2012年7月22日日曜日

[Active Directory] Active Directoryドメイン名のベストプラクティス

ちょっと調べる必要があったので、Webで調べた結果と自分の経験を踏まえて表にまとめてみました。ユーザビリティについてはNetBIOS名やUPNの設定次第でユーザーになじみ易い形にできるので、サブドメイン名を使用するのが一番のように思えます。
What's in an Active Directory DNS Name?
Active Directory .local domain design and Office 365.
DNS 名前空間の計画
<Active Directoryドメイン名の比較表>
前提:パブリックなDNSドメイン名がexample.comの場合パブリックな
ドメイン名と
同じドメイン名
サブドメイン名
(MS推奨)
パブリックな
別TLDの
ドメイン名
プライベートなTLDの
ドメイン名
具体的なADドメイン名
example.comcorp.example.comexample.netexample.local
ユーザ
ビリティ
ユーザーにとって覚えやすくなじみ易いドメイン名か
→○:YES、×:NO
×
×
×
管理性インターネット用と社内用とでDNSを分け、相互に転送や委任を設定して管理負荷を軽減できるか
→○:YES、×:NO
×
名前空間
衝突の
潜在的
リスク
他社と名前空間が重複し、M&A等でADの連携/統合が必要になった場合に障害となる可能性はないか
→○:ほぼなし、×:あり
○/×
×
ドメイン名
確認が
できない
ことによるリスク
証明書発行等ドメイン名確認が必要な申請が却下されるリスクはないか
→○:ほぼなし、×:あり
○/×
×
備考
○/×の箇所は、ドメイン名を所有していれば○、所有していなければ×

[Active Directory] オブジェクトに対する権限を特定のセキュリティグループに付与するには

Active DirectoryではOUを分割して、そのOUの管理をセキュリティグループに委任するのが一般的です。これに対し、あるOU直下にフラットに格納されているオブジェクトに対して、サブOUに分割することなく、特定のセキュリティグループに権限を付与できないかを調べました。

結果、Windows Server 2008以降で追加されたOWNER RIGHTSというセキュリティプリンシパルで実現できそうなことがわかりました。
やり方は下記の通りです。私の場合、あるセキュリティグループのメンバーに、一部ユーザーアカウントのパスワードリセット権限を付与することが上手くいきました。
  1. 権限を付与したいセキュリティグループを、オブジェクトのOwnerとして指定
  2. オブジェクトまたは格納先OUのセキュリティ設定で、OWNER RIGHTSを追加し、付与したい権限を指定
OUに権限を委任する場合と異なり、誰が権限を持っているか分かりづらくなるのが欠点ですが、上手く使えばOUの階層を浅く保ちつつ権限を分割することができそうです。