Windowsのグループアカウントの種類を知る:Tech TIPS
Windowsのグループには、アクセス権制御のためのセキュリティグループと、メールの配布先を決める配布グループがある。グループのスコープには、ユニバーサル、グローバル、ドメインローカル(およびローカルコンピュータ)がある。ドメインの機能レベルがネイティブの場合は、ユニバーサルグループや、グループのネスト(グループにほかのグループを含めること)が利用できる。
対象OS:Windows 2000/Windows XP/Windows Server 2003
解説
Windows OSでは、ユーザーや(ほかの)グループのアカウントをまとめて、1つのものとして扱うために、「グループ」という概念がある。「TIPS:デフォルトのローカルグループを知る」では、Windows OSで利用できるローカルグループについて解説した。これ以外にも、グループにはいくつかの種類があるが、本TIPSでは、そのグループの種類について解説する。
以下の画面は、Active Directoryの管理ツールでグループを作成するためのダイアログである。これを見ると、ドメインレベルで利用できるグループアカウントの種類について知ることができる。
Active Directory環境における新規グループの作成ダイアログ
これはWindows Server 2003のActive Directoryにおける新規グループの作成ダイアログの例。これ以外に、各コンピュータごとで利用できるローカルグループもあるが、それは各コンピュータのユーザー管理ツールで作成・管理する。作成できるグループのアカウントの属性としては、スコープ(3つ)と種類(2つ)がある。
(1)作成するグループの名前。
(2)Windows 2000以前の古いWindows OSから参照する場合のグループ名。
(3)ドメインローカルグループを作成する。
(4)グローバルグループを作成する(デフォルトのスコープ)。
(5)ユニバーサルグループを作成する(これはネイティブモード時にのみ利用可能)。
(6)セキュリティグループを作成する(デフォルトの種類)。
(7)配布グループを作成する。
これ以外にも、コンピュータごとに作成・管理できる「ローカルグループ」というものがあるので、まとめると次のようになる。
| 種類 | グループ名 | 概要 | デフォルトのアカウントの例 | |
|---|---|---|---|---|
| セキュリティグループ | ユニバーサルグループ | ユニバーサルスコープを持つグループ。機能レベルがネイティブの場合にのみ利用可能 | − | |
| グローバルグループ | グローバルスコープを持つグループ | Domain Admins | ||
| ドメインローカルグループ | ドメインスコープを持つグループ | RAS and IAS Servers | ||
| (コンピュータごとの)ローカル・グループ | ローカルスコープを持つグループ | Power Users | ||
| 配布グループ | ユニバーサル配布グループ | ユニバーサルスコープを持つ配布グループ | − | |
| グローバル配布グループ | グローバルスコープを持つ配布グループ | − | ||
| ドメインローカル配布グループ | ドメインスコープを持つ配布グループ | − | ||
| グループの種類 Windows OS環境で利用できるグループの種別。ただし、ドメインの機能レベルや構成(ワークグループかドメインか)によっては利用できないものもある。グループには大きく分けると、セキュリティグループと配布グループの2種類があり、さらに、スコープの違いが4種類ある。 | ||||
●「セキュリティグループ」と「配布グループ」の違い
グループアカウントの「種類」には「セキュリティグループ」と「配布グループ」の2つがある。セキュリティグループとは、ファイルやリソースのアクセス権設定などで利用されるアカウントである。アクセス制御リスト(ACL)中では、このセキュリティグループのアカウント(とユーザーアカウント)を利用することができる(ACLについては関連記事を参照のこと)。セキュリティグループは最もよく使われるグループアカウントであり、AdministratorsやDomain Adminsなどはすべてこのセキュリティグループに属しているし、通常作成されるグループアカウントは、ほとんどすべて、このセキュリティグループのアカウントになる。
「配布グループ」は、電子メールアプリケーションなどで利用される、特殊なグループアカウントである(これはドメインレベルでのみ利用できる。ローカルグループでは利用できない)。例えば、Exchange Serverなどがこのグループを利用している。配布グループは、メールなどを送信する場合に、複数の相手にいっせいに送信するために利用するアカウントである。電子メールのあて先として配布グループを指定しておくと、その配布グループに属する複数の相手(ユーザーもしくはそのほかのグループ)に対して、同時に送信することができる。
以下では、セキュリティグループについて解説する。
●ドメインのスコープ
グループアカウントには、それぞれ「スコープ(範囲)」があり、利用できる範囲(そのグループアカウントを参照/検索できる範囲)が決められている。例えば、ローカルグループはローカルのコンピュータ上でのみ有効であり、ほかのコンピュータから参照することはできない(つまり、あるコンピュータ上のACLに、別のコンピュータ上のローカルグループアカウントをエントリとして追加することはできない)。またドメインローカルグループは、特定のドメイン内でのみ有効であるが、グローバルグループはフォレスト内のすべてのコンピュータ/ドメインから参照可能である。
