Active Directory ドメイン サービス(AD DS)とは、システム管理者が組織内のユーザーやリソースを管理するためのサービスです。
多数の社員がおり、複数のリソース(パソコンやプリンタなど)を管理している会社や組織では、数が多くなる程、Active Directory 内で管理するアカウント数も増えます。ユーザーやリソースの管理においては、部署や種類などによってグループでまとめて管理することができると運用・管理がしやすくなります。
今回は、グループ アカウントに関する基礎知識について紹介します。
グループ アカウントとは?
グループ アカウントとは、同じ権利やアクセス許可を与えたいユーザー アカウントやコンピューター アカウントをまとめるための AD オブジェクトです。
グループ アカウントは、共有フォルダなどのリソースのアクセス許可の設定をする時に利用されます。リソースのアクセス許可の設定には、ユーザーやコンピューター単体のアカウントに対しても設定できます。しかし、アクセス許可をユーザーやコンピューター単体に対して設定して管理するのは、手間がかかる上に煩雑になってしまいます。
例えば、ねこまる株式会社の営業部に「ねこねこ」という新入社員が入社したとします。システム管理者は営業部の社員が利用するリソースに、「ねこねこ」に対してもアクセス権を与える必要があります。リソースのアクセス権をユーザー個別に設定していた場合、管理者は全てのリソースに対して個別に「ねこねこ」のアクセス権を追加する作業をしなくてはなりません。手間がかかる上に、作業漏れなどのミスが発生する可能性も高くなってしまいます。
一方、リソースのアクセス権を「営業」というグループで設定していた場合、「営業」グループに「ねこねこ」を追加するのみで済みます。このように、グループ アカウントを利用することで、ドメイン内のシステム管理を効率的に運用することができます。
そのため、一般的にドメインの運用においては、グループ アカウントで各アカウントをまとめて管理しています。
グループの種類
グループ アカウントを作成する時に、グループ アカウントの種類を選択することができます。作成できるグループ アカウントの種類は、以下の2種類です。
- セキュリティ グループ
- 配布グループ
グループ アカウントの種類の使い方は以下の通りです。
セキュリティ グループ
「セキュリティ グループ」は、ファイルやフォルダー、プリンターなどのリソースにアクセス許可を設定できるグループのことです。アクセス許可を設定する目的でグループ アカウントを作成する場合には、セキュリティ アカウントを作成します。また、電子メールアドレス属性を設定することで、電子メールの宛先として利用することもできます。
配布グループ
「配布グループ」は Active Directory ドメイン環境において、Exchange Server などの電子メールアプリケーションで電子メールの宛先として利用できるグループのことです。複数の人に同じ電子メールを送信したい場合には、配布グループを作成して対象のユーザーをメンバーとして追加します。配布グループは、アクセス許可を設定する目的では利用できません。
グループのスコープ
グループ アカウントのスコープとは、作成したグループを参照できる範囲のことです。グループに設定するスコープによって、フォレスト内のどのリソースにアクセスできるか、メンバーとして含められるアカウントの範囲が決まります。
セキュリティ グループと配布グループのそれぞれに、以下の3つのスコープが用意されています。
- ドメイン ローカル グループ
- グローバル グループ
- ユニバーサル グループ
グループ アカウントを作成すると、スコープは既定でグローバル グループとなります。
各種グループ アカウントがアクセスできるリソースの範囲は以下の表の通りです。
| スコープ | アクセスの範囲 |
| ドメイン ローカル グループ | ドメイン内 |
| グローバル グループ | フォレスト全体 |
| ユニバーサル グループ | フォレスト全体 |
上表の通り、ドメイン ローカル グループはグループが所属するドメイン内のリソースのみにアクセスでき、グローバル グループとユニバーサル グループはフォレスト全体のリソースにアクセスできます。
また、各グループのメンバーに含めることができるグループ/アカウントは以下の通りです。
| スコープ | メンバー |
| ドメイン ローカル グループ |
・フォレスト内のドメイン ユーザー アカウント |
| グローバル グループ | ・同一ドメイン内のドメイン ユーザー アカウント ・同一ドメイン内のグローバル グループ |
| ユニバーサル グループ | ・フォレスト内のドメイン ユーザー アカウント ・フォレスト内のグローバル グループ ・フォレスト内のユニバーサル グループ |
