第8回　Active Directoryの導入後の作業：改訂 管理者のためのActive Directory入門　（Windows Server 2003対応改訂版）（4/4 ページ）

グループ・オブジェクトの作成

　グループ・オブジェクトは、ユーザーをまとめ、共通のセキュリティ設定を構成するために使用するオブジェクトである。グループ・オブジェクトには「セキュリティ・グループ」と「配布グループ」の2種類がある。セキュリティ・グループは、共通のセキュリティ設定をするために利用する。配布グループは、Exchange ServerなどのActive Directoryを利用するメッセージング・アプリケーションにおいて、メールの送信先として利用される。配布グループとして作成されたグループに対し、権限を付与することはできない。

　今回はセキュリティ・グループとして作成する「グループ」の解説をしておく。

　グループを作成する際は、グループの種類（セキュリティ・グループか配布グループか）のほかに、「グループの範囲」を選択する必要がある。グループの範囲とは、グループの有効な範囲やグループに含むことができるメンバーの範囲を定義するものである。グループの範囲には、「ドメイン・ローカル・グループ」「グローバル・グループ」「ユニバーサル・グループ」の3つがある。それぞれのグループは、利用可能な範囲やメンバにできる範囲が異なるため、作成するときには注意が必要である（適当に作成してしまうと、利用したいときに利用できない場合がある）。それぞれの利用目的や利用可能範囲、含むことができるメンバを解説しておこう。簡単にいうと、ドメイン・ローカル・グループはセキュリティ設定（権限の割り当て）用として、グローバル・グループはユーザーをまとめるため（組織化）、ユニバーサル・グループはドメインを超えてユーザーをまとめるためにそれぞれ利用される。なお、このグループの機能は、ドメインの機能レベルがWindows 2000混在か、それより上かによっても異なるので、それらについても分類しておく。

　グループ・オブジェクトを作成するには、［Active Directoryユーザーとコンピュータ］管理ツールを利用する。グループを作成したいOUで右クリックし、ポップアップ・メニューから［新規作成］−［グループ］を選択し、表示されたダイアログ・ボックスでグループ名とグループの範囲および種類を指定する。

グループ・オブジェクトの作成画面
グループ・オブジェクトを作成するには、［Active Directoryユーザーとコンピュータ］管理ツールを利用する。グループを作成したいOUで右クリックし、ポップアップ・メニューから［新規作成］−［グループ］を選択する。
　（1）グループ名を入力する。Windows NTドメインでは、グループ名の変更ができず不便だったが、Active Directoryではグループ名は後から変更することもできる。
　（2）グループの範囲（タイプによって、有効範囲とメンバの範囲が異なる）とグループの種類を選択する。
　（3）セキュリティ設定用グループでは、［グループの種類］として［セキュリティ］を選択する。配布グループはExchange Serverなどで使用する。

　これらのグループをどのように利用するかについては、各グループの利用目的に注目してほしい。グローバル・グループとユニバーサル・グループはユーザーをまとめるために利用されるが、ドメイン・ローカル・グループだけはセキュリティ設定のために利用される。つまりドメイン・ローカル・グループはセキュリティの設定単位で作成していくことになる。例えば、「営業部フォルダ読み取りグループ」といったドメイン・ローカル・グループを作成しておき、そのグループに対して、営業部が使用するフォルダに対する読み取りアクセス許可の設定を行う。このような単位で作成すると、それぞれのグループがどのような権限を持っているのかが分かりやすくなる。

　また組織では、それぞれの組織構成（それぞれの部門や部署）により、どんな作業をするのか、どんなファイルをどこに格納するのかが決まっていることが多い。従って、それぞれの組織（部門や部署）単位にグローバル・グループでユーザーをまとめておくとよいだろう。組織や部門ごとに構成されたグローバル・グループを、先にセキュリティ設定をしたドメイン・ローカル・グループに所属させるだけで、その組織（部署）に所属しているユーザーが適切な権限をもってファイルやフォルダにアクセスできるようになる。

セキュリティ設定の流れ（ドメイン内での構成）
グローバル・グループはユーザーをまとめるために使用し、（リソースに対して）セキュリティを設定するためにはドメイン・ローカル・グループを使用する。
　（1）ユーザーをグローバル・グループに追加し、複数のユーザーに対して同じセキュリティ設定を簡単に適用できるようにする。
　（2）ある特定のリソースへのアクセス権をドメイン・ローカル・グループで制御する。このドメイン・ローカル・グループに含まれるグループ（やユーザー）のみがリソースへアクセスできる。
　（3）ドメイン・ローカル・グループに対して特定のリソースへのアクセス権を与える。リソースの側から見ると、特定のドメイン・ローカル・グループからのアクセスだけを許可すればよい。

　以上は、ドメイン・ローカル・グループとグローバル・グループに関する説明である。では、ユニバーサル・グループはどのような場面で使うのかという疑問がわいてくるだろう。これについては、先ほどの表のうち、グローバル・グループに含むことができるメンバとユニバーサル・グループに含むことができるメンバに注目していただきたい。メンバの範囲が異なることが分かるだろう。つまりドメインをまたがる組織化を行いたい場合にはユニバーサル・グループを利用するということだ。シングル・ドメインでActive Directoryを構成している場合には、Windows 2000ネイティブ機能レベル以上であってもユニバーサル・グループを利用する必要はない。

　またグループ・オブジェクトは、次のようなケースでは作成する必要はない。

• 所属するメンバがいない
• セキュリティ設定の必要がない

グループの整理／削除

　管理者ならば経験したことがあるだろうが、長い間ドメインを運用していると、メンバの追加や削除を繰り返すうちに、メンバが1人もいないグループや、何もセキュリティ設定をしていないグループなどができてしまうことがある。そのようなグループは必要なければ定期的に整理することも考える必要がある。コマンド・プロンプト上で「net group」コマンドや「net localgroup」コマンドを利用すれば、ある特定のグループに属しているメンバの一覧を出力させることができる。定期的にグループのメンバを確認するときに利用するとよいだろう。

最後に

　全8回に渡って、Active Directoryの概要や機能、導入計画、実際の導入方法、そして導入後の作業などについて解説してきた。Windows Server 2003のActive Directoryにおいて、以前のバージョンから、より洗練された部分や機能についても解説してきた。Active DirectoryはWindows NTドメインとは違い、理解しなければならない概念や実際の作業量などは増えているが、それは、より大規模なネットワーク・システムに対応するために設計されたディレクトリ・サービスであるため、やむを得ない部分でもある。だが実際には、基本的な概念を理解し、十分な準備さえしておけば、Active Directoryの導入や管理はそう難しいものではない。Active Directoryの導入を考えているユーザーや管理者は、まずはテストのActive Directoryドメインを構築し、一通りの操作を行ってみていただきたい。容易に理解できるようになるだろう。なお、Active Directoryの運用に欠かせないDNSサービスについては、いずれ機会を改めて、より詳しく解説する予定である。ご期待いただきたい。

「改訂 管理者のためのActive Directory入門（Windows Server 2003対応改訂版）」