ユーザーアカウントやグループ、グループ戦略「AGLP、AGDLP、AUP、AGUDLP」を知ろう

Active Directoryのアカウントとグループとは？

2010年03月09日 09時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

アカウントをまとめて管理するグループ

　同じ属性を持ったアカウントをまとめて管理するために「グループ」を使う。通常、1つのアカウントは複数のグループに所属する。「分類」というよりは「性質」の方が近い。たとえば、「ネットワークマガジン」は、「コンピュータ技術誌」という性質と「月刊誌」という性質を持つ。この2つはいずれか一方のみが成り立つ属性ではない。また「週刊アスキー」は、「コンピュータ技術誌」ではあるが、「月刊誌」ではない。

　グループには、「種類（タイプ）」と「スコープ（範囲）」という2種類の分類方法がある。さらに、「種類（タイプ）」には2種類ある。「セキュリティグループ」と「配布グループ」だ。前述の通り、配付グループは非セキュリティプリンシパルであり、本連載では扱わない。

　一方、「スコープ（範囲）」は3種類ある。ドメインローカルグループ、グローバルグループ、ユニバーサルグループだ。さらに、非ドメインコントローラには「ローカルグループ」も存在する。これもスコープの一種と考えると合計4種類だ。ただし、ローカルグループはActive Directoryの管理下にはなく、各コンピュータで独自に管理される。そのため「Active Directoryのグループ」ではない。

　それぞれのスコープは、そのグループが有効な範囲、つまり参照可能な範囲を意味する。またそれと同時に、各スコープはメンバとして登録可能なオブジェクトに制約がある。このスコープのおもな特徴を一覧にしたものが表2である。グループの種類やスコープは、作成時に指定する。あとから変更（変換）することもできるが、ドメインローカルグループとグローバルグループは直接変換できず、いったんユニバーサルグループを経由する必要がある（図1）。

表2●グループの範囲

図1●スコープの変換

　また、特殊なグループとして「ビルトイングループ」が存在する。ドメインメンバのビルトイングループはローカルグループと同じように考えればよい。ビルトイングループは新たに作成することはできないし、削除もできない。さらに、ドメインコントローラのビルトイングループは特殊な位置付けなので、注意してほしい（表3）。

表3●ビルトイングループ

ドキュメントセキュリティの基本

　グループにはいくつかの使い方があるが、もっとも重要なことはファイルなどのセキュリティ設定である。個人名に対してアクセス許可を与えるより、グループに対して与えた方が便利なことはすぐに理解していただけるだろう。組織において、セキュリティ設定が個人に依存することはあまりない。重要なのは、どの部門の人間がアクセスできるか／できないかだ。グループを使えば、人事異動により所属組織が変わっても、グループの登録を変更するだけでよく、わざわざアクセス設定まで変える必要はない。

　ただし、大規模な環境になると、単にグループを使うだけでは十分ではない。グループそのものがなくなってしまうこともあるし、アクセス許可の要件が変わることもあるからだ。効果的なセキュリティ設定を行なうには、戦略的にセキュリティグループを利用したい。マイクロソフトではグループ戦略としてAGLP、AGDLP、AUP、AGUDLPの4種類を提案している（表4）。