Active Directoryのアカウントとグループとは？

2010年03月09日 09時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

第5回でディレクトリサービスの概要を、第6回では、Active Directoryの構成要素であるフォレスト、ドメイン、ツリーについて解説してきた。Active Directory解説第3弾の今回は、ユーザーやコンピュータなどのアカウントとグループ、そしてセキュリティグループについて見ていこう。

アカウントとは

　Active Directoryに登録された個々の情報は、「オブジェクト」として管理される。オブジェクトのうち、物理的な実体を持つものを「アカウント」と呼ぶ。具体的には、ユーザーとコンピュータである。また、ユーザーやコンピュータをひとまとめにしたグループもアカウントと呼ぶ。アカウントとは、銀行などの「口座」という意味である。銀行口座は契約している個人や会社という実体と直接結びつく。同様に、Active Directoryのアカウントも、ユーザーやコンピュータという実体と直接結びつく。

　アカウントには、セキュリティ上の権限を持つ「セキュリティプリンシパル」と、セキュリティ上の権限を持たない「非セキュリティプリンシパル」がある。コンピュータアカウントはセキュリティプリンシパルしか存在しない。一方、グループにはセキュリティプリンシパルの「セキュリティグループ」と、非セキュリティプリンシパルの「配付グループ」がある。また、ユーザーアカウントはすべてセキュリティプリンシパルであるが、ユーザーとほぼ同じ設定項目の「連絡先」は非セキュリティプリンシパルである（表1）。


表1●セキュリティプリンシパルと非セキュリティプリンシパル

　非セキュリティプリンシパルにはセキュリティ機能がないので、連絡先アカウントではログオンすらできない。ログオンそのものが、セキュリティ上の権限を必要とするからだ。非セキュリティプリンシパルは、Active Directoryと連動したメールシステム、たとえばExchange Serverを利用する場合に便利だが、一般にはあまり使われない。本連載でも詳細については触れないのでご了承いただきたい。

ローカルユーザーとドメインユーザー

　Active Directoryを構成しないワークグループ環境の場合、コンピュータに個別のユーザーとグループの登録ができる。これを「ローカルユーザー」「ローカルグループ」と呼ぶ。ワークグループ環境では、コンピュータアカウントは登録できない。ローカルユーザーやローカルグループの利用範囲はそのコンピュータに限られており、複数のコンピュータに共通の設定ができない。ワークグループ環境では、そもそも「別のコンピュータ」という概念が存在しないのだ。

　一方、ドメインに参加した（ドメインの情報を参照できるようになった）コンピュータにもローカルユーザーやローカルグループを登録できる。もっとも、ドメイン環境では、ローカルユーザーを使うことは少ない。管理者が一元管理できないからだ。同様の理由で、ローカルグループを使うこともあまりない。ただし、ローカルグループには「役割設定」という重要な意味があるため、メンバサーバでは積極的に使うことがある。

　Windowsを使用する場合、「ログオン」という作業を行なう。このとき、事前に登録しておいたユーザー名とパスワードを指定し、正しければ許可、間違っていれば拒否される。Active Directoryドメインに参加していないコンピュータにログオンする場合は、ローカルユーザーが自動的に使われる。一方、Active Directoryドメインに参加しているコンピュータにはローカルユーザーとドメインユーザーのどちらかを指定できる。ただし、ローカルユーザーの集中管理は困難なため、通常はドメインユーザーを指定する。

（次ページ、「アカウントをまとめて管理するグループ」に続く）

前へ 1 2 3 4 次へ

ツイートする