このページの本文へ

前へ 1 2 3 4 次へ

Windows Serverで学ぶサーバOS入門第8回

小規模向けのAUPと大規模環境向けのAGUDLPについても学ぼう

「機能レベル」でActive Directoryの互換性を確保しよう

2010年03月16日 06時00分更新

文● 横山哲也/グローバルナレッジネットワーク株式会社

  • この記事をはてなブックマークに追加
  • 本文印刷

これまで、ディレクトリサービスの概要(第5回)、フォレストやドメイン(第6回)、アカウントやグループ、そしてセキュリティグループの一部(第7回)とActive Directoryについて説明してきた。今回はそのひとまとめとして、小規模向けと大規模向けのセキュリティグループ、そしてユーザー分類に使うOUを紹介する。

小規模向けのAUP

 前回紹介したAGLPやAGDLPポリシーは、マイクロソフトが提唱しているポリシーで、ユーザー管理者とサーバ管理者が異なる場合に大きな効果を発揮する(表1)。

表1●グループの使い方

 しかし正直いって、小規模環境の場合は煩雑なだけである。そこで小規模な環境では、AUPポリシーを利用するとよい。これは、以下のようにユニバーサルグループを活用する方法だ。

  1. ユーザーアカウント(A)を作成する
  2. ユーザーアカウントをユニバーサル(U)グループのメンバにする
  3. ユニバーサルグループにアクセス許可(P)を割り当てる

 ユニバーサルグループは、制限も少なく手軽に使える。実は、その代償としてシステムにかかる負担が大きいという問題があるのだが、数十人以下の組織であればわずかなものである。気にせずどんどん使えばよい。

 シングルドメインの場合は、どのグループを使っても効果は変わらないが、将来の柔軟性を考えるとユニバーサルグループをお勧めしたい。ユニバーサルグループはActive Directoryに対する負荷が高いとされるが、シングルドメインの場合はほかのグループと変わらないので安心してほしい。

大規模環境にはAGUDLP

 数百人以上の規模のドメインが複数存在する場合は、ユニバーサルグループを戦略的に使う必要がある。大規模になれば、ユニバーサルグループの利用によるシステムへの負担が大きくなるからだ。ユニバーサルグループは、異なるドメインのユーザーをまとめる場合に必要となる。それ以外の場合はユニバーサルグループを使う特別な理由はない。ドメインを越えたメンバ関係を「クロスドメインメンバシップ」と呼ぶ。ユニバーサルグループはクロスドメインメンバシップを実現するために使用する。

 ユニバーサルグループは、フォレスト内の全ドメインで参照できるため、特定の権限を設定するには適切ではない。グローバルグループと同じく、ユーザーの分類に使うべきだ。

 たとえば、単一フォレストで構成された大規模なグループ企業を考える。各企業はフォレスト内のドメインを構成する。このグループ企業が広報誌を編集することになった。編集部は親会社の広報部に設置されるが、編集担当者は、各企業の広報部門から選出される。

 このとき、アクセス許可の設定は親会社の広報部が行なうため、ドメインローカルグループが使える。しかし、広報誌の編集メンバの登録にはグローバルグループは使えない。グローバルグループのメンバはグローバルグループと同じドメインのユーザーに限られるからだ。ドメインローカルグループを使うこともできない。ドメインローカルグループは、同一ドメイン内からしか参照できないため、グループ企業の各社から参照することができない。これでは、誰が広報誌を担当しているのかもわからない。ユニバーサルグループを使えばこうした制約はない。

(次ページ、「ユニバーサルグループのメンバを抑える」に続く)


 

前へ 1 2 3 4 次へ

この連載の記事
ピックアップ