ステップバイステップ ガイド : オブジェクト制御の委任ウィザードの使用

公開日: 2005年1月7日

このステップバイステップ ガイドでは、Windows Server 2003 Active Directory サービス コンテナ内のオブジェクトの管理を委任する手順について説明します。管理の委任によって、さまざまな管理タスクを適切なユーザーやグループに割り当てることができます。

トピック

はじめに はじめに
概要 概要
オブジェクト制御の委任ウィザードの使用 オブジェクト制御の委任ウィザードの使用
関連資料 関連資料

はじめに

ステップバイステップ ガイド

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、多くの共通点を持つオペレーティング システム構成における実際上の操作を説明します。これらのガイドでは、Windows Server 2003 をインストールして共通ネットワーク インフラストラクチャを構築することから説明を始めます。そして、Active Directory の構成、Windows XP Professional ワークステーションのインストールについて説明し、最後にワークステーションをドメインに追加する方法について説明します。これらのステップバイステップ ガイドの各分冊では、この共通ネットワーク インフラストラクチャが構築されていることを前提としています。このガイドで説明するネットワーク インフラストラクチャとは異なるインフラストラクチャを構築する場合は、適宜変更を加えながらガイドを読み進めてください。

共通ネットワーク インフラストラクチャの構築には、以下のガイドで説明する操作を完了する必要があります。

第 1 部 : ドメイン コントローラとしての Windows Server 2003 のインストール

第 2 部 : Windows XP Professional ワークステーションのインストールとドメインへの接続

共通ネットワーク インフラストラクチャを構築すると、その他のステップバイステップ ガイドの操作を実行できるようになります。ただし、その他のステップバイステップ ガイドでは、共通ネットワーク インフラストラクチャ構築の要件に加えて、その他の前提条件が必要になる場合があります。詳細については、各ステップバイステップ ガイドの説明を参照してください。

Microsoft Virtual PC

Microsoft Windows Server 2003 展開のステップバイステップ ガイドで説明する内容は、現実のラボ環境で実装することができ、Microsoft Virtual PC 2004 や Microsoft Virtual Server 2005 のような仮想化テクノロジを使って実装することもできます。仮想コンピュータ テクノロジを使用すると、単一の物理サーバー上で複数のオペレーティング システムを並行して稼働させることができます。Virtual PC 2004 と Virtual Server 2005 は、ソフトウェアのテストや開発、レガシ アプリケーションの移行、サーバー統合の各シナリオにおいて、業務効率を高めるように設計されています。

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、現実のラボ環境での構成を前提としています。ただし、大部分の構成はそのまま仮想環境に適用できます。

このステップバイステップ ガイドに記載する概念を仮想環境に適用する場合の説明については、ここでは割愛します。

重要

このドキュメントで使用している会社、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、イベントなどの名称は架空のものです。実在する会社名、組織名、製品名、ドメイン名、電子メール アドレス、ロゴ、個人名、場所名、イベント名などは一切関係ありません。

この共通インフラストラクチャは、プライベート ネットワークで使用する目的で設計されています。共通インフラストラクチャで使用する架空の企業名と DNS (Domain Name System) 名は、インターネット上で使用するための登録が行われていません。パブリック ネットワークやインターネット上では、この名前を使用しないようにしてください。

この共通インフラストラクチャの Active Directory サービス構造は、Windows Server 2003 の変更と構成管理機能の概要、および Active Directory との関連を示すために設計されたものです。企業で Active Directory を構成する場合を想定して設計されているわけではないことに注意してください。

ページのトップへページのトップへ

概要

このステップバイステップ ガイドでは、Windows Server 2003 Active Directory サービス コンテナ内のオブジェクトの管理を委任する手順について説明します。管理の委任によって、さまざまな管理タスクを適切なユーザーやグループに割り当てることができます。基本的な管理タスクを一般のユーザーやグループに割り当て、ドメイン全体やフォレスト全体を対象とする管理タスクは Domain Admins グループや Enterprise Admins グループのメンバに割り当てることができます。管理の委任によって、組織内のグループはそれぞれのローカル ネットワーク リソースをより強力に制御できるようになります。また、Administrators グループのメンバを制限することで、ネットワークを過失または故意による破損から保護することもできます。