グループ アカウントのスコープは、ドメイン環境や使用するアプリケーションによって使いわけます。シングルフォレスト/シングルドメイン環境であれば、他のドメインのユーザーやグループを含める必要はないため、既定のグローバル グループを使用できます。しかし、Exchange Server を導入している環境では、ユニバーサル グループが必要になります。
また、シングルフォレスト/マルチドメイン環境で、他のドメインのユーザー アカウントやグループ アカウントもメンバーと追加したり、他のドメインからグループ アカウントを参照する場合にも、ユニバーサル グループは利用されます。
グループ アカウントの種類とスコープの設定方法
グループ アカウントの種類とスコープは、グループ アカウントの作成時に指定できます。[Active Directory ユーザーとコンピューター] の管理ツールを開いて、管理ツールから [新規作成] – [グループ] をクリックすると、グループ アカウントが作成できます。
[グループ名] にてグループ名を指定した後、[グループのスコープ] と [グループの種類] の項目にてスコープと種類を選択することができます。
また、グループを作成した後も、グループのプロパティ画面からグループの種類とスコープを変更することができます。ただし、注意点としてスコープの変更においては、作成時に指定したスコープにより制限があります。
グループ アカウントの運用方法
共有フォルダなどの様々なリソースにアクセス許可を設定する際、グループ アカウントを設定してシステム運用した方が効率的です。ただし、グループの作成も適切に運用して行わないと、アカウント数が増えすぎて管理しにくくなってしまうことがあります。そのため、グループ アカウントの管理が適切に行えるように、グループとアクセス権の割り当ての運用方法として推奨される「AGDLP」や「AGUDLP」という考え方があります。
「AGDLP」や「AGUDLP」は以下の頭文字の組み合わせとなります。
- 「A」= Account
- 「G」= Global Group
- 「DL」= Domain Local Group
- 「U」= Universal Group
- 「P」= Permission
「AGDLP」や「AGUDLP」の運用方法は以下の通りです。
AGDLP
Account (ユーザー アカウント) を、Global Group (グローバル グループ) でドメイン内の各部門やグループ単位でまとめ、Domai Local Group (ドメイン ローカル グループ) のメンバーにして Permission (アクセス許可) を設定するという方法での管理です。
アカウントの管理者がユーザー アカウントとグローバル グループを管理します。また、ファイル共有やプリンターなどのリソースを管理するシステム管理者はドメイン ローカル グループを管理し、リソースのアクセス権にドメイン ローカル グループを割り当てます。リソースのアクセス権を変更したい場合には、ドメイン ローカル グループのメンバーの割り当てを変更します。
AGUDLP
Account (ユーザー アカウント) を Global Group (グローバル グループ) でドメイン内の各部門やグループ単位でまとめ、Universal Group (ユニバーサル グループ) でそれぞれのドメインのグローバル グループをまとめます。Domai Local Group (ドメイン ローカル グループ) のメンバーにしてPermission (アクセス許可) を設定するという方法での管理です。
AGDLP の利点に加えて、複数のドメインの構成において、ドメインを横断する管理者がグループの管理をすることが可能です。AGUDLP は複数ドメインにまたがるユーザーに対してアクセス許可を設定したい場合に使用します。各ドメインの管理の基本的な運用方法としては、AGDLP と同様に、アカウントの管理者がユーザー アカウントとグローバル グループを管理します。また、ファイル共有やプリンターなどのリソースを管理するシステム管理者はドメイン ローカル グループを管理し、リソースのアクセス権にドメイン ローカル グループを割り当てます。リソースのアクセス権を変更したい場合には、ドメイン ローカル グループのメンバーの割り当てを変更します。
AGUDLP はシングル フォレスト/マルチドメインで構成され、ドメインを横断してアクセス管理を行う場合に推奨される運用方法です。フォレスト間の信頼がある場合でも、各フォレストが複数のドメインで構成される場合、各フォレストのグローバル グループをユニバーサル グループでまとめることでアクセス権の管理が容易になります。
ポチップ
