PowerShellを使用してActiveDirectoryに組織単位（OU）構造を作成する

新しい組織単位（OU）を作成する場合、Active Directory管理者は、新しいOU内にネストされたコンテナーの構造を作成する必要があります。 たとえば、会社が新しいブランチオフィスを開設する場合、新しいOUにユーザー、グループ、サーバー、およびサービスアカウント用のADコンテナを作成する必要があります。 ネストされたOUを手動で作成し、ADUCスナップイン（dsa.msc）でアクセス許可を割り当てることを回避するために、この記事のPowerShellスクリプトを使用して、ネストされたOUを一括で作成および構成できます。 このスクリプトは、新しい組織単位を作成するだけでなく、管理セキュリティグループを作成し、それらに新しいOUへのアクセス許可を付与します。

Active Directoryに新しいOUを作成するには、 New-ADOrganizationalUnit RSAT-AD-PowerShellモジュールのコマンドレット。 指定されたコンテナにOUを作成するには、次のコマンドを使用できます。

Import-Module ActiveDirectory
New-ADOrganizationalUnit -Name "Users" -Path "OU=Berlin,OU=DE,DC=woshub,DC=com" –Description "Account container for Berlin users" -PassThru

指定しない場合 -道 パラメータを指定すると、ADルートに新しいOUが作成されます。

デフォルトでは、ADコンテナを作成するとき、 ProtectedFromAccidentalDeletion オプションが有効になっています。 これを無効にするか、ActiveDirectoryの他の組織単位属性を変更できます。 Set-ADOrganizationalUnit コマンドレット：

Get-ADOrganizationalUnit -Identity “OU=Users,OU=Berlin,OU=DE,DC=woshub,DC=com”| Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $false

ネストされたすべてのオブジェクトを含むOUを削除するには、次のコマンドを使用します。

Remove-ADObject -Identity "OU=Users,OU=Berlin,OU=DE,DC=woshub,DC=com” -Recursive

新しい会社のブランチオフィス用にActiveDirectoryに一般的なOU構造を自動的に作成する小さなPowerShellスクリプトを見てみましょう。

会社に、ネストされたコンテナの次の構造を持つブランチごとに個別のOUがあるとします。

Country
-City_name
--Admins
--Computers
--Contacts
--Groups
--Servers
--Service Accounts
--Users

OU構造を作成した後、ADにブランチ管理者グループを作成し、それらに新しいOUに対する特権を委任する必要があります。

これは、コメント付きのこのPowerShellスクリプトの基本バージョンです。 The CreateBranchOUs.ps1 スクリプトコードは私のGitHubリポジトリで入手できます。

#Create Active Directory OU structure, security groups and assign permissions for a new branch office
# Set the container name
$Country="DE"
$City = "HH"
$CityFull="Hamburg"
$DomainDN=(Get-ADDomain).DistinguishedName
$ParentOU= "OU="+$Country+",$DomainDN"
$OUs = @(
"Admins",
"Computers",
"Contacts",
"Groups",
"Servers",
"Service Accounts",
"Users"
)
# Create an OU for a new branch office
$newOU=New-ADOrganizationalUnit -Name $CityFull -path $ParentOU –Description “A container for $CityFull users” -PassThru
ForEach ($OU In $OUs) {
New-ADOrganizationalUnit -Name $OU -Path $newOU
}
#Create administrative groups
$adm_grp=New-ADGroup ($City+ "_admins") -path ("OU=Admins,OU="+$CityFull+","+$ParentOU) -GroupScope Global -PassThru –Verbose
$adm_wks=New-ADGroup ($City+ "_account_managers") -path ("OU=Admins,OU="+$CityFull+","+$ParentOU) -GroupScope Global -PassThru –Verbose
$adm_account=New-ADGroup ($City+ "_wks_admins") -path ("OU=Admins,OU="+$CityFull+","+$ParentOU) -GroupScope Global -PassThru –Verbose
##### An example of assigning password reset permissions for the _account_managers group on the Users OU
$confADRight = "ExtendedRight"
$confDelegatedObjectType = "bf967aba-0de6-11d0-a285-00aa003049e2" # User Object Type GUID
$confExtendedRight = "00299570-246d-11d0-a768-00aa006e0529" # Extended Right PasswordReset GUID
$acl=get-acl ("AD:OU=Users,OU="+$CityFull+","+$ParentOU)
$adm_accountSID = [System.Security.Principal.SecurityIdentifier]$adm_account.SID
#Build an Access Control Entry (ACE)string
$aceIdentity = [System.Security.Principal.IdentityReference] $adm_accountSID
$aceADRight = [System.DirectoryServices.ActiveDirectoryRights] $confADRight
$aceType = [System.Security.AccessControl.AccessControlType] "Allow"
$aceInheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance] "Descendents"
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($aceIdentity, $aceADRight, $aceType, $confExtendedRight, $aceInheritanceType,$confDelegatedObjectType)
# Apply ACL
$acl.AddAccessRule($ace)
Set-Acl -Path ("AD:OU=Users,OU="+$CityFull+","+$ParentOU) -AclObject $acl

スクリプトの最初に変数を設定して実行します（現在のPowerShell実行ポリシー設定を確認することを忘れないでください）。 このスクリプトは、必要なOU構造とグループを作成し、パスワードリセット権限をユーザーOUに委任します。

新しいブランチオフィスのOUを作成するときに実行する一般的な操作を追加することにより、スクリプトを拡張できます。

たとえば、PowerShellを使用してグループポリシーオブジェクト（GPO）を作成し、それらをOUにリンクできます。

$wksGPO=New-GPO -Name ($City + “_WKS_Policy”) -Comment "$City Workstations Policy"
Get-GPO $wksGPO | New-GPLink -Target ("OU=Computers,OU="+$City+","+$ParentOU) -LinkEnabled Yes