ADのOUとコンテナの違いについて

Active Directoryには様々なオブジェクトがあります。

一般的なオブジェクトとしては、ユーザー、グループ、コンピュータ、OUなどがよく使われると思います。

その中の「OU」ですが、似た役割のオブジェクトとして「コンテナ」があります。

どちらもユーザー、グループ、コンピュータなどのオブジェクトを格納するものですが、「OU」と「コンテナ」には明確な違いがあります。

下記のフォルダのようなアイコンが「コンテナ」、フォルダのようなアイコンにさらに何か入ってるアイコンが「OU」です。

1.OUについて

OUは「組織単位」とも呼ばれるように、企業の部署や部門ごとにユーザーやコンピューターを管理するための入れ物のようなオブジェクトです。

OUの中にさらにOUを作成し、ツリー構造にすることも可能です。

OUのプロパティは下記の通りです。

コンテナは役割としてはOUと同じオブジェクトの入れ物です。

よく使われるのは、「Users」やコンピューターがドメイン参加後デフォルトで格納される「Computers」などがあります。

下記のプロパティを見て分かる通り、OUとは設定項目が全く違います。

OUとコンテナの大きな違いとして、下記の3つがあります。

OUは「ユーザーとコンピューターの管理」で新規作成することが出来ます。

しかし、コンテナはデフォルトで存在するものだけで、新たに作成することは出来ません。

OUは企業の部署や部門ごとで作成し、部署ごとに異なるGPOを適用したりすることが可能です。

しかし、コンテナはGPOを適用することは出来ませんので、GPOを運用したい場合、管理オブジェクトはOU一択になります。

下記の通り、GPOの適用先にはOUのみしか表示されません。

「DistinguishedName」とは識別名と呼ばれる、オブジェクトを示すものです。

PowerShellでADのオブジェクトを操作する場合、この「DistinguishedName」が必要になります。

例えば、「liglog」というOUの識別名は「OU=liglog,DC=intra,DC=lig-log,DC=com」です。

一方、「Users」というコンテナの識別名は「CN=Users,DC=intra,DC=lig-log,DC=com」です。

コンテナは「CN」となることに注意してください。

OUとコンテナの違いについては以上です。