グループはユーザー アカウントとコンピューター アカウント、連絡先、および他のグループの集まりで、1 つの単位として管理できます。特定のグループに属するユーザーおよびコンピューターは、グループ メンバーと呼ばれます。

Active Directory ドメイン サービス (AD DS) のグループは、ドメイン内および組織単位 (OU) コンテナー オブジェクト内に属すディレクトリ オブジェクトとなります。AD DS では、インストール時に一連の既定のグループが用意されます。また、グループを作成するためのオプションも提供されます。

AD DS のグループは、次の用途に使用できます。

  • 共有リソースへのアクセス許可を、個々のユーザーにではなくグループに割り当てることで、管理を簡略化します。アクセス許可をグループに割り当てることで、そのグループのすべてのメンバーに対し、リソースへのアクセス許可を同様に与えることになります。

  • グループ ポリシーを使用してグループにいったんユーザー権利を割り当てることで、管理を委任します。そうすることで、このグループと同じ権利を与えるメンバーをグループに追加できます。

  • 電子メール配布用の一覧を作成します。

グループの特性は、スコープと種類によって表されます。グループのスコープによって、ドメイン内またはフォレスト内でそのグループが適用される範囲が決まります。グループの種類によって、共有リソースからのアクセス許可の割り当てにグループを使用できるかどうか (セキュリティ グループの場合)、またはグループを電子メール配布用の一覧のためだけに使用できるかどうか (配布グループの場合) が決まります。

メンバーシップを変更または表示できないグループもあります。これらのグループは、特別な ID と呼ばれます。これらのグループは状況に依存し、時期が異なれば、グループによって表されるユーザーも変わります。たとえば、Everyone グループは特別な ID であり、ゲストおよび他のドメインのユーザーを含む、現在のすべてのネットワーク ユーザーを表します。

次に、AD DS のグループ アカウントの追加情報を示します。

既定のグループ

Domain Admins グループなどの既定のグループはセキュリティ グループであり、Active Directory ドメインの作成時に自動的に作成されます。これらの定義済みのグループは、共有リソースへのアクセス制御や、ドメイン全体の管理に関する特定の役割を委任するために活用できます。

多くの既定のグループには、一連のユーザー権利が自動的に割り当てられます。この権利はグループのメンバーに承認を与えるもので、ローカル システムへのログオン、およびファイルやフォルダーのバックアップなど、ドメイン内の特定の操作を実行できるようにします。たとえば、Backup Operators グループのメンバーには、ドメイン内のすべてのドメイン コントローラーのバックアップ操作を実行する権利が与えられます。

ユーザーをグループに追加すると、そのユーザーには次の権利およびアクセス許可が与えられます。

  • そのグループに割り当てられたすべてのユーザー権利

  • そのグループに割り当てられたすべての共有リソースへのアクセス許可

既定のグループは Builtin コンテナーおよび Users コンテナーに置かれます。Builtin コンテナー内の既定のグループには、ビルトイン ローカルのグループのスコープが与えられます。これらのグループのスコープおよびグループの種類は変更できません。Users コンテナーには、グローバル スコープが定義されたグループと、ドメイン ローカル スコープが定義されたグループが置かれます。これらのコンテナー内のグループは、同じドメイン内の他のグループや OU に移動できますが、他のドメインに移動することはできません。

既定のグループの詳細については、既定のグループに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=131422) を参照してください。

グループのスコープ

グループの特性は、ドメイン ツリー内またはフォレスト内で、そのグループが適用される範囲を特定するスコープによって表されます。グループのスコープには、ドメイン ローカル、グローバル、およびユニバーサルがあります。

ドメイン ローカル グループ

ドメイン ローカル グループのメンバーには、Windows NT、Windows 2000、Windows Server 2003、Windows Server 2008、および Windows Server 2008 R2 の各ドメインから他のグループおよびアカウントを組み込むことができます。これらのグループのメンバーには、ドメイン内のアクセス許可のみが割り当てられます。

ドメイン ローカル スコープのグループは、単一のドメイン内のリソースへのアクセスの定義と管理に役立ちます。これらのグループのメンバーとして、次のグループおよびアカウントを使用できます。

  • 任意のドメインからのアカウント

  • 任意のドメインからのグローバル グループ

  • 任意のドメインからのユニバーサル グループ

  • ドメイン ローカル グループ (ただし、親ドメイン ローカル グループと同じドメインからのグループのみ)

  • 上記のいずれかの組み合わせ

たとえば、特定のプリンターに 5 人のユーザーがアクセスできるようにする場合、5 つのユーザー アカウントすべてをプリンターのアクセス許可の一覧に追加できます。しかし、後日この 5 人のユーザーが新しいプリンターにアクセスすることになった場合は、同じ 5 つのユーザー アカウントすべてを、新しいプリンターのアクセス許可の一覧に追加する必要があります。