| スコープ | どこから参照できるか |
|---|---|
| ユニバーサルスコープ | フォレスト全体から参照可能。メンバーも参照可能 |
| グローバルスコープ | フォレスト全体から参照可能。メンバーは参照できない |
| ドメインローカルスコープ | (そのグループアカウントが作成された)同一ドメインからのみ参照可能。別ドメインからは参照不可能 |
| ローカル(ローカルコンピュータスコープ) | アカウントの存在するコンピュータ上でのみ参照可能 |
| スコープの種類 スコープごとに、そのグループアカウントが、どこから参照可能かが異なっている。 | |
●追加可能なドメインのメンバー
グループの種類に応じて、その中に含めることができる(グループのメンバーとして追加できる)アカウントの種類にも制限がある。
| スコープ | 追加可能なメンバー |
|---|---|
| ユニバーサルグループ(ネイティブモード時のみ) | ほかのユニバーサルグループ グローバルグループ ドメインユーザーアカウント (ドメインローカルグループは追加できない) |
| グローバルグループ | ドメイン内に存在する、ほかのグローバルグループ(ネイティブモード時のみ) ドメインユーザーアカウント (ドメインローカルグループは追加できない) |
| ドメインローカルグループ | ドメイン内に存在する、ほかのドメインローカルグループ(ネイティブモード時のみ) グローバルグループ ユニバーサルグループ(ネイティブモード時のみ) ドメインユーザーアカウント |
| ローカルグループ | ユニバーサルグループ グローバルグループ ドメインローカルグループ ドメインユーザーアカウント ローカルユーザーアカウント |
| グループに追加可能なメンバーの種類 グループの種類ごとに、メンバーとして追加可能なアカウントの種類は異なる。基本的には、(この表における)下位のグループは、上位のグループを含むことができるが、逆はできない(ユニバーサルグループとグローバルグループについては後述)。 | |
●「グローバルグループ」と「ドメインローカルグループ」の違い
グローバルグループとドメインローカルグループの違いは、例えばドメインユーザーアカウントとローカルコンピュータ上のユーザーアカウントの違いのようなものである。グローバルグループは、フォレストやドメイン全体で有効だが、ドメインローカルグループは特定のドメイン内でのみ有効となっている。
グループに含めることができるメンバーについても違いがある。グローバルグループでは、同一ドメイン内のほかのグローバルグループしか含めることができないが、ドメインローカルグループでは、ほかの任意のグループ(ユニバーサルグループ、グローバルグループ、ドメインローカルグループ)を含めることができる(同一ドメインではなく、フォレスト上の任意のユニバーサルグループ/グローバルグループでよい)。
このような違いがあるため、その用途も少し異なっている。グローバルグループは、極端にいえば、同一ドメイン内のほかのグローバルグループをまとめる機能しか持たないため、複数のグループを1つにまとめて分かりやすい別名を付ける(もしくは、ひとまとめにして扱う)、といった使い方に向く。それ以上の機能(次に述べるアクセス制御など)には、あまり向かない。
これに対してドメインローカルグループには、ほかの任意のグループを追加できるため、ドメインローカルなリソースのアクセス権制御などに利用できる。例えばある特定のドメイン内にあるリソースに対し、ドメインローカルグループを作成してフルアクセスの権限を与える。そして実際にアクセスを許可したいユーザーやグループをこのドメインローカルグループに追加する、というふうに利用する。リソースに個別のアカウントを割り当ててアクセス権を設定するのではなく、ドメインローカルグループを1つ割り当て、そのグループのメンバーを入れ換えることにより、管理を簡単にすることができる。
●「ユニバーサルグループ」と「グローバルグループ」の違い
ユニバーサルグループ(正確には、ユニバーサルスコープを持つセキュリティグループ)は、ドメインの機能レベルがネイティブモードの場合にのみ利用できるグループである。また、ユニバーサルグループのメンバー情報はグローバルカタログ(GC)に複製されるが、グローバルグループのメンバー情報は複製されないという特徴がある(いずれも、グループの名前やSIDの情報は複製される)。
ユニバーサルグループとグローバルグループは、いずれもフォレスト全体で利用できる(フォレスト全体から参照できる)という点では同じであるが、その中に含めることができるメンバーに関して違いがある。グローバルグループには、同一ドメイン内のほかのグローバルグループしか含めることができないが、ユニバーサルグループには、フォレスト内のほかのグローバルグループやユニバーサルグループも含めることができる。
ユニバーサルグループの方が高機能で有用に思われるが、ユニバーサルグループのメンバーを変更すると、複製のためにネットワーク的/システム的には負荷が高くなるので、その使用には注意が必要である。メンバーを頻繁に変更するような使用は避けるのが望ましい。
■この記事と関連性の高い別の記事
- デフォルトのローカル・グループを知る(TIPS)
- icaclsコマンドでアクセス制御リスト中のメンバーを検索する(TIPS)
- 大量のユーザー・アカウントを一括登録する(TIPS)
Copyright© Digital Advantage Corp. All Rights Reserved.