ユーザーアカウントやグループ、グループ戦略「AGLP、AGDLP、AUP、AGUDLP」を知ろう

Active Directoryのアカウントとグループとは？

2010年03月09日 09時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

ローカルグループとグローバルグループ

　どのプロジェクトにどのような役割が必要かは、現場のプロジェクト管理者にしかわからない。前述のProject-Xでも、実行ファイルの読み取りとドキュメントの読み取りを分けたいと思うかもしれない。ローカルグループは、コンピュータ単位で自由に構成できるため、ローカル管理者権限があれば設定できる。Project-Xの管理者は、Project-X用のサーバ管理権限を持つため、Active Directoryドメイン管理者に作業を依頼しなくても、自由にローカルグループを構成できる。ローカルグループに「役割」を与えるのはこのためである。

　一方、ユーザーの分類がどうなっているかはプロジェクト管理者の知るところではない。Project-Xでは営業部と広報部を例に出したが、Project-Xの管理者は、誰が営業部に所属しているかを意識する必要はない。一般に、ユーザーの分類は会社の組織や業務に依存する。こうした設定はActive Directoryドメインの管理者が責任を持って行なうものだ。会社全体で一貫した設定を行なうにはグローバルグループを使う。

サーバが複数ならAGDLP

　AGLPポリシーは、柔軟性があり、組織や状況の変更があっても簡単に設定できる。しかし、複数のサーバを管理する際には適していない。サーバごとに固有のローカルグループを使う必要があるからだ。複数のサーバに対して、同じ名前のローカルグループを作成し、常時メンバ構成を一貫した状態に保つのはかなり面倒だ。そこで、AGDLPポリシーが提案された。AGDLPポリシーは、ローカルグループの代わりにドメインローカルグループを使う。手順は以下の通りだ。

ユーザーアカウント（A）を作成する
ユーザーアカウントをグローバル（G）グループのメンバにする
グローバルグループをドメインローカル（DL）グループのメンバにする
ドメインローカルグループにアクセス許可（Permission： P）を割り当てる

　先ほどのAGLPポリシーと比べると、（3）が異なる。ドメインローカルグループは、同一ドメイン内の全サーバから参照できるため、一度定義するだけで複数のサーバから利用できる。ただし、ドメインローカルグループの作成にはドメイン管理者の権限が必要になる。幸い、Active Directoryにはオブジェクト作成の権限をほかのユーザーやグループに委任できる。

　AGDLPポリシーを使う場合は、適当な組織単位（OU）を作成し、プロジェクト管理者に対して、そのOUにローカルグループの作成を許可する権限を与える。

　AGDLPとAGLPのどちらを使うのかは、ドメイン単位で管理するか、メンバサーバ単位で管理するのかによって決めればよい。サーバは状況によって追加される可能性があるので、一般的にはドメインローカルグループを使うのがよい。なお、筆者は会社のデスクトップPCの共有フォルダに対してローカルグループを使ったアクセス許可を設定している。会社で支給された個人PCは1台だけであり、ドメインの管理権限もないからだ。

　AGLPポリシーやAGDLPポリシーは決して難しい概念ではない。ユーザーをまとめたグループと、権限をまとめたグループ（役割）を分けて考えれば、自然と実現できるだろう。役割は「xxxをする人」のように動作を意味する名前になることも多い。英語では「～ers」「～ors」というのが役割の典型的な語尾だ。「グループ」という言葉からは、組織の名前を連想しがちだがそうではない。むしろ、役割に対して組織が対応している場合は、その役割は不適切だと考えてほしい。たとえば、ビルトイングループはローカルグループと同様に考える。ビルトイングループの名前はAdministrators（管理者）やBackup Operators（バックアップ担当者）など、「何ができるか」を意味する。こうした名前が適切な役割名である。

　次回は、セキュリティグループの後半として小規模向けのAUPと大規模環境向けのAGUDLPについて紹介し、Active Directoryでユーザー分類に使われるOU（Organizational Unit : 組織単位）について説明しよう。

　本記事は、ネットワークマガジンにて掲載していた連載をまとめたものです。連載の一部は弊社刊行の書籍「Windows Serverマスターガイド」にも収録をしております。