きめ細かいパスワードポリシー(PSO)の実装~その4~

シャドーグループを使用する方法

はい、そろそろこのテーマもこれで終わりです。

そこで今回はシャドーグループを使用したPSOの使用方法のご紹介をします。

そもそも、シャドーグループとはなんなのか?から説明が必要ですね。

PSOを使って、あるOU内の全ユーザーに対して特に厳しいパスワードポリシーを適用したい・・・

というようなニーズがあった場合にどのように対応するのか?

PSOはユーザーとグローバルグループには割り当てられるがOUには割り当てられません。

そこで、どうするか?シャドーグループの登場です。

シャドーグループというのは、そういう特別なオブジェクトがあるわけではなく、PSOを適用するためにOU に論理的にマップされるただのグローバルグループのことです

シャドーグループ

シャドーグループの使用例

SalesOUに複数のユーザーがいるとき、

  • UsersコンテナなどにSalesというような名前のグローバルグループを作り、
  • Sales用のPSOを、Salesグローバルグループに割り当てておく。
  • 下記のコマンドをタスクスケジューラで、たとえば20分間隔とかで実行する。

dsquery user ou=Sales,dc=contoso,dc=com | dsmod group “CN=Sales,CN=Users,DC=contoso,DC=com” –chmbr

そうすると、SalesOUに新規にユーザーをほうりこむだけで、自動的にSalesというグローバルグループのメンバーになってくれます。

(上記コマンドのポイントは、-addmbrではなく-chmbrを使っているところ。このオプションはリプレースなので、追加だけではなく、OUから抜けたユーザーをメンバーから削除するのにも対応できます)

これによって、あたかもSales用のPSOをSalesOUに割り当てたかのような感じで運用することができます。

・・・こんな使い方をするグローバルグループをシャドーグループと呼ぶようです。

スポンサーリンク
レクタングル(大)広告
レクタングル(大)広告
  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください