にわか管理者のためのActive Directory入門(42) Active Directoryで利用可能なグループ

今週は、Active Directoryで利用可能なグループについて解説しよう。グループそのものはローカルコンピュータでも設定できるが、Active Directoryには複数の種類のグループがあり、それぞれ機能的な違いがある点が異なる。

グループとは?

グループとは、複数のオブジェクトをまとめて取り扱うためのオブジェクトだ。もっともポピュラーな使い方は、複数のユーザーアカウントをグループに登録して、アクセス権の設定などのに利用するものだろう。もっとも、グループのメンバーとして登録できるのはユーザーアカウントだけではなく、コンピュータアカウントや、(後述するように制約があるが)グループのメンバとして別のグループを登録する、いわゆるグループの入れ子も行える。

共有資源などのアクセス権を設定する際には、個別のユーザーアカウントごとにアクセス権を設定するよりも、グループを対象にする方が効率が良い。設定対象となるユーザーアカウントの数が多くなると、ユーザーアカウントに対して直接設定する方法では煩雑になって、管理しにくいからだ。

グループに対してアクセス権を設定しておけば、グループのメンバに追加したユーザーアカウントは、グループに設定したアクセス権を継承する。逆に、アクセス権の設定を解除したいときには、対象となるユーザーアカウントをグループのメンバから削除するだけでよい。これは、「継承」と呼ばれるメカニズムによるもので、「グループに対して設定したアクセス権は、そのグループに所属するユーザーも継承する」という理由による。

Active Directoryで扱うグループの種類

ローカルコンピュータでもグループの設定は可能だが、グループといえば一種類しかない。それに対してActive Directoryの場合、グループの機能そのものが2種類あり、さらにそれが複数の種類に分かれている。

機能的な分類としては、以下の2種類がある。

・アクセス権の設定対象になるグループ
・Active Directoryに対応した電子メールソフトが、電子メールの配布先として利用するグループ

グループの大分類としては、セキュリティグループと配布グループがある。セキュリティグループはアクセス権の設定と電子メール配布の両方で利用できるが、配布グループは後者の、電子メール配布先でしか利用できない。したがって、グループを用いたアクセス権の制御を行うには、セキュリティグループを作成する必要がある。

グローバルグループ、ローカルグループ、ユニバーサルグループ

さらに、Active Directoryが取り扱うセキュリティグループは、複数の種類に分かれる。グループの種類と用途の違いは、以下のようになっている。

Active Directoryで扱うことができるセキュリティグループの種類

グループの種類	有効範囲	使用目的	所属可能なメンバ
ドメインローカルグループ	ドメイン内のサーバ	アクセス制御	フォレストのアカウント
ドメイングローバルグループ	フォレスト全体	ユーザーの分類	自ドメインのアカウントのみ
ドメインユニバーサルグループ	フォレスト全体	ユーザーの分類	フォレストのアカウント

個々のコンピュータが持つグループのことを「ローカルグループ」と呼ぶことがあるので、ドメインローカルグループとの区別が難しくなるかも知れない。他の種類も含めて、「ドメイン○○グループ」と呼ぶ方が混乱しないだろう。なお、個々のコンピュータが持つローカルグループのメンバにできるのは、そのコンピュータのローカルアカウントと、フォレストのアカウントだ。

なお、Active Directoryの機能レベルが混在モードになっているときには、ドメインユニバーサルグループは存在しない。機能レベルを上げると、ドメインユニバーサルグループの利用が可能になる。