この特集のトップページへ

Deployment of Active Directory 3... オブジェクトの作成と管理
sankaku.gif グループオブジェクトの作成

 Active Directoryドメインでは,アクセス権限の設定を抽象化する目的などにグループオブジェクトを利用する。グループオブジェクトの分類方法には,「タイプ」と「スコープ」という2つがある。この2つの分類方法は,機能と用途によって,さらに細かく分類される。

●Windows 2000におけるグループオブジェクト
 Windows 2000のグループは,タイプによって「セキュリティグループ」と「配布グループ」の2つに分類できる。タイプとは,グループを目的別に分類する方法のことである。

Table 8 グループタイプ
グループタイプ 解説
セキュリティグループ セキュリティ設定(アクセス権限やユーザーの権利)を目的として,あるいは電子メールの配布先として使用することができるグループのこと
配布グループ 電子メールの配布先としてのみ使用できるグループのこと

 また,グループの有効範囲と設定可能なメンバによって分類する「スコープ」という概念もある。この方法で分類した場合,Windows 2000のグループは,「ドメインローカルグループ」,「グローバルグループ」,「ユニバーサルグループ」,「ローカルグループ」の4つに分類できる。ただし,これらのグループの機能をすべて使用するには,Active Directoryをネイティブモードで運用する必要がある。Windows NT 4.0のBDCを含んだActive Directoryドメインを運用する場合,すなわちActive Directoryドメインを混在モードで使用する場合には,グループの機能は制限される(Table 9)。たとえば,混在モードにおけるユニバーサルグループは,セキュリティグループとして作成することはできず,配布グループとしてしか作成できない。

注意 Windows 2000のドメインコントローラでは,ローカルグループが廃止された。ただし,ビルトインローカルグループだけは以前と同じように用意されているので,見かけ上の変化はない。ビルトインローカルグループは,ドメインコントローラ間だけで有効であり,新規に作成することはできない。また,メンバサーバーやスタンドアロンサーバーにおけるローカルグループはWindows NT 4.0と同じものである。

Table 9 グループスコープ
グループスコープ 範囲 目的 メンバ 混在モードでの制限
ドメインローカルグループ そのドメイン内のみ セキュリティ設定 フォレスト内の任意のドメインに登録されたユーザーとグループ ユーザーとグローバルグループのみメンバにできる
グローバルグループ ドメインフォレスト全体 アカウントの組織的な分類 そのドメイン内のユーザーとグループ グループをメンバにすることはできない
ユニバーサルグループ ドメインフォレスト全体 アカウントの組織的な分類 フォレスト内の任意のドメインに登録されたユーザーとグループ 配付グループとしてしか作成できない
ローカルグループ そのコンピュータのみ メンバサーバーやスタンドアロンサーバー,ワークステーションにおけるセキュリティ設定 フォレスト内の任意のドメインに登録されたユーザーとグループ Active Directoryの影響は受けない

 Active DirectoryにおけるACLの設定は,Windows NT 4.0とほぼ同様に考えればよい。

  ドメインローカルグループ
 ドメインローカルグループは,Windows NT 4.0におけるローカルグループに相当する。ただし,Windows NT 4.0とは異なり,メンバサーバーやワークステーションでもドメインローカルグループを利用できるので,ドメインのリソース管理者は,どのドメインの,どの人に,どのようなアクセス権限を与えるのかをドメインローカルグループを用いて設定できる。
 Windows NT 4.0では,特定のメンバサーバーで共有リソースを独自に管理するため,ローカルグループを利用してきた。しかし,複数のメンバサーバーのリソースを管理する場合には,ローカルグループを個別に設定しなければならず,非常に不便だった。この問題を解決するため,Windows NT 4.0では,便宜的にグローバルグループを使ってアクセス権限を管理したり,わざわざドメインコントローラをファイルサーバーとして利用したりすることもあったのである。
 しかしWindows 2000では,ドメインローカルグループで複数のサーバーに共通のグループを定義できる一方,メンバサーバーなどではローカルグループを利用して個別にリソースを管理することもできる。なお,同一のドメイン内でサーバーをいくつかのグループに分類したいときには,OUを作成すればよい。
 
  グローバルグループ
 Windows 2000におけるグローバルグループは,Windows NT 4.0におけるグローバルグループに相当する。つまり、そのドメイン内のユーザーを組織的に分類し,そのドメイン自身,あるいは別のドメインにおけるセキュリティ管理に利用する。
 また,グローバルグループは,あるドメインのメンバにどのような属性があるのかを,そのドメインで責任を持って分類するために存在する。各ドメインのリソース管理者は,グローバルグループによってユーザーの属性を知り,ドメインローカルグループのメンバに登録すべきかどうかを判断する。
 
  ユニバーサルグループ
 ユニバーサルグループも,グローバルグループと同様に,ユーザーの組織的な分類に利用する。ただし,グローバルグループとは異なり,別ドメインのユーザーやグループをメンバにすることもできる。
 グローバルグループは,あるドメインの管理者がそのドメインの管理下にあるユーザーの属性を設定したものといえる。しかし運用上は,組織を越えた分類が必要になることも多い。このような場合には,ユニバーサルグループを使う。つまり,会社の指揮系統(組織構成)を反映するようなグループを作成するときにはグローバルグループが向いているが,各部門から選ばれた代表者で一時的なプロジェクトチームを構成するようなときにはユニバーサルグループが向いている。
 
  ローカルグループ
 メンバサーバーやスタンドアロンサーバー,ワークステーションでは,Windows NT 4.0と同様のローカルグループを使用できる。ローカルグループは,ローカルユーザーと同様に,そのコンピュータ独自のアカウントとしてリソース管理に利用できる。ただし,メンバサーバーをドメインコントローラに昇格させると,ローカルユーザーとローカルグループは失われる。
prevpg.gif Deployment AD-3 6/13 nextpg.gif