グループの追加(管理ツール編)
[Active Directoryユーザーとコンピュータ]管理ツールを用いてグループを追加する際の手順は、以下の通りだ。この場合、メンバを同時に指定することはできないので、後から個別に追加する必要がある。
[Active Directoryユーザーとコンピュータ]管理ツールを起動する。
左側のツリー画面で、グループを作成する場所(ドメイン、OUまたはコンテナ)を選択する。
[操作]-[新規作成]-[グループ]、あるいは右クリックして[新規作成]-[グループ]を選択する。画面右側の一覧表示部で右クリックする方法でもよい。
続いて表示するダイアログで、[グループ名][グループ名(Windows 2000以前)][グループのスコープ][グループの種類]を指定する。このうち[グループ名(Windows 2000以前)]は[グループ名]から連動して自動生成する。グループの種類は[セキュリティ]と[配布]のいずれかを選択する。セキュリティグループの場合、スコープとして[ドメインローカル]、[グローバル](ドメイングローバルグループのこと)、[ユニバーサル](ドメインユニバーサルグループのこと)のいずれかを選択する。
- [OK]をクリックすると、指定した内容でグループを作成する。
グループの追加(コマンド編)
グループを追加するコマンドには、net groupコマンド、net localgroupコマンド、dsadd groupコマンドがある。
このうち、net groupコマンドはドメイングローバルグループ、net localgroupコマンドはドメインローカルグループを追加する際に使用する。つまり、ドメインユニバーサルグループを追加できるnetコマンドはない。netコマンドはもともとNTドメイン用で、NTドメインにはドメインユニバーサルグループがないためだ。
net groupコマンドとnet localgroupコマンドは対象が異なるだけで、使い方は同じだ。コマンドに続いて、スペースで区切ってグループの名前、それと引数「/add」を記述する。作成場所の指定はできず、既定値ではコンテナ「Users」に固定される。
・ドメイングローバルグループ「Sales_RW」を追加
net group sales_rw /add
・ドメインローカルグループ「Admins」を追加
net localgroup admins /add
また、これらのコマンドではグループ作成時にコメントも設定できる。以下にnet groupコマンドの例を示すが、net localgroupコマンドでも同じことができる。なお、コメントは常に引用符(" ")で囲む必要がある。
・ドメイングローバルグループ「Sales_RW」を追加して、コメント「営業部」を設定
net group Sales_RW /comment:"営業部" /add
一方、dsadd groupコマンドでは追加するグループをLDAP識別名で指定するようになっており、それにより、グループの配置場所を自由に指定できる。グループを作成する際にコメントを一緒に指定できる点は、net groupコマンドやnet localgroupコマンドと同様だ。
dsadd groupコマンドでは、作成するグループの種類やスコープを引数で指定する。使用する引数は以下の通りだ。
dsadd groupコマンドで、グループの種類やスコープを指定するために使用する引数
引数 | グループの種類とスコープ |
---|---|
-scope l | ドメインローカルグループ |
-scope g | ドメイングローバルグループ |
-scope u | ドメインユニバーサルグループ |
-secgrp no | 配布グループ |
以下に実行例を示す。
・ドメイン「ad-domain.company.local」内のコンテナ「Users」に、ドメイングローバルグループ「Sales_RW」を追加
dsadd group cn=Sales_RW,cn=Users,dc=ad-domain,dc=company,dc=local -scope g
・ドメイン「ad-domain.company.local」内のOU「Tokyo」に、ドメインローカルグループ「Tokyo_Admin」を追加
dsadd group cn=Tokyo_Admin,ou=Tokyo,dc=ad-domain,dc=company,dc=local -scope l
・ドメイン「ad-domain.company.local」内のコンテナ「Users」に、ドメイングローバルグループ「Sales_RW」を追加して、「営業部・読み書き可能」というコメントを設定
dsadd group cn=Sales_RW,cn=Users,dc=ad-domain,dc=company,dc=local -scope g -desc "営業部・読み書き可能"
なお、dsadd groupコマンドでは、作成するグループが所属するグループを「-memberof <グループ名>」で、NetBIOS名を「-samid <NetBIOS名>」で、それぞれ指定できる。