そのため、デフォルトでは、マシンが従来の GUI を使用してドメインに参加すると (システムのプロパティウィンドウや `sysdm.cpl` など)、ルートのComputersコンテナーに新しいコンピューター アカウントが自動的に作成されます。 このコンテナーは組織単位 (OU) ではないため、いわば基本的なものです。 グループ ポリシーを直接割り当てることはできず、Default Domain Policyなどのルート ドメイン GPO によってのみ影響を受けます。 これは無害に思えるかもしれませんが、セットアップによっては、セキュリティ上の懸念が生じる可能性があります。これは、誰かがその default コンテナーをアクティブに監視していない限り、新しいコンピューターに適切なポリシーがすぐに適用されない可能性があるためです。より良い方法は何でしょうか。ドメイン管理者がそこで新しいコンピューターの作成を監視し、アカウントを適切な OU に手動で移動する必要があります。
実は、このプロセスを効率化したい場合は、組み込みredircmp.exeコマンドを使って新しいコンピュータのデフォルトのコンテナを変更できます。これは、新しいコンピュータオブジェクトを最初からどこに配置すべきかをADに指示する便利な方法です。
AD で新しいコンピュータのデフォルトコンテナを変更する方法
現在のデフォルトコンテナを確認する
新しいコンピュータがデフォルトでどこに着陸するかを確認するには、次の PowerShell コマンドを実行します。
Get-ADDomain | select ComputersContainer
これにより、現在のデフォルトコンテナの識別名が出力されます。これらのデフォルトの場所はActive DirectoryのwellKnownObjects属性によって制御されるため、開始位置を把握しておくと便利です。
RedirCmp でデフォルトコンテナを変更する
新しいコンピューターを別の OU (たとえば、 OU=Workstations、OU=LA、DC=woshub、DC=com )に配置する場合は、次のコマンドを実行します。
redircmp.exe "OU=Workstations, OU=LA, DC=woshub, DC=com"
このコマンドは、将来のコンピュータアカウントのデフォルトを再設定します。既存のオブジェクトは移動されず、後から作成される新しいオブジェクトのみが移動されます。設定によっては変更がすぐに反映されない場合があり、再起動またはドメインへの再ログインが必要になる場合があります。なぜ最初の試行でうまくいくのかは分かりませんが、よくあることです。
変更を確認する
コンテナが変更されたことを確認するには、前のコマンドをもう一度実行します。
Get-ADDomain | select ComputersContainer
これで、新しいターゲット OU が表示されるはずです。
ユーザーアカウントのデフォルトコンテナを調整する
同様に、特定の OU に新しいユーザー アカウントを作成する場合は、次のコマンドを実行します。
redirusr "OU=Users, OU=LA, DC=woshub, DC=com"
そして次のように確認します:
Get-ADDomain | select usersContainer
これにより、最初からすべてが整理されるため、整理整頓が保たれ、ポリシー管理が大幅に容易になります。ただし、古いADオブジェクトは自動的には移行されないため、Active Directoryユーザーとコンピューター(ADUC)コンソールまたはPowerShellを使用して手動で移行する必要があります。
正直に言うと、Windows がデフォルトのコンテナーに固執する傾向があるのはちょっと面倒ですが、使い方に慣れてしまえば変更はそれほど複雑ではありませredircmp.exeんredirusr.exe。