シャドーグループを使用する方法
はい、そろそろこのテーマもこれで終わりです。
そこで今回はシャドーグループを使用したPSOの使用方法のご紹介をします。
そもそも、シャドーグループとはなんなのか?から説明が必要ですね。
PSOを使って、あるOU内の全ユーザーに対して特に厳しいパスワードポリシーを適用したい・・・
というようなニーズがあった場合にどのように対応するのか?
PSOはユーザーとグローバルグループには割り当てられるがOUには割り当てられません。
そこで、どうするか?シャドーグループの登場です。
シャドーグループというのは、そういう特別なオブジェクトがあるわけではなく、PSOを適用するためにOU に論理的にマップされるただのグローバルグループのことです。
シャドーグループの使用例
SalesOUに複数のユーザーがいるとき、
- UsersコンテナなどにSalesというような名前のグローバルグループを作り、
- Sales用のPSOを、Salesグローバルグループに割り当てておく。
- 下記のコマンドをタスクスケジューラで、たとえば20分間隔とかで実行する。
dsquery user ou=Sales,dc=contoso,dc=com | dsmod group “CN=Sales,CN=Users,DC=contoso,DC=com” –chmbr
そうすると、SalesOUに新規にユーザーをほうりこむだけで、自動的にSalesというグローバルグループのメンバーになってくれます。
(上記コマンドのポイントは、-addmbrではなく-chmbrを使っているところ。このオプションはリプレースなので、追加だけではなく、OUから抜けたユーザーをメンバーから削除するのにも対応できます)
これによって、あたかもSales用のPSOをSalesOUに割り当てたかのような感じで運用することができます。
・・・こんな使い方をするグローバルグループをシャドーグループと呼ぶようです。
