WindowsServer2003ドメインのOU(組織単位)およびグループの構造設計について
製品名:OS製品/Windows 2003
現象:知りたい/使い方
単一(信頼関係・子ドメインは一切ありません)のWindowsServer2003ActiveDirectoryドメイン(Windows2000ネイティブモードです)でWindowsServer2003ドメインコントローラが2台(AD統合のDNSサーバー&WINSサーバーを兼ねています)、WindowsServer2003メンバーサーバー(ファイル&プリントサーバー)が5台、Windows2000Serverのメンバーサーバー(DHCPサーバーでトレンドマイクロ社のCorpサーバー&ServerProtectインフォメーションサーバー)が1台、クライアントはWindowsXP Proが50数台、Windows2000 Proが20数台、WindowsNT 4.0が1台、Windows98SEが2台です。2台のドメインコントローラでのみ使用するユーザーを2ユーザー作成、5台のWindowsServer2003メンバーサーバーででのみ使用するユーザーを5ユーザー作成、Windows2000Serverメンバーサーバーでのみ使用するユーザーを1ユーザー作成しています。これらのユーザーはDomainAdminsのメンバーにしています。WindowsXP Pro&Windows2000 Proで使用するユーザーはDomainUsersでローカルのPowerUsersです。WindowsNT 4.0&Windows98SEで使用するユーザーはDomainUsersです。
グループは
1.管理ドメインローカルグループ(管理グローバルグループを入れる)
2.管理グローバルグループ(2台のドメインコントローラでのみ使用するユーザーを2ユーザー、5台のWindowsServer2003メンバーサーバーででのみ使用するユーザーを5ユーザー、Windows2000Serverメンバーサーバーでのみ使用するユーザーを1ユーザーのDomainAdminsのメンバーのユーザーを入れる)
3.一般ドメインローカルグループ(一般グローバルグループを入れる)
4.一般グローバルグループ(WindowsXP Pro&Windows2000 Proで使用するDomainUsersでローカルのPowerUsersのメンバーのユーザーを入れる)
5.旧一般ドメインローカルグループ(旧一般グローバルグループを入れる)
6.旧一般グローバルグループ(WindowsNT 4.0&Windows98SEで使用するDomainUsersのユーザーのメンバーを入れる)
OU(組織単位)を下記のように作成しました。
(1)メンバーサーバーOU(5台のWindowsServer2003メンバーサーバーおよび1台のWindows2000Serverメンバーサーバーのコンピュータアカウントを入れる。)
(2)ワークステーションOU(WindowsXP Pro&Windows2000 Proのコンピュータアカウントを入れる。)
(3)旧ワークステーションOU(WindowsNT 4.0&Windows98SEのコンピュータアカウントを入れる。)
(4)管理ユーザーOU(2台のドメインコントローラでのみ使用するユーザーを2ユーザー、5台のWindowsServer2003メンバーサーバーででのみ使用するユーザーを5ユーザー、Windows2000Serverメンバーサーバーでのみ使用するユーザーを1ユーザーのDomainAdminsのメンバーを入れる)
(5)一般ユーザーOU(WindowsXP Pro&Windows2000 Proで使用するDomainUsersのメンバーを入れる)
(6)旧一般ユーザーOU(WindowsNT 4.0・Windows98SEで使用するDomainUsersのメンバーを入れる)
(7)グループOU(管理ドメインローカルグループ・管理グローバルグループ・一般ドメインローカルグループ・一般グローバルグループ・旧一般ドメインローカルグループ・旧一般グローバルグループを入れる)
このOU(組織単位)およびグループの設計はグループポリシーを作成・適用およびアクセス権を割り当てるにつき、どのように考えますでしょうか。不適切な点があればご指摘願えればと思います。なお、グループポリシーはサーバー・ワークステーションごとに適用する(NT・98SEには適用しない。)アクセス権は部署(営業・総務など)ごとでなくサーバーで使用するユーザー・クライアントで使用するユーザーごとに割り当てたいのです。