グループ・オブジェクトは、ユーザーをまとめ、共通のセキュリティ設定を構成するために使用するオブジェクトである。グループ・オブジェクトには「セキュリティ・グループ」と「配布グループ」の2種類がある。セキュリティ・グループは、共通のセキュリティ設定をするために利用する。配布グループは、Exchange ServerなどのActive Directoryを利用するメッセージング・アプリケーションにおいて、メールの送信先として利用される。配布グループとして作成されたグループに対し、権限を付与することはできない。
今回はセキュリティ・グループとして作成する「グループ」の解説をしておく。
グループを作成する際は、グループの種類(セキュリティ・グループか配布グループか)のほかに、「グループの範囲」を選択する必要がある。グループの範囲とは、グループの有効な範囲やグループに含むことができるメンバーの範囲を定義するものである。グループの範囲には、「ドメイン・ローカル・グループ」「グローバル・グループ」「ユニバーサル・グループ」の3つがある。それぞれのグループは、利用可能な範囲やメンバにできる範囲が異なるため、作成するときには注意が必要である(適当に作成してしまうと、利用したいときに利用できない場合がある)。それぞれの利用目的や利用可能範囲、含むことができるメンバを解説しておこう。簡単にいうと、ドメイン・ローカル・グループはセキュリティ設定(権限の割り当て)用として、グローバル・グループはユーザーをまとめるため(組織化)、ユニバーサル・グループはドメインを超えてユーザーをまとめるためにそれぞれ利用される。なお、このグループの機能は、ドメインの機能レベルがWindows 2000混在か、それより上かによっても異なるので、それらについても分類しておく。
ドメイン機能レベル:Windows 2000ネイティブ以上の環境 | ||||
グループ範囲名 | 使用目的 | 含むことのできるメンバー | 有効範囲 | |
ドメイン・ローカル・グループ | セキュリティ設定 | ・フォレスト内の全ドメインのユーザー ・フォレスト内の全ドメインのグローバル・グループ ・フォレスト内の全ドメインのユニバーサル・グループ ・同じドメイン内のドメイン・ローカル・グループ |
ドメイン内のコンピュータ | |
グローバル・グループ | ドメイン内の組織化 | ・同じドメイン内のユーザー ・同じドメイン内のグローバル・グループ |
フォレスト内のコンピュータ | |
ユニバーサル・グループ | ドメインをまたがる組織化 | ・フォレスト内の全ドメインのユーザー ・フォレスト内の全ドメインのグローバル・グループ ・フォレスト内の全ドメインのユニバーサル・グループ |
フォレスト内のコンピュータ | |
Windows 2000ネイティブ以上の環境におけるグループの違い |
ドメイン機能レベル:Windows 2000混在環境 | ||||
グループ範囲名 | 使用目的 | 含むことのできるメンバー | 有効範囲 | |
ドメイン・ローカル・グループ | セキュリティ設定 | ・フォレスト内の全ドメインのユーザー ・フォレスト内の全ドメインのグローバル・グループ |
DC上のみ | |
グローバル・グループ | ドメイン内の組織化 | 同じドメイン内のユーザー | フォレスト内のコンピュータ | |
ユニバーサル・グループ | ― | ― | ― | |
Windows 2000混在環境におけるグループの違い |
グループ・オブジェクトを作成するには、[Active Directoryユーザーとコンピュータ]管理ツールを利用する。グループを作成したいOUで右クリックし、ポップアップ・メニューから[新規作成]−[グループ]を選択し、表示されたダイアログ・ボックスでグループ名とグループの範囲および種類を指定する。
これらのグループをどのように利用するかについては、各グループの利用目的に注目してほしい。グローバル・グループとユニバーサル・グループはユーザーをまとめるために利用されるが、ドメイン・ローカル・グループだけはセキュリティ設定のために利用される。つまりドメイン・ローカル・グループはセキュリティの設定単位で作成していくことになる。例えば、「営業部フォルダ読み取りグループ」といったドメイン・ローカル・グループを作成しておき、そのグループに対して、営業部が使用するフォルダに対する読み取りアクセス許可の設定を行う。このような単位で作成すると、それぞれのグループがどのような権限を持っているのかが分かりやすくなる。
また組織では、それぞれの組織構成(それぞれの部門や部署)により、どんな作業をするのか、どんなファイルをどこに格納するのかが決まっていることが多い。従って、それぞれの組織(部門や部署)単位にグローバル・グループでユーザーをまとめておくとよいだろう。組織や部門ごとに構成されたグローバル・グループを、先にセキュリティ設定をしたドメイン・ローカル・グループに所属させるだけで、その組織(部署)に所属しているユーザーが適切な権限をもってファイルやフォルダにアクセスできるようになる。
以上は、ドメイン・ローカル・グループとグローバル・グループに関する説明である。では、ユニバーサル・グループはどのような場面で使うのかという疑問がわいてくるだろう。これについては、先ほどの表のうち、グローバル・グループに含むことができるメンバとユニバーサル・グループに含むことができるメンバに注目していただきたい。メンバの範囲が異なることが分かるだろう。つまりドメインをまたがる組織化を行いたい場合にはユニバーサル・グループを利用するということだ。シングル・ドメインでActive Directoryを構成している場合には、Windows 2000ネイティブ機能レベル以上であってもユニバーサル・グループを利用する必要はない。
またグループ・オブジェクトは、次のようなケースでは作成する必要はない。
管理者ならば経験したことがあるだろうが、長い間ドメインを運用していると、メンバの追加や削除を繰り返すうちに、メンバが1人もいないグループや、何もセキュリティ設定をしていないグループなどができてしまうことがある。そのようなグループは必要なければ定期的に整理することも考える必要がある。コマンド・プロンプト上で「net group」コマンドや「net localgroup」コマンドを利用すれば、ある特定のグループに属しているメンバの一覧を出力させることができる。定期的にグループのメンバを確認するときに利用するとよいだろう。
全8回に渡って、Active Directoryの概要や機能、導入計画、実際の導入方法、そして導入後の作業などについて解説してきた。Windows Server 2003のActive Directoryにおいて、以前のバージョンから、より洗練された部分や機能についても解説してきた。Active DirectoryはWindows NTドメインとは違い、理解しなければならない概念や実際の作業量などは増えているが、それは、より大規模なネットワーク・システムに対応するために設計されたディレクトリ・サービスであるため、やむを得ない部分でもある。だが実際には、基本的な概念を理解し、十分な準備さえしておけば、Active Directoryの導入や管理はそう難しいものではない。Active Directoryの導入を考えているユーザーや管理者は、まずはテストのActive Directoryドメインを構築し、一通りの操作を行ってみていただきたい。容易に理解できるようになるだろう。なお、Active Directoryの運用に欠かせないDNSサービスについては、いずれ機会を改めて、より詳しく解説する予定である。ご期待いただきたい。
Copyright© Digital Advantage Corp. All Rights Reserved.