ユーザーとサーバーの設定

ポリシーの階層と有効ポリシー
ユーザーの有効ポリシーとは、実行時に動的に計算される抽出されたポリシー設定のセットです。有効ポリシーのフィールド値は、さまざまなポリシー設定文書から取得されます。各階層レベルにポリシーが関連付けられている場合があるため、ユーザーのポリシー設定は、自分の組織単位 (OU) レベルで設定された値と、親ポリシーから継承した値が組み合わさっていることがあります。これらの設定を解釈して、組織階層を上にたどっていくことで、各ユーザーの有効ポリシーが決定されます。

組織ポリシーの他に明示的ポリシーをユーザーに割り当てることができます。その場合、最初にすべての組織ポリシー設定が解決されてから、明示的ポリシーが解決されます。

たとえば、ユーザー全員に同じインターネットメール名形式を使用させる場合、最上位のポリシーの登録ポリシー設定文書に値を設定します。ここに値を設定すれば、下位にある子ポリシーの変更や書き換えは必要がありません。継承オプションを選択すると、値が親から「継承」されるからです。ただし、この設定をそのまま使用できないインターナショナルライセンスのユーザーのグループがある場合、そのグループだけに適用する明示的ポリシーを作成しなければなりません。明示的ポリシーと組織ポリシーを組み合わせると、必要な制御と柔軟性を確保できます。

各ユーザーを制御する有効ポリシーを決定するツールは 2 種類あります。Policy Viewer にはポリシー階層と関連の設定文書が表示され、ポリシー一覧レポートには、各有効設定の抽出元のポリシーが表示されます。

継承と子ポリシーの関係継承は、組織ポリシーや明示的ポリシーの中で、ユーザーのポリシー設定を決定する上で重要な役割を果たします。階層化された親子関係のポリシーを作成することによって、組織全体に管理手続きを設定できます。ポリシー文書がポリシー階層の関係を構築し、ポリシー設定文書が階層内の位置に応じてフィールドの値を決定します。フィールドの継承と強制を使用して、デフォルト設定を制御できます。
組織ポリシーでは、組織の階層に基づいてポリシーの階層が自動的に決定されます。ポリシー */Sales/Acme は */Acme の子ポリシーです。明示的ポリシーは組織の体系に従うものではなく、したがって明示的ポリシーを作成するときは命名の体系に基づいて階層を構築します。たとえば、6 ヵ月から 1 年契約の契約社員だけに適用する /Contractors という名前の明示的ポリシーを作成したとします。1 から 2 週間の短期間のみ雇用する一時雇用の社員がこの設定の一部を継承するようにするには、Short term/Contractors という明示的子ポリシーを作成します。

次の図は、ポリシー階層を示しています。この階層では、各組織レベルのポリシーにそれぞれ独自のパスワードクオリティ設定があります。

次の図では、Joe というユーザーが親ポリシーからパスワードクオリティ設定を継承しています。設定の継承は、ポリシー設定文書のフィールドレベルにある子ポリシーで行われます。

設定値の継承

ユーザーは、強制によってもフィールドレベル設定を「継承」します。次の図で、パスワードクオリティ設定は、登録ポリシー設定文書のフィールドレベルの親ポリシーで強制されます。親ポリシーで設定が強制されると、子ポリシーレベルの設定は適用されません。

設定値の強制

ポリシーの使用例Acme 社のシステム管理者は、ポリシーを使用して次の操作を行うことを検討しています。


これらの目的を実現するために、システム管理者は次のポリシーを作成します。
関連項目