Active Directoryのアカウントとグループとは？

2010年03月09日 09時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

AGLPポリシー

　AGLPポリシーは、Windows NTの時代に提唱された戦略で、ローカルグループを積極的に使うのが特徴である。その流れは以下の通りだ（図2）。

図2●AGLPポリシー

ユーザーアカウント（A）を作成する
ユーザーアカウントをグローバル（G）グループのメンバにする
グローバルグループをローカル（L）グループのメンバにする
ローカルグループまたはドメインローカルグループにアクセス許可（Permission： P）を割り当てる

　（1）～（3）のアルファベットを並べたものが、ポリシー名の「AGLP」となる。このAGLPポリシーでは、ローカルグループを権利の割り当て（つまり資源管理）に使い、グローバルグループをユーザーの分類に使う。「グループ」がユーザーをまとめる意味だと思っている人も多いが、ローカルグループの役割は違う。ローカルグループの本当の目的は、権限のグループ化である。これを「役割（ロール）」と呼ぶ。

　たとえば、あるソフトウェア製品の開発プロジェクト（Project-X）に対して1台のサーバ（Server-X）が割り当てられたとしよう。Server-Xには、ソースコードを保存するX-Src、ドキュメントを保存するX-Doc、完成した実行ファイルを保存するX-Exeというフォルダを作成する。プロジェクト関係者が、田中さん、鈴木さん、佐藤さんの3名だとする。そこで、3人を1つのグループ「X-Member」のメンバとする。プロジェクトの初期段階では、Server-Xに格納されたファイルはすべて機密事項である。そこで、すべてのフォルダに対して、X-Memberのみに変更の権限を与える。しかし、役員（Directors）にだけはX-DocとX-Exeに対して読み取り権限を与える（図3）。

図3●Project-Xの構成

　新製品が完成し、発売準備が整ってくると、営業担当者に対してもドキュメントを公開し、製品を体験してもらう必要がある。そこで、営業担当者のグループ（Sales）にX-DocとX-Exeの読み取りの権限を与える（図4）。

図4●Project-Xの構成の変化

　そして開発が順調に進めば、X-DocとX-Exeの読み取り権限を広報部（PR）にも与えることになるだろう。しかし、何らかのトラブルが発生し、発売が延期されたらどうなるか。Salesに与えられたX-DocとX-Exeの読み取り権限を削除しないとならない。こうした一連の手順を漏れなく行なうのはかなり面倒である。現実のプロジェクトでは、セキュリティ設定が必要なフォルダがずっと多いためだ。

　そこで、ドキュメントに対する「役割」を整理する。プロジェクトの一員は一貫して変更の権利を持っている。これは彼らが「開発者」という役割を持っているからだ。しかし、ドキュメント変更の権利は変化しないとはいい切れない。たとえば、プロジェクト末期には、社外に公開するためのドキュメントを作成するため、「カタログ制作部隊」にも開発者の一員として、変更の権限を与える必要がある。一貫しているのは「開発担当」という点だけである。一方、「読み取り」の権限は、プロジェクトの進行状況によって与えられる人が変化する。しかし「読み取りの権利」という点では一貫している。

　AGLPポリシーでは、こうした「一貫性のある権利」をローカルグループとして登録する。たとえば、開発者の役割を「X-Develop」、読み取りの役割を「X-Read」とし、すべてのアクセス許可を役割に与え、ユーザーのグループに対して役割を割り当てる（図5）。フォルダのアクセス許可の制御は、X-DevelopとX-Readのメンバ構成を変更するだけで済む。フォルダのアクセス許可をいちいち設定する必要はない（図6）。