ActiveDirectoryで組織単位(OU)の作成方法を検証してみました。
ある日、社内のITサポートに呼ばれたときのことです。
「営業部だけUSBメモリを使えないようにしたいんだけど」と言われ、最初は「簡単にできるでしょ」と軽く考えていました。でも、いざ設定しようとすると、全社員に適用されてしまい、「営業部だけ」の制限ができない…。
「あれ?ポリシーってそんなに難しいっけ?」と焦りながら調べていくと、OU(組織単位)をうまく使えば、部署ごとに管理できると判明。「これ最初から知ってたら、無駄な時間使わなかったのに…!」と痛感しました。
こんな経験を踏まえて、今回はActive DirectoryのOU作成について、初心者にも分かるように解説していきます。
組織単位(OU)とは?
OU(組織単位)は、Active Directoryの中で「ユーザー」や「コンピューター」をまとめるための“フォルダ”のようなものです。
例えば、
- 「営業部」だけに特定のポリシーを適用したい
- 「総務部」のファイルを他の部署から見えないようにしたい
といったときに便利です。
もしOUを作らずに管理すると、全社員に同じ設定が適用されてしまい、「営業部だけUSB禁止」みたいな細かい制御ができません。これは、まさに私がハマった落とし穴です…。
OUを作成するメリット
OUを使うと、部署ごとに違うルールを簡単に適用できるのが本当に便利です。
例えば、「営業部はUSB禁止だけど、開発部はOK」といった細かい設定も、一度決めれば自動で反映されます。私も最初は、1台ずつポリシーを設定して確認するという手間のかかる作業をやっていました。でも、OUを知ってからは、そんな面倒なことをしなくても、一括で設定できるようになったんです。正直、「もっと早く知りたかった…!」と思いましたね。
それに、新入社員の対応もぐっと楽になりました。以前は、入社するたびに「この人は営業部だから、このポリシーを適用して…」といちいち手作業で設定していました。でも、OUを使えば、アカウントを「営業部」のOUに入れるだけで、必要なポリシーが勝手に適用されるので、余計な作業が一気になくなります。新しいメンバーが増えても、設定の手間がかからないのは本当にありがたいです。
さらに、セキュリティ面でもOUは大活躍します。例えば、「総務部の書類はほかの部署に見られたくない」といったケースでも、OU単位でアクセス権を設定できるので、見せたくない情報をしっかり守れます。もしOUがなかったら、一つひとつのフォルダやファイルにアクセス制限をかける必要があって、それこそ設定ミスで情報漏洩…なんてことにもなりかねません。OUを活用すれば、そんな心配もなくなるので、安心して管理できますよ。
OUの作成手順
「OUを作る」と聞くと難しく感じるかもしれませんが、実は超簡単です。
※ 画像上の赤枠は説明のために付与しています。
※ 画像は選択すると拡大表示できます。見づらい場合は拡大してご覧ください。
「ツール」メニューを選択します。
「Active Directory ユーザーとコンピューター」を選択します。
左側ツリーの「digitalwith.local」を右ボタンで操作し、「新規作成」>「組織単位 (OU)」を選択してください。
「名前」のフィールドに「営業部」と入力し、「間違って削除されないようコンテナーを保護する」にチェックされてることを確認し、「OK」ボタンを押します。
「営業部OU」が作成されます。
これで、新しく作ったOUにユーザーやコンピューターを入れればOK。
ポリシーを適用したいときは、「グループポリシーの管理」から新しいGPOを作成し、作ったOUにリンクすれば完了です。
OUのトラブルシューティング
- OUを作ったのにポリシーが適用されない!
-
「gpupdate /force」コマンドを試してみてください。それでもダメなら、OUの継承設定を見直してみましょう。
- 誤ってOUを削除してしまった!
-
これ、私もやったことがあります…。事前に「オブジェクトの保護」を有効にしておけば防げます。
- 他の管理者にもOUの編集権限を渡したい
-
「委任管理」を設定すれば、特定の管理者だけに編集権を渡せます。
- 営業部OUを削除できない。
-
拡張機能を表示(有効化)して、削除します。
STEPAD拡張機能有効化「Active Directory ユーザーとコンピューター」から「表示」>「拡張機能」を選択します。
引用元:Microsoft Windows Server 2025 Insider Preview(Build 26257) STEPADOUプロパティ表示「営業部OU」を右ボタンで操作し、「プロパティ」を選択してください。
引用元:Microsoft Windows Server 2025 Insider Preview(Build 26257) STEP削除保護無効化「オブジェクト」タブを選択し、「誤って削除されないようにオブジェクトを保護する」のチェックをはずし、「OK」ボタンを押します。
引用元:Microsoft Windows Server 2025 Insider Preview(Build 26257) STEP削除「営業部OU」 > 「削除」を選択します。
引用元:Microsoft Windows Server 2025 Insider Preview(Build 26257) STEP確認「はい」ボタンを押します。
引用元:Microsoft Windows Server 2025 Insider Preview(Build 26257) STEP削除完了「営業部OU」が削除されます。
引用元:Microsoft Windows Server 2025 Insider Preview(Build 26257)
OUを作成してみた感想
OUを活用するようになってから、
- 設定ミスが激減した
- 新入社員対応がスムーズになった
- 余計な問い合わせが減った
と、良いことばかりでした。
特に「設計が大事」だと実感しました。適当にOUを作ると、後で「この名前なんだっけ…?」と混乱するので、最初にちゃんと計画して作るのがポイントです。
まとめ
ActiveDirectoryで組織単位(OU)の作成方法とトラブルシューティングガイドについて紹介させて頂きました。
OUを作ると、
- 部署ごとにポリシーを適用できる
- 新入社員対応がスムーズになる
- セキュリティ管理がしやすくなる
と、管理がめちゃくちゃ楽になります。
最初はちょっと面倒に感じるかもしれませんが、一度適切に構成すれば、あとで「やっておいてよかった!」と必ず思います。ぜひ試してみてください!
コメント