| [Management] | |||||||||||||
グループ・アカウントの種類を知る
|
|||||||||||||
|
|||||||||||||
| 解説 |
Windows OSでは、ユーザーや(ほかの)グループのアカウントをまとめて、1つのものとして扱うために、「グループ」という概念がある。「TIPS:デフォルトのローカル・グループを知る」では、Windows OSで利用できるローカル・グループについて解説した。これ以外にも、グループにはいくつかの種類があるが、本TIPSでは、そのグループの種類について解説する。
以下の画面は、Active Directoryの管理ツールでグループを作成するためのダイアログである。これを見ると、ドメイン・レベルで利用できるグループ・アカウントの種類について知ることができる。
 |
|||||||||||||||||||||
| Active Directory環境における新規グループの作成ダイアログ | |||||||||||||||||||||
| これはWindows Server 2003のActive Directoryにおける新規グループの作成ダイアログの例。これ以外に、各コンピュータごとで利用できるローカル・グループもあるが、それは各コンピュータのユーザー管理ツールで作成・管理する。作成できるグループのアカウントの属性としては、スコープ(3つ)と種類(2つ)がある。 | |||||||||||||||||||||
|
これ以外にも、コンピュータごとに作成・管理できる「ローカル・グループ」というものがあるので、まとめると次のようになる。
| 種類 | グループ名 | 概要 | デフォルトのアカウントの例 |
| セキュリティ・グループ | ユニバーサル・グループ | ユニバーサル・スコープを持つグループ。機能レベルがネイティブの場合にのみ利用可能 | − |
| グローバル・グループ | グローバル・スコープを持つグループ | Domain Admins | |
| ドメイン・ローカル・グループ | ドメイン・スコープを持つグループ | RAS and IAS Servers | |
| (コンピュータごとの)ローカル・グループ | ローカル・スコープを持つグループ | Power Users | |
| 配布グループ | ユニバーサル配布グループ | ユニバーサル・スコープを持つ配布グループ | − |
| グローバル配布グループ | グローバル・スコープを持つ配布グループ | − | |
| ドメイン・ローカル配布グループ | ドメイン・スコープを持つ配布グループ | − | |
 |
|||
| グループの種類 | |||
| Windows OS環境で利用できるグループの種別。ただし、ドメインの機能レベルや構成(ワークグループかドメインか)によっては利用できないものもある。グループには大きく分けると、セキュリティ・グループと配布グループの2種類があり、さらに、スコープの違いが4種類ある。 | |||
「セキュリティ・グループ」と「配布グループ」の違い
|
グループ・アカウントの「種類」には「セキュリティ・グループ」と「配布グループ」の2つがある。セキュリティ・グループとは、ファイルやリソースのアクセス権設定などで利用されるアカウントである。アクセス制御リスト(ACL)中では、このセキュリティ・グループのアカウント(とユーザー・アカウント)を利用することができる(ACLについては関連記事を参照のこと)。セキュリティ・グループは最もよく使われるグループ・アカウントであり、AdministratorsやDomain Adminsなどはすべてこのセキュリティ・グループに属しているし、通常作成されるグループ・アカウントは、ほとんどすべて、このセキュリティ・グループのアカウントになる。
「配布グループ」は、電子メール・アプリケーションなどで利用される、特殊なグループ・アカウントである(これはドメイン・レベルでのみ利用できる。ローカル・グループでは利用できない)。例えば、Exchange Serverなどがこのグループを利用している。配布グループは、メールなどを送信する場合に、複数の相手にいっせいに送信するために利用するアカウントである。電子メールのあて先として配布グループを指定しておくと、その配布グループに属する複数の相手(ユーザーもしくはそのほかのグループ)に対して、同時に送信することができる。
以下では、セキュリティ・グループについて解説する。
ドメインのスコープ
グループ・アカウントには、それぞれ「スコープ(範囲)」があり、利用できる範囲(そのグループ・アカウントを参照/検索できる範囲)が決められている。例えば、ローカル・グループはローカルのコンピュータ上でのみ有効であり、ほかのコンピュータから参照することはできない(つまり、あるコンピュータ上のACLに、別のコンピュータ上のローカル・グループ・アカウントをエントリとして追加することはできない)。またドメイン・ローカル・グループは、特定のドメイン内でのみ有効であるが、グローバル・グループはフォレスト内のすべてのコンピュータ/ドメインから参照可能である。
| スコープ | どこから参照できるか |
| ユニバーサル・スコープ | フォレスト全体から参照可能。メンバーも参照可能 |
| グローバル・スコープ | フォレスト全体から参照可能。メンバーは参照できない |
| ドメイン・ローカル・スコープ | (そのグループ・アカウントが作成された)同一ドメインからのみ参照可能。別ドメインからは参照不可能 |
| ローカル(ローカル・コンピュータ・スコープ) | アカウントの存在するコンピュータ上でのみ参照可能 |
|
|
| スコープの種類 | |
| スコープごとに、そのグループ・アカウントが、どこから参照可能かが異なっている。 | |
追加可能なドメインのメンバー
