ユーザーアカウントやグループ、グループ戦略「AGLP、AGDLP、AUP、AGUDLP」を知ろう
Active Directoryのアカウントとグループとは?
2010年03月09日 09時00分更新
アカウントをまとめて管理するグループ
同じ属性を持ったアカウントをまとめて管理するために「グループ」を使う。通常、1つのアカウントは複数のグループに所属する。「分類」というよりは「性質」の方が近い。たとえば、「ネットワークマガジン」は、「コンピュータ技術誌」という性質と「月刊誌」という性質を持つ。この2つはいずれか一方のみが成り立つ属性ではない。また「週刊アスキー」は、「コンピュータ技術誌」ではあるが、「月刊誌」ではない。
グループには、「種類(タイプ)」と「スコープ(範囲)」という2種類の分類方法がある。さらに、「種類(タイプ)」には2種類ある。「セキュリティグループ」と「配布グループ」だ。前述の通り、配付グループは非セキュリティプリンシパルであり、本連載では扱わない。
一方、「スコープ(範囲)」は3種類ある。ドメインローカルグループ、グローバルグループ、ユニバーサルグループだ。さらに、非ドメインコントローラには「ローカルグループ」も存在する。これもスコープの一種と考えると合計4種類だ。ただし、ローカルグループはActive Directoryの管理下にはなく、各コンピュータで独自に管理される。そのため「Active Directoryのグループ」ではない。
それぞれのスコープは、そのグループが有効な範囲、つまり参照可能な範囲を意味する。またそれと同時に、各スコープはメンバとして登録可能なオブジェクトに制約がある。このスコープのおもな特徴を一覧にしたものが表2である。グループの種類やスコープは、作成時に指定する。あとから変更(変換)することもできるが、ドメインローカルグループとグローバルグループは直接変換できず、いったんユニバーサルグループを経由する必要がある(図1)。
また、特殊なグループとして「ビルトイングループ」が存在する。ドメインメンバのビルトイングループはローカルグループと同じように考えればよい。ビルトイングループは新たに作成することはできないし、削除もできない。さらに、ドメインコントローラのビルトイングループは特殊な位置付けなので、注意してほしい(表3)。
ドキュメントセキュリティの基本
グループにはいくつかの使い方があるが、もっとも重要なことはファイルなどのセキュリティ設定である。個人名に対してアクセス許可を与えるより、グループに対して与えた方が便利なことはすぐに理解していただけるだろう。組織において、セキュリティ設定が個人に依存することはあまりない。重要なのは、どの部門の人間がアクセスできるか/できないかだ。グループを使えば、人事異動により所属組織が変わっても、グループの登録を変更するだけでよく、わざわざアクセス設定まで変える必要はない。
ただし、大規模な環境になると、単にグループを使うだけでは十分ではない。グループそのものがなくなってしまうこともあるし、アクセス許可の要件が変わることもあるからだ。効果的なセキュリティ設定を行なうには、戦略的にセキュリティグループを利用したい。マイクロソフトではグループ戦略としてAGLP、AGDLP、AUP、AGUDLPの4種類を提案している(表4)。
(次ページ、「AGLPポリシー」に続く)
この連載の記事
-
最終回
ソフトウェア・仮想化
スナップショットとクイックマイグレーションを使ってみよう -
第34回
ソフトウェア・仮想化
Hyper-Vの仮想マシンに「統合サービス」を入れよう -
第33回
ソフトウェア・仮想化
Hyper-Vの仮想マシンのハードウェアを設定しよう -
第32回
ソフトウェア・仮想化
Hyper-Vのインストールはネットワークに注意しよう! -
第31回
ソフトウェア・仮想化
Windows Server 2008の仮想化機能「Hyper-V」を活用しよう -
第30回
ソフトウェア・仮想化
Windows Server Update Servicesの活用方法とは? -
第29回
ソフトウェア・仮想化
Windows ServerをWindows Updateサーバにしよう -
第28回
ソフトウェア・仮想化
Active Directoryと連携できるIISの認証機能を理解 -
第27回
ソフトウェア・仮想化
Windows Serverの標準Webサーバ「IIS」を活用しよう -
第26回
ソフトウェア・仮想化
Windows ServerのCAでメールを安全に -
第25回
ソフトウェア・仮想化
Windows Server証明書サービスを設定しよう - この連載の一覧へ