私は Active Directory を教える教師ですが、しばらくの間、次の点について疑問に思っていました。新しい AD 構造を計画する場合、DIT (ディレクトリ情報ツリー) 内の場所を OU として作成するのは理にかなっていますか? それとも、場所はいずれにしてもオブジェクトとして設定できるため、それは良い考えではないのでしょうか? この場合の良いアプローチは何ですか?
OU としてのサイトを支持する議論は何ですか? OU としてのサイトに対する反対の議論は何ですか?
答え1
サイトとサブネットの構成では、物理ネットワークをできるだけ詳細に記述し、サイト リンクで個々のサイトの接続方法を記述するのが通常の方法です。適切に行われると、AD は認証などにどの DC を使用するか (たとえば、1 つのサイトが一定期間ダウンした場合にどの DC がその処理を引き継ぐかなど) について、かなり賢明な決定を下すことができます。大規模な企業では、これが非常に重要になることがあります。重要な点は、すべてのサブネットにサブネット オブジェクトも定義されていることを確認することです。これは、Windows を起動したときにデバイスが最初に行うことは、その場所を特定しようとすることです。それができない場合は、ネットワーク内のどの DC も認証に使用できるため、あまり使用されていない DC が濡れた糸の端にあると、パフォーマンスが非常に低下する可能性があります。
答え2
場所と組織図のどちらに基づいて OU を作成するかに関して、正解も不正解もありません。両方を組み合わせても機能する可能性があります。答えは 100% 組織のニーズに基づきます。どちらのレイアウトを選択しても、全員が満足するとは限りません。私の意見では、OU は主に管理権限の委任のために作成する必要があります。セキュリティ グループも作成し、OU の制御をそのグループに委任すると、OU で AD オブジェクトに対する責任を分割できます。これにより、誰が何を管理しているかを把握するという最大の悩みが解消されます。
GPO の適用やオブジェクトの地理的位置の特定など、OU を作成するその他の一般的な理由は、より簡単な方法で実現できます。GPO は、WMI フィルター、セキュリティ グループ フィルターを使用して適用するか、AD サイトにリンクできます。GPO が制限されたグループ (ヒント) を介してローカル管理者グループを作成するためのものでない限り、GPO を適用するためだけに OU を作成しないでください。オブジェクトの物理的な場所は、各オブジェクトの属性に格納する必要があります。ユーザーまたはコンピューターがどの都市または建物にあるかを確認する必要がある場合は、これらの属性を照会します。ある場所から別の場所に移動する人々を制御することはほとんどできないため、場所ベースの OU 構造では、物理的な場所を伝えるのに不十分です。確かに、属性も最終的には間違っている可能性がありますが、属性を更新しても、OU を変更する場合よりも影響は少なくなります。
答え3
Active Directory を使用すると、論理トポロジを物理トポロジから分離することができます。
複数のサイトを定義し、各サイト内にドメイン コントローラを配置できます。サイトは IP サブネットにマップされ、ドメイン内の各コンピュータは IP サブネットに基づいて「最も近い」ドメイン コントローラを検索できます。サイト間の AD 情報のレプリケーションを管理することもできます。
AD はマルチサイトかつサイト復元性を持つように構成されているため、これをぜひ活用してください。
TL;DR: あなたはすべきだない物理サイトを OU にマッピングし、複数のドメインも使用しないでください。AD は複数のサイトを十分に処理できるため、これを処理するために複数のドメインやサイト固有の OU は絶対に必要ありません。