豆アド:先輩、佐野さん、さっそく検証してみましょう!
プチアド:豆アド君、あわてない、あわてない。まずは検証項目を決めないとね。ええと…ええっとぉ…さ、佐野さん、何をすれば…。
アドバイザー佐野:もう、2人とも落ち着いて。委任を行なう前に十分検討しておかなければならないことがあるのですよ。
プチアド&豆アド:というと?
アドバイザー佐野:「影響範囲の決定」と「委任内容の精査と明文化」です。まず、影響範囲についてですが、いくら委任されるのが「一部の管理タスク」といっても、管理対象がドメイン内にあるすべてのオブジェクトだったら、Domain Admins並みの影響力を一般ユーザーに持たせてしまうことになりますよね?
プチアド:あっ、そりゃそうだ。
アドバイザー佐野:ですから、委任は特定の範囲、つまりOU(組織単位)に対して設定するのが定石です。OUで管理されるのは、他にもグループポリシーなどがありますから、オブジェクトの配置構成を事前に十分検討しておく必要があります。
豆アド:なるほど。
アドバイザー佐野:それから委任内容の精査と明文化。委任を受けたユーザーは、管理者と違って、システム全体の構成や、運用上のセキュリティポリシーを完全に把握しているわけではありません。
プチアド:誤った操作や権限乱用をしてしまわないように、委任内容は最小限にしぼり、実施の際のルールもきちんと決定し、これらを明文化して配布することが必要、ということですね?
アドバイザー佐野:そのとおり! さてと、重要ポイントを頭に叩き込んでもらったところで、検証作業に入りましょう。今回の検証は、以下のとおりです。
■検証環境 テスト用ドメイン: r-sya.local テスト用ドメインコントローラ: RDSRVDC(Windows Server 2003 SP1) テスト用クライアント: RD004(Windows XP Professional SP2) 事前にWindows Server 2003 管理ツールパックをインストール しておく ドメインの管理者: Administrator ユーザーアカウントの管理を委任されるユーザー: SayakaA 管理されるOUとユーザーアカウント: Product OU/YujiT、HikariO 管理対象外のユーザーアカウント: HanakoY(Users コンテナに配置) ■検証項目 1. SayakaAに次のタスクの制御を委任する ・ユーザーアカウントの作成、削除および管理 ・グループの作成、削除および管理 2. Product OU に指定されたSayakaAの権限内容を確認する 3. SayakaAがProduct OUでユーザーアカウント/セキュリ ティグループの作成、編集を実行できることを確認する 4.SayakaAがr-sya.local(ドメイン全体)でユーザー アカウント/セキュリティグループの作成、編集をでき ないことを確認する
アドバイザー佐野:はじめに、SayakaAに管理の委任を行ないます。管理の委任は管理者権限のあるユーザーで実施します。手順は次のとおりです。
■タスクの制御を委任する手順
1. AdministratorでRDSRVDCにログオンし、管理ツールから[Active Directoryユーザーとコンピュータ]を開く
2. コンソールツリーから Product OUを指定、右クリックし、[制御の委任]をクリックする(画面1)
![コンソールツリーから Product OUを指定、右クリックし、[制御の委任]をクリックする](images/petit-no10-1_b.jpg) |
|---|
| 画面1●コンソールツリーから Product OUを指定、右クリックし、[制御の委任]をクリックする(画像クリックで拡大) |
3. [オブジェクト制御の委任ウィザード]が開始されたら、[次へ]をクリックする
4. [ユーザーまたはグループ]画面が表示されたら[追加]をクリック、[選択するオブジェクトの名前を入力してください]ボックスに“SayakaA”を入力し、[OK]をクリックする(画面2)
![[ユーザーまたはグループ]画面が表示されたら[追加]をクリック、[選択するオブジェクトの名前を入力してください]ボックスに“SayakaA”を入力し、[OK]をクリックする](images/petit-no10-2_b.jpg) |
|---|
| 画面2●[ユーザーまたはグループ]画面が表示されたら[追加]をクリック、[選択するオブジェクトの名前を入力してください]ボックスに“SayakaA”を入力し、[OK]をクリックする(画像クリックで拡大) |
5. [ユーザーまたはグループ]画面に戻り、[選択されたユーザーとグループ]に“SayakaA”が登録されていることを確認し、[次へ]をクリックする(画面3)
![[ユーザーまたはグループ]画面に戻り、[選択されたユーザーとグループ]に“SayakaA”が登録されていることを確認し、[次へ]をクリックする](images/petit-no10-3_b.jpg) |
|---|
| 画面3●[ユーザーまたはグループ]画面に戻り、[選択されたユーザーとグループ]に“SayakaA”が登録されていることを確認し、[次へ]をクリックする(画像クリックで拡大) |
6. [委任するタスク]画面が表示されたら、「ユーザーアカウントの作成、削除、および管理」と[グループの作成、削除および管理]にチェックを入れ[次へ]をクリックする(画面4)
![[委任するタスク]画面が表示されたら、「ユーザーアカウントの作成、削除、および管理」と[グループの作成、削除および管理]にチェックを入れ[次へ]をクリックする](images/petit-no10-4_b.jpg) |
|---|
| 画面4●[委任するタスク]画面が表示されたら、「ユーザーアカウントの作成、削除、および管理」と[グループの作成、削除および管理]にチェックを入れ[次へ]をクリックする(画像クリックで拡大) |
7. [オブジェクト制御の委任ウィザードの完了]画面が表示されたら、委任の内容を確認し、[完了]をクリックする(画面5)
![[オブジェクト制御の委任ウィザードの完了]画面が表示されたら、委任の内容を確認し、[完了]をクリックする](images/petit-no10-5_b.jpg) |
|---|
| 画面5●[オブジェクト制御の委任ウィザードの完了]画面が表示されたら、委任の内容を確認し、[完了]をクリックする(画像クリックで拡大) |
プチアド:設定完了しました!
豆アド:先輩、ちゃんと設定されているか確認してみましょう。
プチアド:うん。佐野さん、Product OUの属性を設定したのだから、[プロパティ]を確認すればいいですよね? あ、あれ、変だな。[プロパティ]にはそれらしき設定はどこにも見当たらないぞ(画面6)。
 |
|---|
| 画面6●設定の確認 |
 |  |
|---|
 |
||||
 |
 |
 |
|
 |
 |
||||
佐野 央のプチ管理者は本日も大忙し
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】