Deployment of Active Directory 3... オブジェクトの作成と管理
グループオブジェクトの作成
Active Directoryドメインでは,アクセス権限の設定を抽象化する目的などにグループオブジェクトを利用する。グループオブジェクトの分類方法には,「タイプ」と「スコープ」という2つがある。この2つの分類方法は,機能と用途によって,さらに細かく分類される。
●Windows 2000におけるグループオブジェクト
Windows 2000のグループは,タイプによって「セキュリティグループ」と「配布グループ」の2つに分類できる。タイプとは,グループを目的別に分類する方法のことである。
Table 8 グループタイプ
解説 | |
---|---|
セキュリティグループ | セキュリティ設定(アクセス権限やユーザーの権利)を目的として,あるいは電子メールの配布先として使用することができるグループのこと |
配布グループ | 電子メールの配布先としてのみ使用できるグループのこと |
また,グループの有効範囲と設定可能なメンバによって分類する「スコープ」という概念もある。この方法で分類した場合,Windows 2000のグループは,「ドメインローカルグループ」,「グローバルグループ」,「ユニバーサルグループ」,「ローカルグループ」の4つに分類できる。ただし,これらのグループの機能をすべて使用するには,Active Directoryをネイティブモードで運用する必要がある。Windows NT 4.0のBDCを含んだActive Directoryドメインを運用する場合,すなわちActive Directoryドメインを混在モードで使用する場合には,グループの機能は制限される(Table 9)。たとえば,混在モードにおけるユニバーサルグループは,セキュリティグループとして作成することはできず,配布グループとしてしか作成できない。
Windows 2000のドメインコントローラでは,ローカルグループが廃止された。ただし,ビルトインローカルグループだけは以前と同じように用意されているので,見かけ上の変化はない。ビルトインローカルグループは,ドメインコントローラ間だけで有効であり,新規に作成することはできない。また,メンバサーバーやスタンドアロンサーバーにおけるローカルグループはWindows NT 4.0と同じものである。
Table 9 グループスコープ
範囲 | 目的 | メンバ | 混在モードでの制限 | |
---|---|---|---|---|
ドメインローカルグループ | そのドメイン内のみ | セキュリティ設定 | フォレスト内の任意のドメインに登録されたユーザーとグループ | ユーザーとグローバルグループのみメンバにできる |
グローバルグループ | ドメインフォレスト全体 | アカウントの組織的な分類 | そのドメイン内のユーザーとグループ | グループをメンバにすることはできない |
ユニバーサルグループ | ドメインフォレスト全体 | アカウントの組織的な分類 | フォレスト内の任意のドメインに登録されたユーザーとグループ | 配付グループとしてしか作成できない |
ローカルグループ | そのコンピュータのみ | メンバサーバーやスタンドアロンサーバー,ワークステーションにおけるセキュリティ設定 | フォレスト内の任意のドメインに登録されたユーザーとグループ | Active Directoryの影響は受けない |
Active DirectoryにおけるACLの設定は,Windows NT 4.0とほぼ同様に考えればよい。
- ドメインローカルグループ
- ドメインローカルグループは,Windows NT 4.0におけるローカルグループに相当する。ただし,Windows NT 4.0とは異なり,メンバサーバーやワークステーションでもドメインローカルグループを利用できるので,ドメインのリソース管理者は,どのドメインの,どの人に,どのようなアクセス権限を与えるのかをドメインローカルグループを用いて設定できる。
Windows NT 4.0では,特定のメンバサーバーで共有リソースを独自に管理するため,ローカルグループを利用してきた。しかし,複数のメンバサーバーのリソースを管理する場合には,ローカルグループを個別に設定しなければならず,非常に不便だった。この問題を解決するため,Windows NT 4.0では,便宜的にグローバルグループを使ってアクセス権限を管理したり,わざわざドメインコントローラをファイルサーバーとして利用したりすることもあったのである。
しかしWindows 2000では,ドメインローカルグループで複数のサーバーに共通のグループを定義できる一方,メンバサーバーなどではローカルグループを利用して個別にリソースを管理することもできる。なお,同一のドメイン内でサーバーをいくつかのグループに分類したいときには,OUを作成すればよい。
- グローバルグループ
- Windows 2000におけるグローバルグループは,Windows NT 4.0におけるグローバルグループに相当する。つまり、そのドメイン内のユーザーを組織的に分類し,そのドメイン自身,あるいは別のドメインにおけるセキュリティ管理に利用する。
また,グローバルグループは,あるドメインのメンバにどのような属性があるのかを,そのドメインで責任を持って分類するために存在する。各ドメインのリソース管理者は,グローバルグループによってユーザーの属性を知り,ドメインローカルグループのメンバに登録すべきかどうかを判断する。
- ユニバーサルグループ
- ユニバーサルグループも,グローバルグループと同様に,ユーザーの組織的な分類に利用する。ただし,グローバルグループとは異なり,別ドメインのユーザーやグループをメンバにすることもできる。
グローバルグループは,あるドメインの管理者がそのドメインの管理下にあるユーザーの属性を設定したものといえる。しかし運用上は,組織を越えた分類が必要になることも多い。このような場合には,ユニバーサルグループを使う。つまり,会社の指揮系統(組織構成)を反映するようなグループを作成するときにはグローバルグループが向いているが,各部門から選ばれた代表者で一時的なプロジェクトチームを構成するようなときにはユニバーサルグループが向いている。
- ローカルグループ
- メンバサーバーやスタンドアロンサーバー,ワークステーションでは,Windows NT 4.0と同様のローカルグループを使用できる。ローカルグループは,ローカルユーザーと同様に,そのコンピュータ独自のアカウントとしてリソース管理に利用できる。ただし,メンバサーバーをドメインコントローラに昇格させると,ローカルユーザーとローカルグループは失われる。
Deployment AD-3 6/13 |