「ActiveDirectoryグループのスコープと種類」の備忘録

Active Directory(ドメイン)には、3つのスコープ(ドメインローカルグループ・グローバルグループ・ユニバーサルグループ)と2つの種類(セキュリティ・配布)がある。

ドメインの構成方法によっては、使えるスコープがあったりして、ややややこしい。このActive Directoryグループは、フォルダ共有時に色々と影響を及ぼすので、作成時に注意が必要だ。

●グループに追加可能なメンバー

ドメイン
ローカル
グループ
グローバル
グループ
ユニバーサル
グループ
ドメイン
ユーザー
アカウント
同一フォレスト
同一ドメイン
ドメイン
ローカル
グループ
グローバル
グループ
×
ユニバーサル
グループ
×
同一フォレスト
別ドメイン
ドメイン
ローカル
グループ
×
グローバル
グループ
× × × ×
ユニバーサル
グループ
×
信頼関係
(フォレスト信頼)
ドメイン
ローカル
グループ
×
グローバル
グループ
× × × ×
ユニバーサル
グループ
× × × ×

●アクセス権で設定可能なメンバー

ドメイン
ローカル
グループ
グローバル
グループ
ユニバーサル
グループ
ドメイン
ユーザー
アカウント
NTFS
共有フォルダ

アクセス権
同一フォレスト
同一ドメイン
同一フォレスト
別ドメイン
×
信頼関係を設定した
別フォレストの別ドメイン
×

●スコープの変換

ドメインローカルグループ⇔ユニバーサルグループ⇔グローバルグループ

●参照可能な範囲

ローカルグループ そのコンピュータ
ドメインローカルグループ そのドメイン
グローバルグループ フォレスト全体(ドメインを超えたユーザやグループの分類)
ユニバーサルグループ フォレスト全体(ドメインを超えたユーザやグループの分類)

●ユニバーサルグループについて

・メンバー情報はグローバルカタログ(GC)サーバーに複製される。
・ドメインを超えたユーザーやグループ(フォレスト全体)で使用される。
・ドメインローカルグループをグローバルグループに変換するには、ユニバーサルグループに一度変換する必要がある。

●これらのグループのアカウント運用。特にフォルダ共有時に、次のルールに基づいてアカウント管理することで、効率良いと言われている。

シングルドメインの場合は、「A・G・DL・P」もしくは「A・G・P」、マルチドメインの場合は「A・G・U・DL・P」もしくは「A・G・U・P」での運用が推奨される。

A…ユーザーアカウント、G…グローバルグループ、U…ユニバーサルグループ、DL…ドメインローカルグループ、P…パーミッション(アクセス許可)

未分類