ドメイン内に組織単位を作成し、特定の組織単位に対する管理権限をユーザーまたはグループに委任することにより、管理権限をドメイン ツリーのどのレベルにでも委任することができます。

Active Directory では、アクセス許可とユーザー権限を定義し、それらを使用して管理権限を委任または制限することができます。組織単位、グループ、およびアクセス許可を組み合わせることによって、特定の個人の管理が及ぶ範囲を適切に定義することができます。この範囲として、ドメイン全体、ドメイン内のすべての組織単位、1 つの組織単位のいずれかを選択できます。

管理権限をユーザーまたはグループに割り当てるには、オブジェクト制御の委任ウィザードか承認マネージャ コンソールを使用します。いずれのツールでも特定のユーザーまたはグループに権限やアクセス許可を割り当てることができます。

このガイドでは、MMC (Microsoft 管理コンソール) の Active Directory ユーザーとコンピュータ スナップインのオブジェクト制御の委任ウィザードを使用して設定した委任の例を示します。例は以下の 3 つです。

前提条件

本ガイドでの要件

この手順を実行するには、Active Directory 内の Domain Admins または Enterprise Admins グループのメンバであるか、または適切な権限を委任されている必要があります。共通インフラストラクチャの構築に加え、以下の手順が完了していることが必要です。

  • Contoso ドメインに Divisions という組織単位を追加する。
  • Divisions に Operations、Autonomous Unit、Product Group という 3 つの組織単位を追加する。
  • Operations に HelpDesk というセキュリティ グループを追加する。
  • Autonomous Unit に AUAdmins というセキュリティ グループを追加する。
  • Product Group に HRTeam というセキュリティ グループを追加する。

ページのトップへページのトップへ

オブジェクト制御の委任ウィザードの使用

ここでは、組織単位の完全な制御を管理者のグループに委任することによってディレクトリ名前空間の制御を分割するという、大規模組織で一般的に行われている作業を例に取って説明します。

組織単位の制御の委任

組織単位の制御を委任するには

  1. HQ-CON-DC-01 で、[Active Directory ユーザーとコンピュータ] を開きます。図 1 のような階層構造が表示されます。

    図 1.   Active Directory 構造

    図 1. Active Directory 構造
    拡大表示する

  2. 左側のペインで組織単位 [Divisions] を右クリックし、[制御の委任] をクリックします。オブジェクト制御の委任ウィザードが表示されます。

  3. [オブジェクト制御の委任ウィザードの開始] ページで、[次へ] をクリックします。

  4. [ユーザーまたはグループ] ページで、[追加] をクリックします。次に、[詳細設定] をクリックし、[今すぐ検索] をクリックします。AUAdmins までスクロールし、[AUAdmins] をダブルクリックして、[OK] をクリックします。[次へ] をクリックします。

  5. [委任するタスク] ページで、[委任するカスタム タスクを作成する] をクリックします (これによって、コンテナ全体の制御を委任することができます)。[次へ] をクリックします。

  6. [Active Directory オブジェクトの種類] ページで [このフォルダ、このフォルダ内の既存のオブジェクト、およびこのフォルダ内の新しいオブジェクトの作成] (既定) をオンのままにして、[次へ] をクリックします。

