[質問] Active Directory　"グループ"と"OU"グループポリシの違い

おはようございます。
新米管理者茶木ともうします。

今回、社内でActive Directoryを使用してOutlookを一部許可するという
グループポリシをOUにかけるという仕事を任されました。

1からActive Directoryについて勉強をしていた所、
グループポリシは"グループ"と"OU"2通り設定方法があるという事を学びました。

そこでふと疑問に思ったのですがグループに設定するポリシと
OUに設定するポリシ、何が違うのでしょうか。

ぜひ皆様の実経験など教えて頂けないでしょうか。
Ex.OUの方が管理が楽、等。。。

よろしくお願いいたしますmm

2012年07月23日 08時33分

回答

お疲れ様です。

OUにグループポリシーを適用するのも、ユーザーグループにグループポリシーを適用するのも結論は変わらないとみてよいと思います。

OUは通常、部署とか事業所とか大きな単位で分けることが多いと思います。
ユーザーグループ（グループ）は、その中のプロジェクトチームとか、課などもう少し細かな単位で分けて利用する背景が多いのではないかと思います。

たとえば、営業部OUに営業1課、営業2課、営業3課と有った場合、営業全体に設定するグループポリシーをOUに割り当て、営業1課だけの特別なグループポリシーを、継承というかたちで、さらにグループに対してのみ割り当てることが可能となります。

設計にもよりますが、一般的には、
OUの数　＜　グループの数
となると思いますので、OUで全体的なポリシーを適用し、グループに個別ポリシーを適用させるというのがよいと思います。

もちろん、ポリシーの継承等をさせたくなければ、すべてをグループ単位でACLを設定することで対応することも可能です。

この辺は、あとからの運用で利便性が分かれるところですので、「設計」を大事に検討されてみて下さい。

2012年07月23日 08時43分