Deployment of Active Directory 3... オブジェクトの作成と管理
グループオブジェクトの作成
●グループメンバの追加
ユーザーをグループに追加する方法としては,先にグループを選んでからユーザーを追加する方法(Fig.47)と,先にユーザーを選んでから所属するグループを選択する方法(Fig.48)の2種類がある。いずれの場合にも,[Active Directoryユーザーとコンピュータ]管理ツールを使用する(ただし,ローカルグループは[コンピュータの管理]管理ツールを使用する)。
先にグループを選択する場合には,[Active Directoryユーザーとコンピュータ]管理ツールでグループのプロパティを表示し,[メンバ]パネルを開いて[追加]ボタンを押し,ユーザーやほかのグループを選択する。
Fig.47 グループを選んでからユーザーを追加する方法
先にユーザーを選択する場合には,[Active Directoryユーザーとコンピュータ]管理ツールでグループに加えたいユーザーオブジェクトを右クリックして[グループにメンバを追加]を選択し,所属させたいグループを選択する。
Fig.48 ユーザーを選んでから追加するグループを選択する方法
グループのメンバにすることができるのは,ユーザーオブジェクト,セキュリティグループオブジェクト,コンピュータオブジェクト,配布先オブジェクトの4種類である。残念ながら,OUをグループオブジェクトのメンバとすることはできないので注意してほしい。
●デフォルトで登録されるグループ
Active Directoryドメインを構築した時点で,次のようなセキュリティグループが登録される。登録されるグループには,削除することができない「ビルトインローカルグループ」と,サービスなどの必要に応じて組み込まれる通常のグループという2種類がある。ビルトインローカルグループは[Active Directoryユーザーとコンピュータ]管理ツールの[Builtin]コンテナに,通常のグループは[Users]コンテナに,それぞれ含まれている。
Table 10 ビルトインローカルグループ
解説 | デフォルトのメンバ | |
---|---|---|
Account Operators | ドメインのユーザーとグループの管理者 | |
Administrators | 当該コンピュータとドメインに対するすべての権限を有する管理者 | Administrator,Domain Administrator,Enterprise Administrator |
Backup Operators | バックアップファイルを作成したりファイルを復元したりする権限を有する担当者 | |
Guests | 匿名ユーザー。デフォルトではUsersグループと同じ権限を有する | Domain Guests,Guest,IUSR_コンピュータ名,IWAM_コンピュータ名 |
Pre-Windows 2000 Compatible Access | Active Directoryのデータを読み込む権限を有する。Windows NTなどとの互換性を維持するために用意されている。 | Fig.30で[Windows 2000以前のサーバーと互換性があるアクセス許可]を選択した場合には[Everyone] |
Print Operators | ドメイン内のプリンタを管理する権限を有する担当者 | |
Replicator | ドメイン内のファイル複製をサポートする権限を有する担当者 | |
Server Operators | ドメイン内のサーバーを管理する権限を有する担当者 | |
Users | 一般ユーザー。故意または誤ってシステムに変更を加えないように,証明されたアプリケーションのみを実行可能な権限を有する。Windows NTと同等のセキュリティレベルに緩和したい場合は,[Pre-Windows 2000 Compatible Access]グループに[Everyone]を追加する | Authenticated Users,Domain Users,INTERACTIVE |
Table 11 デフォルトで登録されるグローバルグループ
グループ | 種別 | 解説 | デフォルトのメンバ |
---|---|---|---|
Cert Publishers | グローバル | エンタープライズの証明書を発行したり書き換えたりするエージェント。認証サーバーを参加させる | |
DNS Admins | ドメインローカル | DNSの管理者 | Administrator,Domain Administrator,Enterprise Administrator |
DnsUpdateProxy | グローバル | ほかのクライアントに代わってDNSの動的更新を許可されているDNSクライアント(Windows 2000のDHCPサーバーなどを参加させる) | |
Domain Admins | グローバル | ドメインの管理者 | Administrator |
Domain Computers | グローバル | ドメインの全ワークステーションとサーバー | |
Domain Controllers | グローバル | ドメインの全ドメインコントローラ | ドメインコントローラのコンピュータアカウント |
Domain Guests | グローバル | ドメインの全ゲスト | Guest |
Domain Users | グローバル | ドメインの全ユーザー | Administrator,Guest,IUSR_コンピュータ名,IWAM_コンピュータ名,krbtgt |
Enterprise Admins | グローバル | エンタープライズの管理者 | Administrator |
Group Policy Creator Owners | グローバル | ドメインのグループポリシーを変更する権限を有する管理者 | Administrator |
RAS and IAS Servers | ドメインローカル | ユーザーのリモートアクセスプロパティにアクセスする権限を有するサーバー(RASサーバーなどを参加させる) | |
Shema Admins | グローバル | ディレクトリのスキーマを管理する権限を有する管理者 | Administrator |
Deployment AD-3 8/13 |