Active Directory ドメイン サービス(AD DS)とは、システム管理者が組織内のユーザーやリソースを一元的に管理するためのサービスです。
多くの社員が在籍し、複数のリソース(パソコンやプリンターなど)を利用している企業や組織では、規模が大きくなるほど Active Directory 内で管理するアカウント数も増加します。ユーザーやリソースの管理を効率化するためには、部署や役割、用途などに応じてグループ化することが重要です。グループ単位でまとめることで、運用や権限管理をより容易に行うことができます。
本記事では、この「グループ アカウント」に関する基礎知識について解説します。
グループ アカウントとは?
グループ アカウントとは、同じ権限やアクセス許可を付与したいユーザー アカウントやコンピューター アカウントをまとめて管理するための Active Directory(AD)オブジェクトです。
グループ アカウントは、ファイル共有やフォルダー共有などのリソースに対してアクセス許可を設定する際に利用されます。もちろん、ユーザーやコンピューターの個別アカウントに直接アクセス許可を設定することも可能です。しかし、個別に設定すると管理が煩雑になりやすく、手間も増えます。そのため、同じ権限を持つユーザーやコンピューターをグループ化してまとめて管理することで、運用の効率化と設定ミスの防止が期待できます。
例えば、ねこまる株式会社の営業部に「ねこねこ」という新入社員が入社したとします。システム管理者は営業部の社員が利用するリソースに、「ねこねこ」に対してもアクセス権を与える必要があります。リソースのアクセス権をユーザー個別に設定していた場合、管理者は全てのリソースに対して個別に「ねこねこ」のアクセス権を追加する作業をしなくてはなりません。手間がかかる上に、作業漏れなどのミスが発生する可能性も高くなってしまいます。
一方、リソースのアクセス権を「営業」というグループで設定していた場合、「営業」グループに「ねこねこ」を追加するのみで済みます。このように、グループ アカウントを利用することで、ドメイン内のシステム管理を効率的に運用することができます。
そのため、一般的にドメインの運用においては、グループ アカウントで各アカウントをまとめて管理しています。
グループの種類
グループ アカウントを作成する時に、グループ アカウントの種類を選択することができます。作成できるグループ アカウントの種類は、以下の2種類です。
- セキュリティ グループ
- 配布グループ
グループ アカウントの種類の使い方は以下の通りです。
セキュリティ グループ
「セキュリティ グループ」とは、ファイルやフォルダー、プリンターなどのリソースに対してアクセス許可を設定できるグループのことです。アクセス制御を目的としてグループ アカウントを作成する場合は、セキュリティ グループとして指定します。さらに、グループに電子メール アドレス属性を設定することで、電子メールの宛先(配信リスト)として利用することも可能です。。
配布グループ
「配布グループ」とは、Active Directory ドメイン環境において、Exchange Server などの電子メール アプリケーションで電子メールの宛先として利用できるグループのことです。複数のユーザーに同じ電子メールを送信したい場合は、配布グループを指定してグループ アカウントを作成し、対象のユーザーをメンバーとして追加します。。なお、配布グループはアクセス許可の設定には使用できません。
グループのスコープ
グループ アカウントのスコープとは、作成したグループを参照できる範囲のことです。グループに設定するスコープによって、フォレスト内のどのリソースにアクセスできるか、メンバーとして含められるアカウントの範囲が決まります。
セキュリティ グループと配布グループのそれぞれに、以下の3つのスコープが用意されています。
- ドメイン ローカル グループ
- グローバル グループ
- ユニバーサル グループ
グループ アカウントを作成すると、スコープは既定でグローバル グループとなります。
各種グループ アカウントがアクセスできるリソースの範囲は以下の表の通りです。
| スコープ | アクセスの範囲 |
| ドメイン ローカル グループ | ドメイン内 |
| グローバル グループ | フォレスト全体 |
| ユニバーサル グループ | フォレスト全体 |
上表の通り、ドメイン ローカル グループはグループが所属するドメイン内のリソースのみにアクセスでき、グローバル グループとユニバーサル グループはフォレスト全体のリソースにアクセスできます。
また、各グループのメンバーに含めることができるグループ/アカウントは以下の通りです。
| スコープ | メンバー |
| ドメイン ローカル グループ |
・フォレスト内のドメイン ユーザー アカウント |
| グローバル グループ | ・同一ドメイン内のドメイン ユーザー アカウント ・同一ドメイン内のグローバル グループ |
