この特集のトップページへ

Deployment of Active Directory 3... オブジェクトの作成と管理
グループオブジェクトの作成

●グループメンバの追加
 ユーザーをグループに追加する方法としては,先にグループを選んでからユーザーを追加する方法(Fig.47)と,先にユーザーを選んでから所属するグループを選択する方法(Fig.48)の2種類がある。いずれの場合にも,[Active Directoryユーザーとコンピュータ]管理ツールを使用する(ただし,ローカルグループは[コンピュータの管理]管理ツールを使用する)。

 先にグループを選択する場合には,[Active Directoryユーザーとコンピュータ]管理ツールでグループのプロパティを表示し,[メンバ]パネルを開いて[追加]ボタンを押し,ユーザーやほかのグループを選択する。

Fig.47 グループを選んでからユーザーを追加する方法
fig47.gif

 先にユーザーを選択する場合には,[Active Directoryユーザーとコンピュータ]管理ツールでグループに加えたいユーザーオブジェクトを右クリックして[グループにメンバを追加]を選択し,所属させたいグループを選択する。

Fig.48 ユーザーを選んでから追加するグループを選択する方法
fig48.gif

 グループのメンバにすることができるのは,ユーザーオブジェクト,セキュリティグループオブジェクト,コンピュータオブジェクト,配布先オブジェクトの4種類である。残念ながら,OUをグループオブジェクトのメンバとすることはできないので注意してほしい。

●デフォルトで登録されるグループ
 Active Directoryドメインを構築した時点で,次のようなセキュリティグループが登録される。登録されるグループには,削除することができない「ビルトインローカルグループ」と,サービスなどの必要に応じて組み込まれる通常のグループという2種類がある。ビルトインローカルグループは[Active Directoryユーザーとコンピュータ]管理ツールの[Builtin]コンテナに,通常のグループは[Users]コンテナに,それぞれ含まれている。

Table 10 ビルトインローカルグループ
ビルトインローカルグループ 解説 デフォルトのメンバ
Account Operators ドメインのユーザーとグループの管理者  
Administrators 当該コンピュータとドメインに対するすべての権限を有する管理者 Administrator,Domain Administrator,Enterprise Administrator
Backup Operators バックアップファイルを作成したりファイルを復元したりする権限を有する担当者  
Guests 匿名ユーザー。デフォルトではUsersグループと同じ権限を有する Domain Guests,Guest,IUSR_コンピュータ名,IWAM_コンピュータ名
Pre-Windows 2000 Compatible Access Active Directoryのデータを読み込む権限を有する。Windows NTなどとの互換性を維持するために用意されている。 Fig.30で[Windows 2000以前のサーバーと互換性があるアクセス許可]を選択した場合には[Everyone]
Print Operators ドメイン内のプリンタを管理する権限を有する担当者  
Replicator ドメイン内のファイル複製をサポートする権限を有する担当者  
Server Operators ドメイン内のサーバーを管理する権限を有する担当者  
Users 一般ユーザー。故意または誤ってシステムに変更を加えないように,証明されたアプリケーションのみを実行可能な権限を有する。Windows NTと同等のセキュリティレベルに緩和したい場合は,[Pre-Windows 2000 Compatible Access]グループに[Everyone]を追加する Authenticated Users,Domain Users,INTERACTIVE
Table 11 デフォルトで登録されるグローバルグループ
グループ 種別 解説 デフォルトのメンバ
Cert Publishers グローバル エンタープライズの証明書を発行したり書き換えたりするエージェント。認証サーバーを参加させる  
DNS Admins ドメインローカル DNSの管理者 Administrator,Domain Administrator,Enterprise Administrator
DnsUpdateProxy グローバル ほかのクライアントに代わってDNSの動的更新を許可されているDNSクライアント(Windows 2000のDHCPサーバーなどを参加させる)  
Domain Admins グローバル ドメインの管理者 Administrator
Domain Computers グローバル ドメインの全ワークステーションとサーバー  
Domain Controllers グローバル ドメインの全ドメインコントローラ ドメインコントローラのコンピュータアカウント
Domain Guests グローバル ドメインの全ゲスト Guest
Domain Users グローバル ドメインの全ユーザー Administrator,Guest,IUSR_コンピュータ名,IWAM_コンピュータ名,krbtgt
Enterprise Admins グローバル エンタープライズの管理者 Administrator
Group Policy Creator Owners グローバル ドメインのグループポリシーを変更する権限を有する管理者 Administrator
RAS and IAS Servers ドメインローカル ユーザーのリモートアクセスプロパティにアクセスする権限を有するサーバー(RASサーバーなどを参加させる)  
Shema Admins グローバル ディレクトリのスキーマを管理する権限を有する管理者 Administrator
prevpg.gif Deployment AD-3 8/13 nextpg.gif