「ActiveDirectoryグループのスコープと種類」の備忘録
Active Directory(ドメイン)には、3つのスコープ(ドメインローカルグループ・グローバルグループ・ユニバーサルグループ)と2つの種類(セキュリティ・配布)がある。
ドメインの構成方法によっては、使えるスコープがあったりして、ややややこしい。このActive Directoryグループは、フォルダ共有時に色々と影響を及ぼすので、作成時に注意が必要だ。
●グループに追加可能なメンバー
| ドメイン ローカル グループ |
グローバル グループ |
ユニバーサル グループ |
ドメイン ユーザー アカウント |
||
| 同一フォレスト 同一ドメイン |
ドメイン ローカル グループ |
○ | ○ | ○ | ○ |
| グローバル グループ |
× | ○ | ○ | ○ | |
| ユニバーサル グループ |
× | ○ | ○ | ○ | |
| 同一フォレスト 別ドメイン |
ドメイン ローカル グループ |
× | ○ | ○ | ○ |
| グローバル グループ |
× | × | × | × | |
| ユニバーサル グループ |
× | ○ | ○ | ○ | |
| 信頼関係 (フォレスト信頼) |
ドメイン ローカル グループ |
× | ○ | ○ | ○ |
| グローバル グループ |
× | × | × | × | |
| ユニバーサル グループ |
× | × | × | × | |
●アクセス権で設定可能なメンバー
| ドメイン ローカル グループ |
グローバル グループ |
ユニバーサル グループ |
ドメイン ユーザー アカウント |
||
| NTFS 共有フォルダ の アクセス権 |
同一フォレスト 同一ドメイン |
○ | ○ | ○ | ○ |
| 同一フォレスト 別ドメイン |
× | ○ | ○ | ○ | |
| 信頼関係を設定した 別フォレストの別ドメイン |
× | ○ | ○ | ○ | |
●スコープの変換
ドメインローカルグループ⇔ユニバーサルグループ⇔グローバルグループ
●参照可能な範囲
| ローカルグループ | そのコンピュータ |
| ドメインローカルグループ | そのドメイン |
| グローバルグループ | フォレスト全体(ドメインを超えたユーザやグループの分類) |
| ユニバーサルグループ | フォレスト全体(ドメインを超えたユーザやグループの分類) |
●ユニバーサルグループについて
・メンバー情報はグローバルカタログ(GC)サーバーに複製される。
・ドメインを超えたユーザーやグループ(フォレスト全体)で使用される。
・ドメインローカルグループをグローバルグループに変換するには、ユニバーサルグループに一度変換する必要がある。
●これらのグループのアカウント運用。特にフォルダ共有時に、次のルールに基づいてアカウント管理することで、効率良いと言われている。
シングルドメインの場合は、「A・G・DL・P」もしくは「A・G・P」、マルチドメインの場合は「A・G・U・DL・P」もしくは「A・G・U・P」での運用が推奨される。
A…ユーザーアカウント、G…グローバルグループ、U…ユニバーサルグループ、DL…ドメインローカルグループ、P…パーミッション(アクセス許可)
