連載
» 2003年03月28日 00時00分 公開

管理者のためのActive Directory入門:第8回 Active Directoryの導入後の作業 (3/3)

[伊藤将人,(株)コメット]
前のページへ 1|2|3       

グループ・オブジェクトの作成

 グループ・オブジェクトは、ユーザーをまとめ、共通のセキュリティ設定を構成するために使用するオブジェクトである。グループ・オブジェクトには「セキュリティ・グループ」と「配布グループ」の2種類がある。セキュリティ・グループは、共通のセキュリティ設定をするために利用し、配布グループはExchange ServerなどのActive Directoryを利用するメッセージング・アプリケーションにおいて、メールの送信先として利用する。

 今回はセキュリティ・グループとして作成する「グループ」の解説をしておく。

 グループを作成する際は、グループの種類(セキュリティ・グループか配布グループか)のほかに、「グループの範囲」を選択する必要がある。グループの範囲とは、グループの有効な範囲やグループに含むことができるメンバーの範囲を定義するものである。グループの範囲には、「ドメイン・ローカル・グループ」「グローバル・グループ」「ユニバーサル・グループ」の3つがある。それぞれのグループは、利用可能な範囲やメンバーにできる範囲が異なるため、作成するときには注意が必要である(適当に作成してしまうと、利用したいときに利用できない場合がある)。それぞれの利用目的や利用可能範囲、含むことができるメンバーを解説しておこう。簡単にいうと、ドメイン・ローカル・グループはセキュリティ設定(権限の割り当て)用として、グローバル・グループはユーザーをまとめるため(組織化)、ユニバーサル・グループはドメインを超えてユーザーをまとめるためにそれぞれ利用される。なお、このグループの機能は、ドメイン・モードがネイティブ・モードか混在モードかによっても異なるので、それらについても分類しておく。

ネイティブ・モード環境
グループ範囲名 使用目的 含むことのできるメンバー 有効範囲
ドメイン・ローカル・グループ セキュリティ設定 フォレスト内の全ドメインのユーザー ドメイン内のコンピュータ
フォレスト内の全ドメインのグローバル・グループ
フォレスト内の全ドメインのユニバーサル・グループ
同じドメイン内のドメイン・ローカル・グループ
グローバル・グループ ドメイン内の組織化 同じドメイン内のユーザー フォレスト内のコンピュータ
同じドメイン内のグローバル・グループ
ユニバーサル・グループ ドメインをまたがる組織化 フォレスト内の全ドメインのユーザー フォレスト内のコンピュータ
フォレスト内の全ドメインのグローバル・グループ
フォレスト内の全ドメインのユニバーサル・グループ
ネイティブ・モード環境におけるグループの違い

混在モード環境
グループ範囲名 使用目的 含むことのできるメンバー 有効範囲
ドメイン・ローカル・グループ セキュリティ設定 フォレスト内の全ドメインのユーザー ドメイン・コントローラ上のみ
フォレスト内の全ドメインのグローバル・グループ
グローバル・グループ ドメイン内の組織化 同じドメイン内のユーザー フォレスト内のコンピュータ
ユニバーサル・グループ
混在モードにおけるネイティブ・モード環境におけるグループの違い

 グループ・オブジェクトを作成するには、[Active Directoryユーザーとコンピュータ]管理ツールを利用する。グループを作成したいOUで右クリックし、ポップアップ・メニューから[新規作成]−[グループ]を選択し、表示されたダイアログ・ボックスでグループ名とグループの範囲および種類を指定する。

グループ・オブジェクトの作成画面
グループ・オブジェクトを作成するには、[Active Directoryユーザーとコンピュータ]管理ツールを利用する。グループを作成したいOUで右クリックし、ポップアップ・メニューから[新規作成]−[グループ]を選択する。
 (1)グループ名を入力する。Windows NTドメインでは、グループ名の変更ができず不便だったが、Active Directoryではグループ名は後から変更することもできる。
 (2)グループの範囲(有効範囲とメンバーの範囲が各種異なる)とグループの種類を選択する。
 (3)セキュリティ設定用グループでは、[グループの種類]として[セキュリティ]を選択する。配布グループはExchange Serverなどで使用する。

 これらのグループをどのように利用するかについては、各グループの利用目的に注目してほしい。グローバル・グループとユニバーサル・グループはユーザーをまとめるために利用されるが、ドメイン・ローカル・グループだけはセキュリティ設定のために利用される。つまりドメイン・ローカル・グループはセキュリティの設定単位で作成していくことになる。例えば、「営業部フォルダ読み取りグループ」といったドメイン・ローカル・グループを作成しておき、そのグループに対して、営業部が使用するフォルダに対する読み取りアクセス許可の設定を行う。このような単位で作成すると、それぞれのグループがどのような権限を持っているのかが分かりやすくなる。

 また組織では、それぞれの組織構成(それぞれの部門や部署)により、どんな作業をするのか、どんなファイルをどこに格納するのかが決まっていることが多い。従って、それぞれの組織(部門や部署)単位にグローバル・グループでユーザーをまとめておくとよいだろう。組織や部門ごとに構成されたグローバル・グループを、先にセキュリティ設定をしたドメイン・ローカル・グループに所属させるだけで、その組織(部署)に所属しているユーザーが適切な権限をもってファイルやフォルダにアクセスできるようになる。

セキュリティ設定の流れ(ドメイン内での構成)
グローバル・グループはユーザーをまとめるために使用し、(リソースに対して)セキュリティを設定するためにはドメイン・ローカル・グループを使用する。
 (1)ユーザーをグローバル・グループに追加し、複数のユーザーに対して同じセキュリティ設定を簡単に適用できるようにする。
 (2)ある特定のリソースへのアクセス権をドメイン・ローカル・グループで制御する。このドメイン・ローカル・グループに含まれるグループ(やユーザー)のみがリソースへアクセスできる。
 (3)ドメイン・ローカル・グループに対して特定のリソースへのアクセス権を与える。リソースの側から見ると、特定のドメイン・ローカル・グループからのアクセスだけを許可すればよい。

 以上は、ドメイン・ローカル・グループとグローバル・グループに関する説明である。では、ユニバーサル・グループはどのような場面で使うのかという疑問がわいてくるだろう。これについては、先ほどの表のうち、グローバル・グループに含むことができるメンバーとユニバーサル・グループに含むことができるメンバーに注目していただきたい。メンバーの範囲が異なることが分かるだろう。つまりドメインをまたがる組織化を行いたい場合にはユニバーサル・グループを利用するということだ。シングル・ドメインでActive Directoryを構成している場合には、ネイティブ・モードであってもユニバーサル・グループを利用する必要はない。

 またグループ・オブジェクトは、次のようなケースでは作成する必要はない。

  • 所属するメンバーがいない
  • セキュリティ設定の必要がない

グループの整理/削除

 管理者ならば経験したことがあるだろうが、長い間ドメインを運用していると、メンバーの追加や削除を繰り返すうちに、メンバーが1人もいないグループや、何もセキュリティ設定をしていないグループなどができてしまうことがある。そのようなグループは必要ないので、定期的に整理することも考える必要がある。コマンド・プロンプト上で「net group」コマンドや「net localgroup」コマンドを利用すれば、ある特定のグループに属しているメンバーの一覧を出力させることができる。定期的にグループのメンバーを確認するときに利用するとよいだろう。

「運用」のインデックス

運用

前のページへ 1|2|3       

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。