グループの種類に応じて、その中に含めることができる(グループのメンバーとして追加できる)アカウントの種類にも制限がある。
| スコープ | 追加可能なメンバー |
| ユニバーサル・グループ(ネイティブ・モード時のみ) | ・ほかのユニバーサル・グループ ・グローバル・グループ ・ドメイン・ユーザー・アカウント (ドメイン・ローカル・グループは追加できない) |
| グローバル・グループ | ・ドメイン内に存在する、ほかのグローバル・グループ(ネイティブ・モード時のみ) ・ドメイン・ユーザー・アカウント (ドメイン・ローカル・グループは追加できない) |
| ドメイン・ローカル・グループ | ・ドメイン内に存在する、ほかのドメイン・ローカル・グループ(ネイティブ・モード時のみ) ・グローバル・グループ ・ユニバーサル・グループ(ネイティブ・モード時のみ) ・ドメイン・ユーザー・アカウント |
| ローカル・グループ | ・ユニバーサル・グループ ・グローバル・グループ ・ドメイン・ローカル・グループ ・ドメイン・ユーザー・アカウント ・ローカル・ユーザー・アカウント |
|
|
| グループに追加可能なメンバーの種類 | |
| グループの種類ごとに、メンバーとして追加可能なアカウントの種類は異なる。基本的には、(この表における)下位のグループは、上位のグループを含むことができるが、逆はできない(ユニバーサル・グループとグローバル・グループについては後述)。 | |
「グローバル・グループ」と「ドメイン・ローカル・グループ」の違い
グローバル・グループとドメイン・ローカル・グループの違いは、例えばドメイン・ユーザー・アカウントとローカル・コンピュータ上のユーザー・アカウントの違いのようなものである。グローバル・グループは、フォレストやドメイン全体で有効だが、ドメイン・ローカル・グループは特定のドメイン内でのみ有効となっている。
グループに含めることができるメンバーについても違いがある。グローバル・グループでは、同一ドメイン内のほかのグローバル・グループしか含めることができないが、ドメイン・ローカル・グループでは、ほかの任意のグループ(ユニバーサル・グループ、グローバル・グループ、ドメイン・ローカル・グループ)を含めることができる(同一ドメインではなく、フォレスト上の任意のユニバーサル・グループ/グローバル・グループでよい)。
このような違いがあるため、その用途も少し異なっている。グローバル・グループは、極端にいえば、同一ドメイン内のほかのグローバル・グループをまとめる機能しか持たないため、複数のグループを1つにまとめて分かりやすい別名を付ける(もしくは、ひとまとめにして扱う)、といった使い方に向く。それ以上の機能(次に述べるアクセス制御など)には、あまり向かない。
これに対してドメイン・ローカル・グループには、ほかの任意のグループを追加できるため、ドメイン・ローカルなリソースのアクセス権制御などに利用できる。例えばある特定のドメイン内にあるリソースに対し、ドメイン・ローカル・グループを作成してフルアクセスの権限を与える。そして実際にアクセスを許可したいユーザーやグループをこのドメイン・ローカル・グループに追加する、というふうに利用する。リソースに個別のアカウントを割り当ててアクセス権を設定するのではなく、ドメイン・ローカル・グループを1つ割り当て、そのグループのメンバーを入れ換えることにより、管理を簡単にすることができる。
「ユニバーサル・グループ」と「グローバル・グループ」の違い
|
ユニバーサル・グループ(正確には、ユニバーサル・スコープを持つセキュリティ・グループ)は、ドメインの機能レベルがネイティブ・モードの場合にのみ利用できるグループである。また、ユニバーサル・グループのメンバー情報はグローバル・カタログ(GC)に複製されるが、グローバル・グループのメンバー情報は複製されないという特徴がある(いずれも、グループの名前やSIDの情報は複製される)。
ユニバーサル・グループとグローバル・グループは、いずれもフォレスト全体で利用できる(フォレスト全体から参照できる)という点では同じであるが、その中に含めることができるメンバーに関して違いがある。グローバル・グループには、同一ドメイン内のほかのグローバル・グループしか含めることができないが、ユニバーサル・グループには、フォレスト内のほかのグローバル・グループやユニバーサル・グループも含めることができる。
ユニバーサル・グループの方が高機能で有用に思われるが、ユニバーサル・グループのメンバーを変更すると、複製のためにネットワーク的/システム的には負荷が高くなるので、その使用には注意が必要である。メンバーを頻繁に変更するような使用は避けるのが望ましい。
|
||||||||||||||||||||||||
 |
「Windows TIPS」 |
TechTargetジャパン
- フォルダの名前が変更できない不具合を解消する (2012/5/25)
Windows 7のエクスプローラで画像ファイルやPDFが含まれるフォルダの名前が変更できなかったり、削除できなかったりする不具合の解消方法を解説する - 通信相手のMACアドレスを調べる近隣探索プロトコル (2012/5/24)
イーサネットで通信する場合、相手のMACアドレスが分からないとパケットを送信できない。ARPに代わるIPv6の近隣探索機能とは? - 第316話 ネット対応トイレ (2012/5/22)
毎日用をたすだけで、体温に体重、血圧、体脂肪率も計測して、尿検査、便検査も自動で実施、データはネット経由で医師に送られます - 私物のスマートフォンを業務に活用、「BYOD」って何? (2012/5/21)
私物のスマホやノートPCを組織的に業務に活用する「BYOD」が新たなトレンドとして注目されている。なぜいまBYODなのか? BYODのメリットとデメリットは?
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。