  7. [アクセス許可] ページで、[フル コントロール] をクリックします。完全な制御が委任されます。[次へ] をクリックし、[完了] をクリックします。

アクセス許可の設定の確認

AUAdmins グループのアクセス制御設定を検証し、アクセス許可が適切に設定されていることを確認することができます。

アクセス許可の設定を確認するには

  1. [Active Directory ユーザーとコンピュータ] スナップインを開き、[表示] メニューの [拡張機能] をクリックします。

  2. 組織単位 [Divisions] を展開し、[Autonomous Unit] を右クリックして、[プロパティ] をクリックします。

  3. [セキュリティ] タブの [詳細設定] をクリックします。[アクセス許可] タブを開き、AUAdmins に適用されるアクセス許可エントリが図 2 のように設定されていることを確認します。

    図 2.   AUAdmins のアクセス許可の設定を確認する

    図 2. AUAdmins のアクセス許可の設定を確認する
    拡大表示する

  4. [AUAdmins] をダブルクリックします。この組織単位とそのサブオブジェクトにはフル コントロールが割り当てられており、アクセス許可が正しく設定されていることがわかります。

  5. すべてのウィンドウを閉じます。

ユーザーの作成および削除の委任

ここでは、特定のタスクを権限のあるセキュリティ グループに委任する手順を説明します。この例では、HRTeam (人事部門のメンバ) が人事業務を行うためにユーザー アカウントを作成および削除するためのアクセス許可を必要としていると仮定します。このような委任は、特定のコンテナに対する権限の一部を割り当てる点で、細分化された制御の委任と言うことができます。それに対し、前の例では、特定のコンテナに対するすべての権限を委任しました。

特定のタスクの制御を HRTeam に委任するには

  1. [Active Directory ユーザーとコンピュータ] スナップインを開き、[Divisions] 組織単位をクリックします。
  2. [Divisions] を右クリックし、[制御の委任] をクリックします。オブジェクト制御の委任ウィザードが表示されます。[次へ] をクリックします。
  3. [ユーザーまたはグループ] ページで、[追加] をクリックします。次に、[詳細設定] をクリックし、[今すぐ検索] をクリックします。HRTeam までスクロールし、[HRTeam] をダブルクリックして、[OK] をクリックします。[次へ] をクリックします。
  4. 図 3 に示すように、[委任するタスク] ページで [次の共通タスクの制御を委任する] の [ユーザー アカウントの作成、削除、および管理] (最初のオプション) をクリックします。[次へ] をクリックします。 図 3. 特定のタスクを委任する
    図 3. 特定のタスクを委任する
    拡大表示する
  5. 概要ページで設定を確認し、[完了] をクリックします。

アクセス許可の設定の確認

アクセス許可の設定を確認するには

  1. [Active Directory ユーザーとコンピュータ] スナップインを開き、[Divisions] 組織単位を右クリックして、[プロパティ] をクリックします。
  2. [セキュリティ] タブの [詳細設定] をクリックします。図 4 のように、ユーザー オブジェクトに適用されるアクセス許可の詳細が表示され、HRTeam に適切なアクセス許可が設定されていることがわかります。
    図 4.   アクセス許可の設定を確認する
    図 4. アクセス許可の設定を確認する
    拡大表示する
  3. HRTeam の 2 つ目のエントリ (ユーザー オブジェクトの作成/削除) をダブルクリックし、[ユーザー オブジェクトの作成] 権限と [ユーザー オブジェクトの削除] 権限が正しく割り当てられていることを確認します。これらのアクセス許可の [適用先] は、このオブジェクト (組織単位 [Divisions]) とすべての子オブジェクトに設定されています。すべてのウィンドウを閉じます。

すべてのユーザーを対象としたパスワードのリセット制御の委任

特定のタスクの制御を委任した前の例を発展させ、ここでは基本的な IT サポート業務であるパスワードのリセットを例として取り上げます。パスワードのリセットは最も頻繁に寄せられる IT サポート依頼の 1 つであるため、このタスクの制御を IT サポート階層の下位に委任することにより、IT 業務を効率化できます。

