Windows 2000/2003: 同一ドメインの異なる OU に、同一のユーザー(1つのユーザー アカウント)を所属させることはできますか?その公的な根拠、論理的な説明を求めます。なお、会社の同僚はできると主張し、私はできないと考えます。実験環境があればすぐに分かる質問で恐縮です。たかはしもとのぶ氏の個人サイト、atmark IT、Microsoft Technet と Google で’OU 複数 ユーザー 所属’として検索しましたが、まだすべての情報を見切れていません。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2004/05/25 15:13:47
  • 終了:--

回答(4件)

id:aki73ix No.1

aki73ix回答回数5224ベストアンサー獲得回数272004/05/18 15:33:04

http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/...

Cisco Secure ACS ユーザ ガイド Windows サーバ版

URLはダミー

Windowsは他のドメインのユーザを

ドメインA¥¥ユーザB

として管理しています

ですから

自分のドメインのユーザBと他ドメインのユーザBを同時に管理することができ、ユーザーに追加することもできます

他ドメインの共有フォルダにアクセスするときにIDとパスワードを求められたときも

相手ドメイン¥¥ユーザ名B

といれたときはあいてドメインのユーザ

省略したときは自ドメインのユーザとして扱われます

id:trueonline

同一の回答と見受けられます。

2004/05/18 19:23:41
id:JULY No.2

JULY回答回数966ベストアンサー獲得回数2472004/05/18 15:38:27

ポイント70pt

直感的に、「アカウント名が同じでも DN が違えば、別扱いに出来るだろう」

と思ってたんですが、

この記事の後半に「ユーザー・ログオン名は複数ドメインの集合である

フォレスト内で重複があってはならない。」と書かれてますね。

id:trueonline

ありがとうございます。こちら(日経BP 社の記事)も確認したのですが、やはりマイクロソフトの正確な(まあ、MS 社の情報が正確かどうかは図りかねますが)情報源をたよりたいと思います。

2004/05/18 19:25:09
id:Ackieee No.3

Ackieee回答回数68ベストアンサー獲得回数02004/05/18 15:39:17

ポイント70pt

1 つのユーザー アカウントは 1つの OU あるいはコンテナにしか存在することができません。

 

根拠:

ユーザーに代表される Active Directory オブジェクトがどの OU あるいはコンテナに所属するかを一意に表す方法に「LDAP 識別名」と「正規名」とがありますが,これについて,Windows 2000 Server ヘルプ ドキュメントに「Active Directory で生成されるセキュリティ ID、グローバル一意識別子、LDAP 識別名、および正規名は、フォレストで各ユーザー、コンピュータ、またはグループを一意に識別します。」と記述されています。つまり,1 つのユーザー オブジェクトは 1 つの LDAP 識別名に相当する,すなわち,1 つのユーザー オブジェクトは 1 つの OU あるいはコンテナにしか所属できないことになります。

id:trueonline

同一フォレスト内では 1 ユーザーは 1 OU にしか存在できない、ということは分かりましたが、直接的に説明している資料はないでしょうか。とはいえ、私は Microsoft LSG (Learning Solutions Group) のテキストの、LDAP Distinguished Name の項をいま懸命に読んでいるところなので、あれこれ条件をつけてしまい恐縮です。

2004/05/18 19:39:48
id:kanetetu No.4

kanetetu回答回数2199ベストアンサー獲得回数112004/05/18 22:52:16

id:trueonline

質問に対する回答をご存じないのでしたら、回答はご遠慮ください。ご提示くださいました URL では、OU の管理を委任する方法と、グループ ポリシーの割り当てについての説明しかなく、質問に答えていません。

---

関連して質問 (1085460279) をしていましたが、そちらで私が見つけた資料が答えになっていました。同一のユーザーは単一の OU にしか所属できないことがわかりましたので、質問を終了します。

2004/05/25 15:23:32
  • id:trueonline
    参考資料(英文)

    Windows Network and .NET Magazine に関連記事がありました。
    ご紹介したいと思います。

    Access Denied: Understand the Difference Between AD OUs and Groups

    (中略)

    In AD, because users and groups have ACLs, you can delegate portions of administrative authority to subadministrators. But, just as separately maintaining the ACL of every file is impractical, so is separately controlling administrative authority on each user or group object. Therefore, you can collect into an OU all the users and groups that you want to enable a particular subadministrator to manage, then grant the proper authority over the OU to that subadministrator. Permissions you define in an OU’s ACL flow down to all the users and groups in that OU, just as folder ACLs flow down to all the files in a folder. To help you keep OUs and groups straight, remember that a user can be a member of many groups but can reside in only one OU, just as a file can reside in only one folder.

    (リンク先で、InstantDoc ID に 20909 と入力して検索してください)
    http://www.winnetmag.com/Articles/Index.cfm

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません