業務を委任したいが、それぞれ設定するには手間がかかりがち…
Active Directoryの管理変更(パスワードリセットやユーザー作成や削除など)を、ドメイン管理者が全て行っている場合、ドメイン管理者の負担は大変大きくなりがちです。ADUCで「制御の委任」等の設定を行うにも、専門知識が必要だったり手間がかかったりとあらゆる課題が存在します。しかし、Active Directory内の管理作業を分担することは、ドメイン管理者の負担の軽減につながるため、実施するべきです。
セキュアな権限委任で業務分担!
ADManager Plusの「オペレーターの委任」機能によって、組織全体にわたる Microsoft Windows Active Directory 管理業務のうち、一部の作業をを管理者以外のオペレーターに委任することができます。この機能により、Active Directoryの管理者はヘルプデスクを担当する社員や各部門のIT担当者のようなスタッフに適切な権限を与え、管理業務の一部を委任することができます。これにより、Active Directory管理者の作業負荷を大幅に軽減することができます。
Active Directory オペレーター委任の流れ
組織単位(OU)の委任
特定の組織単位(OU)を委任することにより、Active Directoryの管理者はオペレーターに対し、指定したOUに限定して作業を委任することができます。委任されたオペレーターは、委任されたOUの範囲に限って、管理者に許可された操作(パスワードリセット、ログオン許可の管理、Exchangeメールボックスの制限など)を実行することができます。
利用ケース その1:人事部や各部門のIT担当者が新規ユーザーを作成
ADManager Plusのオペレーターの委任機能は、新年度など、企業が多数の新入社員を雇用する時期に効果を発揮します。例えば、人事部のスタッフや各部門のITスタッフに対し、Active Directoryのユーザーを作成する権限を委任することによって、システム部門ではユーザー作成の負荷が低減します。これによって他業務の遅延防止や、管理業務を各部門と分担する体制を確立することができます。
利用ケース その2:オペレーターがアカウントロック解除/パスワードリセット
システム管理部門がActive Directoryの運用において最も多く直面する課題は、ユーザーのロック解除やパスワードリセットなどの依頼に対応する業務の工数です。これらのエンドユーザーに対する作業を行う権限を、社内でヘルプデスクを担当するスタッフや各部門のITスタッフなどに委任し、運用を任せることができます。
利用ケース その3:オペレーターによる複数ドメインの管理
ADManager Plusの複数ドメイン管理オプションにより、Active Directoryの管理者は、1人以上のオペレーターに対して複数のドメインの管理業務サポートを割り当てることができます。この機能により、各オペレーターは自身が所属するドメインに関係なく、複数のフォレストにまたがるActive Directoryドメインに対して管理操作を行うことができます。