Deployment of Active Directory 3... オブジェクトの作成と管理
グループオブジェクトの作成
●アクセス権限の適用
以上の特性を考慮して,オブジェクトへのセキュリティは次のような手順で設定する。このような設定方法のことを,「AGLPポリシー」と呼ぶ。
- Account:ユーザーオブジェクトを作成する。
- Global Group:グローバルグループを作成し,ユーザーオブジェクトを分類する。別ドメインのユーザーオブジェクトやグループオブジェクトを使用する(クロスドメインメンバシップを構成する)場合は,ユニバーサルグループを使う。
- (Domain)Local Group:ローカルグループ(またはドメインローカルグループ)を作成し,メンバとしてグローバルグループ(またはユニバーサルグループ)を追加する。
- Permission:ローカルグループにアクセス権限を割り当てる。
AGLPポリシーに従うと,共有リソースの管理者は独自の判断でアクセス権限を自由に設定できるようになる。また,アカウント管理者はアクセス権限を何ら気にすることなく,純粋にアカウントの属性としてグループを作ることができる(Fig.44)。
Fig.44 AGLPポリシー(クリックで拡大可能)
●グループの登録
Active Directoryがサポートするグループオブジェクトは,ドメインローカルグループ,グローバルグループ,ユニバーサルグループの3つである。ローカルグループは各コンピュータに固有のグループなので,Active Directory上には格納されない。
- Active Directoryがサポートするグループの作成
Active Directoryがサポートするドメインローカルグループ,グローバルグループ,ユニバーサルグループを作成するには,ユーザーオブジェクトを管理する場合と同様に,[Active Directoryユーザーとコンピュータ]管理ツールを用いる。
- コンソールツリーでドメインを展開して新たにグループを作成したいコンテナを右クリックし,表示されたメニューから[新規作成]−[グループ]を選択する。
Fig.45 グループの作成
- [新しいオブジェクト−グループ]ダイアログボックスが表示されたら,[グループ名]と[グループ名(Windows 2000以前)]を入力する。Windows NT 4.0からActive Directory上のグループオブジェクトを参照する場合は,[グループ名(Windows 2000以前)]で指定したダウンレベル名が使用される。デフォルトの[グループ名(Windows 2000以前)]には,[グループ名]の20バイト目までが使用される。[グループの種類]では,[セキュリティ]か[配布]のどちらかを選択する。また,[グループの範囲]では,[ドメインローカル],[グローバル],[ユニバーサル]のどれかを選択する。前述したように,混在モードでActive Directoryを使用する場合,ユニバーサルグループは[配布]グループとしてのみ作成できる。
- [OK]ボタンを押す。
もしドメイン内に同一の識別名またはダウンレベル名(NetBIOS名)のグループオブジェクトがすでに存在していた場合は,Fig.46に示すエラーメッセージが表示される。
Fig.46 グループ作成のエラー表示
- コンソールツリーでドメインを展開して新たにグループを作成したいコンテナを右クリックし,表示されたメニューから[新規作成]−[グループ]を選択する。
- ローカルグループの作成
次に,ローカルグループの作成方法について説明する。ローカルグループは,ドメインコントローラからは作成できない。ローカルグループはActive Directoryのオブジェクトではなく,各コンピュータ上に保存される。ローカルグループを作成するには,メンバサーバーまたはWindows 2000 Professionalの[コンピュータの管理]管理ツールを使用する。
- [マイコンピュータ]を右クリックして[管理]を選択するか,[スタート]メニューから[プログラム]−[管理ツール]−[コンピュータの管理]を選択し,[コンピュータの管理]管理ツールを起動させる。
- [システムツール]−[ローカルユーザーとグループ]−[グループ]を右クリックすると表示されるメニューから[グループの作成]を選ぶ。
- [グループ名]にローカルグループの名前を,[説明]にローカルグループの説明を入力する。ローカルグループに所属するユーザーを指定するときには,[追加]ボタンを押す。
- ローカルユーザーやローカルグループのほか,ドメイン内またはフォレスト内のユーザーやグループを選択し,[OK]ボタンを押す。当然ながら,ドメイン内またはフォレスト内のユーザーやグループを追加するには,そのメンバサーバーやWindows 2000 Professionalが任意のドメインに参加していなければならない。
- [新しいグループ]ダイアログボックスで設定内容を確認し,[作成]ボタンを押す。
- [マイコンピュータ]を右クリックして[管理]を選択するか,[スタート]メニューから[プログラム]−[管理ツール]−[コンピュータの管理]を選択し,[コンピュータの管理]管理ツールを起動させる。
Deployment AD-3 7/13 |