制御の委任とは、さまざまなユーザーとグループに一連の管理タスクを割り当てることができることを意味します。 通常のユーザーまたはグループに基本的な管理タスクを割り当て、ドメイン全体およびフォレスト全体の管理を Domain Admins グループと Enterprise Admins グループのメンバーに任せることができます。 管理を委任することで、組織内のグループがローカル リソースをより詳細に制御できるようになります。 また、管理者グループのメンバーシップを制限することで、Active Directory 環境の偶発的または悪意のある損害をセキュリティで保護することもできます。
ドメイン内に組織単位を作成し、特定の組織単位の管理制御を特定のユーザーまたはグループに委任することで、管理コントロールを任意のレベルのドメイン ツリーに委任できます。 作成する組織単位、およびアカウントまたは共有リソースを含める組織単位を決定するには、組織の構造を検討します。
Active Directory では、管理制御の委任または制限に使用できる特定のアクセス許可と権限を定義します。 組織単位、グループ、およびアクセス許可の組み合わせを使用して、特定のユーザーに最も適切な管理スコープを定義できます。これは、ドメイン全体、ドメイン内のすべての組織単位、または 1 つの組織単位です。
管理コントロールは、[制御の委任ウィザード] を使用して、ユーザーまたはグループに割り当てることができます。 [制御の委任ウィザード] を使用すると、次のタスクを委任できます。
- ユーザー アカウントの作成、削除、および管理
- ユーザーのパスワードをリセットして次回ログオン時にパスワードの変更を要求する
- すべてのユーザー情報の読み取り
- グループのメンバーシップを変更する
- コンピューターのドメインへの参加
- グループ ポリシーのリンクを管理する
- ポリシーの結果セットの生成 (計画)
- ポリシーの結果セットの生成 (ログ)
- inetOrgPerson アカウントを作成、削除、および管理する
- inetOrgPerson パスワードをリセットし、次回ログイン時にパスワードの変更を要求する
- すべての inetOrgPerson 情報を読み取る
前提条件
制御を委任する前に、次の前提条件が必要です。
Domain Admins グループのメンバーであるか、委任するタスクを実行するために必要なアクセス許可が委任されている必要があります。
制御を委任するコンピューターには、AD DS リモート サーバー管理ツール (RSAT) がインストールされている必要があります。
制御を委任する
[制御の委任ウィザード] を使用する場合は、ドメインまたは組織単位レベルだけでなく、そのコンテナーのすべてのオブジェクトに委任します。
[制御の委任ウィザード] を使用するには、次の手順を実行します。
[Active Directory ユーザーとコンピューター] で、親コンテナーを選択します。 たとえば、制御を委任するドメインまたは組織単位を選択します。
[アクション] メニューで、[制御を委任] を選択します。 これにより、[制御の委任ウィザード] が開始されます。
[ユーザーまたはグループ] ページで、権限を委任するユーザーまたはグループを選択します。
[委任するタスク] ページで、この記事で前述したように、一般的なタスクの一覧から委任するタスクを選択します。
[完了] を選択して委任プロセスを完了します。
カスタム タスクを作成する場合は、[委任するカスタム タスクの作成] オプションを選択することもできます。 カスタム タスクを作成するには、タスクが関連付けるオブジェクトの種類と委任するアクセス許可を指定する必要があります。 一般的なタスクは、委任を実行するコンテナーのスコープ内のすべてのオブジェクトに適用されます。