アドバイザー佐野:それじゃ、「オブジェクト制御の委任」についてRD社のActive Directory ドメインとユーザーアカウントの管理を例に説明していきましょう。プチアド君、RD社のドメインの管理状況を簡単に説明してくれますか?
プチアド:はい。ウチ(RD社)のドメインは、5つの物理的な拠点(本社/3つの支店/1つの工場)が1カ所で管理できるように、シングルドメインで構成されています。ドメイン全体を管理するための管理者権限(Domain Admins グループのメンバー)は僕と豆アド君だけが持っています。つまり、ユーザーアカウントの管理を実施できるのも、僕と豆アド君だけになります(図2)。
 |
|---|
| 図2●RD社のユーザーアカウント管理は、各部門の申請を元に、ドメインの管理者が実施する、もっとも一般的な管理形態(画像クリックで拡大) |
アドバイザー佐野:このような管理方法は一般的な形態といえますね。ところが場合によっては、ユーザーアカウントの管理を拠点・部署(現場)に任せたほうがいい場合があります。
プチアド:ウチ(RD社)の商品企画部みたいな環境ですね。
アドバイザー佐野:あとは、協力会社からの出向者やアルバイトが多くいる環境、大規模ドメインで拠点・部門が各地方に点在している環境などがそうです。このような環境では、現場はユーザーアカウントが必要・不要になるタイミングをよーく分かっていますから、メンテナンスもお任せしてしまったほうがベストタイミングで実施できるというわけです。ついでに管理部門の作業負荷も軽減できますし。
プチアド:だけど、そのために現場のメンバーをDomain Adminsに参加させるのはちょっと……。
アドバイザー佐野:はい、Domain Adminsグループのメンバーは、「企業がITを利用して行なう業務」全体に大きな影響を与えるだけの権限を持っています。ですから、システム管理者以外の人物をDomain Adminsグループに参加させるべきではありません。そこで登場するのが「オブジェクトの制御を委任する」方法です。委任とは、本来管理者だけが行なうべき「Active Directoryのオブジェクト(ユーザーやコンピュータ、OUなど)のメンテナンス作業」の一部を、一般のユーザーに代行させる仕組みです。
豆アド:ふむ、今回の場合なら「ユーザーアカウントの編集のみ」を代行してもらうのですね。
プチアド:作業内容が限定される委任なら、管理者権限を与えるよりずっと安全だということか。
 |  |
|---|
 |
||||
 |
 |
 |
|
 |
 |
||||
佐野 央のプチ管理者は本日も大忙し
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】