Active Directoryのユーザー管理

＞会社であれば、部署ごとのグループを作って、ユーザーを作って、ユーザーをグループに所属(追加）してGPOを適用して・・・となると思うのですが、 セキュリティグループと、GPOを適用する組織単位（OU）は設計が異なりますのできちんと分けて考えたほうが良いと思います。 GPOを適用する先はOUです。 だからOUは、適用するGPOが異なるものを網羅するように設計するのが一般的だと思います。 必ずしもこれが組織と同一になる必要はありません。（というか組織通りにきっちり分かれないのが普通だと思います） 例えば全社的にポリシーが同じならばOUは一つで良いし、 営業部はスクリーンセーバを強制するが 総務部はスクリーンセーバを自由に設定できるように ポリシーが部署ごとに異なるのであれば部署ごとのOUにするというようなことです。 ちなみにユーザーアカウントが2つのOUに同時に所属することはできません。 そのため、OUを部署ごとに作成した場合、複数部署に所属する人はどの部署のポリシーを適用するのかを検討する必要があります 次にセキュリティグループはセキュリティプリンシパルの設定です。 リソースに対するアクセス許可などで使用することになると思います。 こちらもセキュリティグループと部署が同一になる必要はありませんが、概ね部署ごとにアクセス出来るリソースが異なることが多いのでこちらは部署ごとのグループになることが多いです。 こちらは複数のセキュリティグループに所属でき、所属しているセキュリティプリンシパルが適用されるので問題ないです。 ＞例えば、ユーザーが2つ部署などに所属していた場合は、どうするのでしょうか？ 従ってこの回答としては、 ・セキュリティグループの場合は両方の部署に追加する ・OUの場合はOU構成とGPOの設計を再考するか、どこのポリシーに従うかを選択しそのOUに所属する という感じになるかと思います。