QA@IT

Active Directoryのユーザー管理について

5801 PV

ADでユーザー管理をする時って、
会社であれば、部署ごとのグループを作って、ユーザーを作って、ユーザーをグループに所属(追加)してGPOを適用して・・・となると思うのですが、

例えば、ユーザーが2つ部署などに所属していた場合は、どうするのでしょうか?
ex)
user01が営業部と総務部の両方に所属するような場合。

回答

チャブーンです。

複数のOUの一部ユーザーに同時にGPOを適用させるには、セキュリティフィルターを使う方法があるにはあります。

このケースで言うと(おそらく同じ階層の別OUとして)営業部と総務部OUが存在する、という前提でしょうから、この場合、営業部OUに兼務のユーザーを所属させ、営業部OUに総務部向けGPOをリンクします。そのままだと営業部ユーザー全員に総務部向けGPOが適用されてしまうので、総務部向けGPOをセキュリティフィルターで「総務部グループのみ適用」になるよう設定を変更します。

こうすると、総務部グループにも所属する(はず)の兼務ユーザーには営業部向けGPOと総務部向けGPOの両方が、その他の営業部ユーザーには営業部向けGPOのみが適用されます。

セキュリティフィルターは本来OU内すべてのオブジェクトに適用されるポリシーを一部に制限する機能で、そのオブジェクトが属するセキュリティグループでフィルタ適用を行うことができます。

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。