパスワードをリセットする権限のみを割り当てることができます。 これらのアクセス許可を継承可能にして、元の OU のサブツリーに配置されているすべての OU に適用できるようにすることができます。
既定の OU とコンテナーは AD DS のインストール中に作成され、サービス管理者によって制御されます。 サービス管理者がこれらのコンテナーを引き続き制御する場合に最適です。 ディレクトリ内のオブジェクトに対する制御を委任する必要がある場合は、追加の OU を作成し、これらの OU にオブジェクトを配置します。 これらの OU に対する制御を適切なデータ管理者に委任します。 これにより、サービス管理者に与えられた既定のコントロールを変更することなく、ディレクトリ内のオブジェクトに対する制御を委任できます。
フォレスト所有者は、OU 所有者に委任される機関のレベルを決定します。 これは、OU 内でオブジェクトを作成および操作する機能から、OU 内の 1 つの型のオブジェクトの 1 つの属性のみをコントロールできるようにする機能までさまざまあります。 OU にオブジェクトを作成する権限をユーザーに付与すると、ユーザーが作成するオブジェクトの属性を操作する機能が暗黙的に付与されます。 また、作成されたオブジェクトがコンテナーの場合、ユーザーはコンテナーに配置されるすべてのオブジェクトを暗黙的に作成および操作することができます。