組織単位(OU)役割と監査の重要性
組織単位(OU)は、管理者がアカウントをグループ化するために使用するオブジェクトであり、グループポリシーの適用、権限の割り当て、およびコントロール権限の委譲を一括で行えます。これらの区分は、事業所の所在地、職位、または部署に基づく組織構造によって決められます。
OUは細かい管理単位であるため、グループポリシーの設定を任意のオブジェクトに展開し、1つのポイントから管理タスクを委任できます。
OUに加えた変更は注意深く監視する必要があります。わずかな変更が、意図しない重大な問題になる可能性があるからです。OUに変更を加えることにより、以下のような問題が起こることがあります。
- 組織が様々な部署に枝分かれしているため、OUの作成が横行している。
- OUが移動または削除され、これらのOU内のアカウントに適用されるグループポリシー設定が変更される。
- OUが権限ハンドルの配布や管理タスクの委任に使用され、権限の変更や昇格権限の精査が必要になる。
ADAudit Plusは、OUに関して以下のレポートを出力します。
- 最近作成された組織単位(OU)
- 最近削除された組織単位(OU)
- 最近移動のあった組織単位(OU)
- 最近変更された組織単位(OU)
- リネームされた組織単位(OU)
- 拡張属性の変更
- 組織単位(OU)の履歴
- 最近復元された組織単位(OU)
最近作成された組織単位(OU)
これにより、不要なOUの追加がないかチェックできます。指定した時間帯や期間、作成したユーザーなどで抽出できます。
レポートでは、作成されたOUについて、以下のような情報を確認できます。
- 新しく作成されたOUの名前
- いつ作成されたか
- 誰が作成したか
- 作成された場所
- 親オブジェクト名
最近削除された組織単位(OU):
ドメイン内で不要となったOUは削除しておくことが望ましいです。しかし、誤って必要なOUを削除してしまうことは防がなくてはなりません。そのため、削除されたOUの情報を把握しておく必要があります。
レポートでは、削除されたOUについて、以下のような情報を確認できます。
- 削除されたOUの名前
- いつ削除されたか
- 誰が削除したか
- 削除されたOUの場所
最近移動のあった組織単位(OU):
組織が拡張すると、組織構造の再編成が起こります。再編成でOUを移動させる必要がありますが、その際移動が正しく行われたか確認する必要があります。OUをある場所から別の場所に移動すると、そのOUに適用されるGPOが変わります。つまりOU内のユーザーとグループに適用される権限も変更されます。
最近移動したOUレポートには、以下の情報が含まれます:
- 移動のあったOUの名前
- いつ移動したか
- 誰が移動したか
- OUの移動前と移動後の場所
- 変更が発生したマシン
最近変更のあった組織単位(OU):
このレポートは、OUの属性に加えられたすべての変更を一覧表示します。レポートには、アクセスコントロールリスト(ACL)や、名前、説明、クラスなどの項目が含まれます。権限や変更に関する問題が発生した場合、このように包括的な情報を取得することで、問題発生時の根本原因の調査に役立てられます。このレポートで提供される情報には以下が含まれます:
- 変更のあったOUの名前
- いつ変更したか
- 誰が変更したか
- どの属性が変更されたか
- 変更内容(OUの追加や削除など)
- 変更されたOUの場所
拡張属性の変更:
最近変更されたOUの詳細情報が必要な場合、このレポートで変更された属性の新しい値、古い値を確認できます。
組織単位(OU)の履歴:
組織単位(OU)の履歴レポートで、すべてのOU、または指定したOUで発生した固有のイベント全てを表示します。このレポートには、誰がいつどのような変更を行ったかといった包括的な情報を含んでいます。OUを指定すると、その特定のOUに対して行われた作成以降のすべての変更をまとめられます。
最近復元された組織単位(OU):
Active Directoryでは、削除されたオブジェクトを復元できます。最近復元された組織単位(OU)レポートでは、復元されたすべてのOUと、その新しい名前、場所、復元を行ったユーザーの名前が記録されます。
ADAudit Plusは、OUに関する様々なレポートだけでなく、懸念される変更が生じた場合に通知するアラート機能も備えています。これらのアラートは、変更を検知してからリアルタイムでメールまたはSMSで送信できるため、意図しない変更も即座に把握できます。