質問

2009年05月11日 12時50分
  • ADのグループ管理どうしてますか?

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

こんにちは。

いつも拝見させて頂いております。

初めての投稿です。
よろしくお願いします。

Active Directry環境で運用しています。

組織変更が多い会社でそのたびに新しいグループ/新しいフォルダが
増えていきます。
おかげでぐちゃぐちゃです。

皆さんの会社ではどのように管理してますか?
そしてどのタイミングで整理してますか?

ご意見等、よろしくお願いします。

2件の回答があります

回答

こんにちは

弊社は手作業管理です。
総務から社員管理台帳削除の連絡が来た後、無効処理やいらないグループを
削除しています。

参考URLにも載せましたが、世の中にはこういう製品もあるようです。
試用もできるので、試してみたらいかがでしょうか?

2009年05月11日 16時33分

回答

ちょうど4月に大規模な組織改変にあわせてActive Directoryの構造も修正しました。
手作業のほうがラクなのはわかっていましたが、作業内容を残す為に、あえてすべての変更をスクリプトでやりました。

うちはOUを「部-課」のツリーで構成していて、各課、各部の役職別にセキュリティグループを作っています。
例えば「管理部総務課長」であれば「管理部」「総務課」「総務課長」の3つのセキュリティグループに所属します。

異動に際しては異動日に移動先の部署の権限を付与し、引継ぎ期間として1ヶ月を置き、1ヵ月後に移動前の部署の権限を剥奪します。特にクリティカルな情報を扱う部署については異動日に剥奪しますが。

部や課の名称変更については既存のグループ名を修正、新設については新規作成、廃止については名称の先頭に「yyyymmdd廃止_」とつけて、廃止アカウントを集めるOUに移動させています。
ただ、名称変更か新設か、悩ましいときはありますよね(笑)

ファイルサーバーも同様に「部-課」のツリーで構成していて、必ずActive Directoryの修正と連動して構造を変えます。
古い組織のツリーにあるファイルは管理権限がどうしてもあいまいになるので、リンク切れを承知の上で強行します。
「うるさい。リンク切れに文句があるならファイルが流出したときに誰が責任を取るかお前が決めろ。」という感じ。
存在しなくなる部署のフォルダはかならず引き取り先の部署を決めてもらいます。すべてのファイルについて流出などによる責任部署を明確にするためです。

各部、各課のフォルダの直下には
「所属者しか読み書きできないフォルダ」
「誰でも見れるが所属者しか書き込めないフォルダ」
「誰でも読み書きできるフォルダ」
を作成してあり、その3つのフォルダの下にしか、ファイルもフォルダも作成できないようにしてあります。
複数部署で読み書きするファイルであっても、ツリー構造により責任部署が明確になるのが利点です。

Active Directoryそのものは上記のようにほぼ手作業での管理ですが、逆にActive DirectoryからADSIを使用して組織情報をデータベースに吸い上げて、他のアプリケーションで利用しています。

2009年05月17日 14時15分

あなたもコメントしましょう!