【グループアカウント(種類、スコープ)について】
このHPはグループアカウント(種類、スコープ)についてまとめたものです。
1−1 グループアカウントの種類
ActiveDirectoryのグループアカウントは、用途によって下記の2種類に分けられる。
・セキュリティグループ
・配布グループ
■セキリュティグループ
ファイルやフォルダのアクセス許可の割り当てや、コンピューターを利用する権利の割り当てに使用するグループ。また、電子メールの宛先としても使用可能。セキュリティグループは、別のセキュリティグループをメンバーにすることがすることが可能。これをグループの「ネスト」、または「入れ子」と呼ぶ。
■配布グループ
ActiveDirectoryドメイン環境で、Exchangeサーバー等の電子メールの宛先としてだけ使用することが可能。
配布グループは、アクセス許可や権限の割り当てには使用できない。
1-2 ローカルグループ
「ローカルグループ」とは、そのグループアカウントが定義されたディレクトリデータベースを持つコンピュータだけで、有効なグループアカウント。
資源に対するアクセス許可やタスクの実行等の権利をメンバーに与えるために使用する。ローカルグループは、主にワークグループ適用時に使用する。
例として、下図の様にドメインコントローラーのビルトインローカルグループ「Administrators」は、ドメインコントローラーの管理権限を持つ。従って、Administratorsグループのメンバーである「Suzuki」さんは、ドメインコントローラーの管理権限を持つ。
しかし、この権限はドメインコントローラーに対してだけ有効な権限であり、他のホストに対しては無効。
また、資源に対するアクセス許可を設定する場合も同じ。
SERVER1のローカルグループ「AWS_PJ」には、SERVER1の資源に対するアクセス許可を設定することができるが、SERVER2のローカルグループ「Azure_PJ」には、SERVER1の資源に対するアクセス許可を設定することは出来ない。
グループアカウントがホストや資源に対する権限を獲得し、使用できる範囲のことを「グループアカウントのスコープ(範囲)」と呼ぶ。
1−3 グループアカウントのスコープ(範囲)
グループアカウントのスコープ(範囲)とは、作成したグループを参照できる範囲の事。グループアカウントには、下記の3種類がある。
◆ドメインローカルグループ
◆グローバルグループ
◆ユニバーサルグループ
■ドメインローカルグループ
「ドメインローカルグループ」とは、ドメインコントローラーのディレクトリデータベースに作成され、ドメイン内の全てのコンピューターで利用できるグループアカウント。
例えば、ドメインコントローラー上のドメインローカルグループの「joho-system」は、ドメイン内の全ての資源に対してアクセス許可の設定をすることが可能。しかし、この範囲はドメイン内に限られるため、フォレスト内にあるドメイン内の資源に対するアクセス許可を設定することはできない。
また、ドメインローカルグループは、ドメインコントローラー上にだけ作成が可能。
■グローバルグループ
「グローバルグループ」とは、ドメインコントローラーのディレクトリデータベースに作成され、ドメインツリーやフォレスト内の全てのコンピューター上で利用できるグループアカウント。
例えば下図の「Aドメイン」のドメインコントローラー上のグローバルグループ「システム管理グループ」は、フォレスト内の全ての資源に対するアクセス許可を設定出来る。
■ユニバーサルグループ
「ユニバーサルグループ」とは、ドメインコントローラーのディレクトリデータベースに作成され、ドメインツリーやフォレスト内の全ての全てのコンピューター上で利用できるグループアカウント。
有効範囲はグローバルグループと同じだが、メンバーとしてフォレスト内の、他のドメインのグループアカウントやユーザーアカウントを参加させることが出来る。
また、「lpic.comドメイン」 のグローバルグループ「マネージャーグループ」と「tokyo.ccna.co.jpドメイン」 のグローバルグループ「SEグループ」を、メンバーとして参加させることが出来る。
このHPはグループアカウント(種類、スコープ)についてまとめたものです。
1−1 グループアカウントの種類
ActiveDirectoryのグループアカウントは、用途によって下記の2種類に分けられる。
・セキュリティグループ
・配布グループ
■セキリュティグループ
ファイルやフォルダのアクセス許可の割り当てや、コンピューターを利用する権利の割り当てに使用するグループ。また、電子メールの宛先としても使用可能。セキュリティグループは、別のセキュリティグループをメンバーにすることがすることが可能。これをグループの「ネスト」、または「入れ子」と呼ぶ。
■配布グループ
ActiveDirectoryドメイン環境で、Exchangeサーバー等の電子メールの宛先としてだけ使用することが可能。
配布グループは、アクセス許可や権限の割り当てには使用できない。
1-2 ローカルグループ
「ローカルグループ」とは、そのグループアカウントが定義されたディレクトリデータベースを持つコンピュータだけで、有効なグループアカウント。
資源に対するアクセス許可やタスクの実行等の権利をメンバーに与えるために使用する。ローカルグループは、主にワークグループ適用時に使用する。
例として、下図の様にドメインコントローラーのビルトインローカルグループ「Administrators」は、ドメインコントローラーの管理権限を持つ。従って、Administratorsグループのメンバーである「Suzuki」さんは、ドメインコントローラーの管理権限を持つ。
しかし、この権限はドメインコントローラーに対してだけ有効な権限であり、他のホストに対しては無効。
また、資源に対するアクセス許可を設定する場合も同じ。
SERVER1のローカルグループ「AWS_PJ」には、SERVER1の資源に対するアクセス許可を設定することができるが、SERVER2のローカルグループ「Azure_PJ」には、SERVER1の資源に対するアクセス許可を設定することは出来ない。
グループアカウントがホストや資源に対する権限を獲得し、使用できる範囲のことを「グループアカウントのスコープ(範囲)」と呼ぶ。
1−3 グループアカウントのスコープ(範囲)
グループアカウントのスコープ(範囲)とは、作成したグループを参照できる範囲の事。グループアカウントには、下記の3種類がある。
◆ドメインローカルグループ
◆グローバルグループ
◆ユニバーサルグループ
■ドメインローカルグループ
「ドメインローカルグループ」とは、ドメインコントローラーのディレクトリデータベースに作成され、ドメイン内の全てのコンピューターで利用できるグループアカウント。
例えば、ドメインコントローラー上のドメインローカルグループの「joho-system」は、ドメイン内の全ての資源に対してアクセス許可の設定をすることが可能。しかし、この範囲はドメイン内に限られるため、フォレスト内にあるドメイン内の資源に対するアクセス許可を設定することはできない。
また、ドメインローカルグループは、ドメインコントローラー上にだけ作成が可能。
■グローバルグループ
「グローバルグループ」とは、ドメインコントローラーのディレクトリデータベースに作成され、ドメインツリーやフォレスト内の全てのコンピューター上で利用できるグループアカウント。
例えば下図の「Aドメイン」のドメインコントローラー上のグローバルグループ「システム管理グループ」は、フォレスト内の全ての資源に対するアクセス許可を設定出来る。
■ユニバーサルグループ
「ユニバーサルグループ」とは、ドメインコントローラーのディレクトリデータベースに作成され、ドメインツリーやフォレスト内の全ての全てのコンピューター上で利用できるグループアカウント。
有効範囲はグローバルグループと同じだが、メンバーとしてフォレスト内の、他のドメインのグループアカウントやユーザーアカウントを参加させることが出来る。
また、「lpic.comドメイン」 のグローバルグループ「マネージャーグループ」と「tokyo.ccna.co.jpドメイン」 のグローバルグループ「SEグループ」を、メンバーとして参加させることが出来る。