| ユニバーサル グループ | ・フォレスト内のドメイン ユーザー アカウント ・フォレスト内のグローバル グループ ・フォレスト内のユニバーサル グループ |
グループ アカウントのスコープは、ドメイン環境や使用するアプリケーションによって使いわけます。シングルフォレスト/シングルドメイン環境であれば、他のドメインのユーザーやグループを含める必要はないため、既定のグローバル グループを使用できます。しかし、Exchange Server を導入している環境では、ユニバーサル グループが必要になります。
また、シングルフォレスト/マルチドメイン環境で、他のドメインのユーザー アカウントやグループ アカウントもメンバーと追加したり、他のドメインからグループ アカウントを参照する場合にも、ユニバーサル グループは利用されます。
グループ アカウントの種類とスコープの設定方法
グループ アカウントの種類とスコープは、グループ アカウントの作成時に指定できます。[Active Directory ユーザーとコンピューター] の管理ツールを開いて、管理ツールから [新規作成] – [グループ] をクリックすると、グループ アカウントが作成できます。
[グループ名] にてグループ名を指定した後、[グループのスコープ] と [グループの種類] の項目にてスコープと種類を選択することができます。
また、グループを作成した後も、グループのプロパティ画面からグループの種類とスコープを変更することができます。ただし、注意点としてスコープの変更においては、作成時に指定したスコープにより制限があります。
グループ アカウントの運用方法
共有フォルダなどの様々なリソースにアクセス許可を設定する際、グループ アカウントを設定してシステム運用した方が効率的です。ただし、グループの作成も適切に運用して行わないと、アカウント数が増えすぎて管理しにくくなってしまうことがあります。そのため、グループ アカウントの管理が適切に行えるように、グループとアクセス権の割り当ての運用方法として推奨される「AGDLP」や「AGUDLP」という考え方があります。
「AGDLP」や「AGUDLP」は以下の頭文字の組み合わせとなります。
- 「A」= Account
- 「G」= Global Group
- 「DL」= Domain Local Group
- 「U」= Universal Group
- 「P」= Permission
「AGDLP」や「AGUDLP」の運用方法は以下の通りです。
AGDLP
Account (ユーザー アカウント) を、Global Group (グローバル グループ) でドメイン内の各部門やグループ単位でまとめ、Domai Local Group (ドメイン ローカル グループ) のメンバーにして Permission (アクセス許可) を設定するという方法での管理です。
アカウントの管理者がユーザー アカウントとグローバル グループを管理します。また、ファイル共有やプリンターなどのリソースを管理するシステム管理者はドメイン ローカル グループを管理し、リソースのアクセス権にドメイン ローカル グループを割り当てます。リソースのアクセス権を変更したい場合には、ドメイン ローカル グループのメンバーの割り当てを変更します。
AGUDLP
Account (ユーザー アカウント) を Global Group (グローバル グループ) でドメイン内の各部門やグループ単位でまとめ、Universal Group (ユニバーサル グループ) でそれぞれのドメインのグローバル グループをまとめます。Domai Local Group (ドメイン ローカル グループ) のメンバーにしてPermission (アクセス許可) を設定するという方法での管理です。
AGDLP の利点に加えて、複数のドメインの構成において、ドメインを横断する管理者がグループの管理をすることが可能です。AGUDLP は複数ドメインにまたがるユーザーに対してアクセス許可を設定したい場合に使用します。各ドメインの管理の基本的な運用方法としては、AGDLP と同様に、アカウントの管理者がユーザー アカウントとグローバル グループを管理します。また、ファイル共有やプリンターなどのリソースを管理するシステム管理者はドメイン ローカル グループを管理し、リソースのアクセス権にドメイン ローカル グループを割り当てます。リソースのアクセス権を変更したい場合には、ドメイン ローカル グループのメンバーの割り当てを変更します。
AGUDLP はシングル フォレスト/マルチドメインで構成され、ドメインを横断してアクセス管理を行う場合に推奨される運用方法です。フォレスト間の信頼がある場合でも、各フォレストが複数のドメインで構成される場合、各フォレストのグローバル グループをユニバーサル グループでまとめることでアクセス権の管理が容易になります。
ポチップ
ポチップ