パスワードのリセットの制御を HelpDesk グループに委任するには

  1. [Active Directory ユーザーとコンピュータ] スナップインを開き、[Divisions] 組織単位をクリックします。
  2. [Divisions] を右クリックし、[制御の委任] をクリックします。オブジェクト制御の委任ウィザードが表示されます。[次へ] をクリックします。
  3. [ユーザーまたはグループ] ページで、[追加] をクリックします。次に、[詳細設定] をクリックし、[今すぐ検索] をクリックします。HelpDesk までスクロールし、[HelpDesk] をダブルクリックして、[OK] をクリックします。[次へ] をクリックします。
  4. 図 5 に示すように、[委任するタスク] ページで [次の共通タスクの制御を委任する] の [ユーザーのパスワードをリセットして次回ログオン時にパスワードの変更を要求する] をクリックします。[次へ] をクリックします。 図 5.   特定のタスクを委任する
    図 5. 特定のタスクを委任する
    拡大表示する
  5. 概要ページで設定を確認し、[完了] をクリックします。

カスタム タスクの制御の委任

これまでの例では、特定の Active Directory コンテナに対するさまざまなレベルの制御委任について説明しました。特定のタスクの委任では、定義済みの委任オプションを選択しました。オブジェクト制御の委任ウィザードでは、さらに細分化した制御の委任も可能であり、特定のユーザーまたはグループにカスタム タスクを委任することができます。ここでは、一般的な人事業務を効率化するために、特定のユーザー属性を変更する権限を HRTeam に委任します。

Active Directory 内の個人情報を作成および削除する権限を HRTeam に委任するには

  1. 左側のペインで組織単位 [Divisions] を右クリックし、[制御の委任] をクリックします。オブジェクト制御の委任ウィザードが表示されます。[次へ] をクリックします。

  2. [ユーザーまたはグループ] ページで、[追加] をクリックします。次に、[詳細設定] をクリックし、[検索開始] をクリックします。HRTeam までスクロールし、[HRTeam] をダブルクリックして、[OK] をクリックします。[次へ] をクリックします。

  3. [委任するタスク] ページで、[委任するカスタム タスクを作成する] をクリックします (これによって、コンテナ全体の制御を委任することができます)。[次へ] をクリックします。

  4. [Active Directory オブジェクトの種類] ページで [フォルダ内の次のオブジェクトのみ] をクリックします。

  5. 最後のエントリまでスクロールし、[ユーザー オブジェクト] チェック ボックスをオンにします。[Active Directory オブジェクトの種類] ページの一番下にある [選択されたオブジェクトをこのフォルダに作成する] チェック ボックスと [選択されたオブジェクトをこのフォルダから削除する] チェック ボックスをオンにします。図 6 に示す設定を確認し、[次へ] をクリックします。

    図 6.   カスタム タスクの制御を委任する

    図 6. カスタム タスクの制御を委任する
    拡大表示する

  6. [アクセス許可] ページで [全般] がオン (既定) になっていることを確認します。下へスクロールし、図 7 のように [個人情報の読み取りと書き込み] チェック ボックスをオンにします。

メモ 個々のプロパティのチェック ボックスをオンにすることによって、属性という詳細なレベルで制御を委任することができます。たとえば、HRTeam だけがユーザーの住所を変更できるようにするには、対応する属性を選択します。

![図 7. カスタム タスクの制御を委任し、特定の権限を割り当てる](images/Cc967033.ctrlwi07s(ja-jp,TechNet.10).gif "図 7.   カスタム タスクの制御を委任し、特定の権限を割り当てる")  

**図 7. カスタム タスクの制御を委任し、特定の権限を割り当てる**  
[拡大表示する](https://msdn.microsoft.com/ja-jp/cc967033.ctrlwi07\(ja-jp,technet.10\).gif)
  1. [次へ] をクリックします。

  2. 概要ページで設定を確認し、[完了] をクリックします。

ページのトップへページのトップへ

関連資料

Windows Server 2003 に関する最新情報 (Windows Server 2003 Web サイト)
https://www.microsoft.com/japan/windowsserver2003/

ページのトップへページのトップへ