事前に計画すると、この日常的な管理作業を簡略化できます。実行するには、まずドメイン ローカル スコープのグループを作成し、このグループにプリンターへのアクセス許可を与えます。5 つのユーザー アカウントをグローバル スコープのグループに配置し、このグループをドメイン ローカル スコープのグループに追加します。この 5 人のユーザーが新しいプリンターにアクセスできるようにするときは、新しいプリンターにアクセスするためのアクセス許可を、このドメイン ローカル スコープのグループに割り当てます。グローバル スコープのグループに属するすべてのメンバーは、新しいプリンターに自動的にアクセスできるようになります。

グローバル グループ

グローバル グループのメンバーには、親グローバル グループと同じドメインからのアカウント、および親グローバル グループと同じドメインからのグローバル グループを含めることができます。これらのグループのメンバーには、そのフォレスト内の任意のドメインのアクセス許可が割り当てられます。

グローバル スコープのグループを使用して、ユーザー アカウントやコンピューター アカウントなど、日常的な管理が必要なディレクトリ オブジェクトを管理できます。グローバル スコープのグループは、グループが属するドメインの外部ではレプリケートされないため、グローバル スコープを持つグループ内のアカウントは、グローバル カタログへのレプリケーション トラフィックを生成することなく頻繁に変更できます。

権利とアクセス許可の割り当ては、グループが割り当てられているドメイン内でのみ有効ですが、該当する複数のドメインに均等にグローバル スコープのグループを適用することで、類似した目的を持つアカウントへの参照を一元管理できます。こうすることで、ドメイン間のグループ管理を簡略化および合理化できます。たとえば、Europe と UnitedStates の 2 つのドメインがあるネットワークでは、GLAccounting というグローバル スコープのグループが UnitedStates ドメインにある場合、アカウンティング機能が Europe ドメインに存在する限り、GLAccounting グループは Europe ドメインにもあることになります。

重要

グローバル カタログにレプリケートするドメイン ディレクトリ オブジェクトにアクセス許可を指定する場合、ドメイン ローカル グループの代わりに、グローバル グループまたはユニバーサル グループを使用することをお勧めします。

ユニバーサル グループ

ユニバーサル グループのメンバーとして、次のグループおよびアカウントを使用できます。

  • このユニバーサル グループが存在するフォレスト内の任意のドメインからのアカウント

  • このユニバーサル グループが存在するフォレスト内の任意のドメインからのグローバル グループ

  • このユニバーサル グループが存在するフォレスト内の任意のドメインからのユニバーサル グループ

これらのグループのメンバーには、そのドメイン ツリー内またはフォレスト内の任意のドメインのアクセス許可が割り当てられます。ユニバーサル スコープのグループは、ドメイン間にまたがるグループの統合に使用します。これを実行するには、グローバル スコープのグループにアカウントを追加し、これらのグループをユニバーサル スコープのグループ内に入れ子にします。この方法を使用する場合、グローバル スコープを持つグループ内でのメンバーシップの変更は、ユニバーサル スコープ内のグループには反映されません。

たとえば、Europe と UnitedStates の 2 つのドメインを持つネットワークがあり、GLAccounting というグローバル スコープのグループが各ドメインにある場合、UnitedStates\GLAccounting および Europe\GLAccounting の 2 つの GLAccounting グループをメンバーとして持つ UAccounting というユニバーサル スコープのグループを作成します。そうすると、社内のどこからでも UAccounting グループを使用できます。個々の GLAccounting グループのメンバーシップを変更しても、この UAccounting グループはレプリケーションされません。

ユニバーサル スコープを持つグループのメンバーシップは、頻繁に変更しないでください。この種類のグループのメンバーシップを変更すると、グループのメンバーシップ全体がフォレスト内のすべてのグローバル カタログにレプリケートされます。

グループの種類

AD DS には、配布グループとセキュリティ グループの 2 種類があります。配布グループは、電子メール配布用の一覧の作成に使用できます。セキュリティ グループは、共有リソースへのアクセス許可の割り当てに使用できます。

配布グループは、電子メール アプリケーション (Microsoft Exchange Server 2007 など) でユーザーの集まりに対して電子メールを送信するためにのみ使用できます。配布グループはセキュリティが有効になっていません。そのため、配布グループを随意アクセス制御リスト (DACL) に追加することはできません。共有リソースへのアクセス制御のためのグループが必要な場合は、セキュリティ グループを作成します。

注意を払って使用すると、セキュリティ グループはネットワーク上のリソースへのアクセスを割り当てるための効率的な手段となります。セキュリティ グループを使用することで、次のことが可能になります。

  • AD DS 内のセキュリティ グループにユーザー権利を割り当てます。

    ユーザー権利は、ドメイン (またはフォレスト) のスコープ内でそのグループのメンバーが実行できる処理を決めるためにセキュリティ グループに割り当てられます。ユーザー権利は、ドメイン内でのユーザーの管理用の役割を管理者が定義する際役立つように、AD  DS のインストール時に一部のセキュリティ グループに対して自動的に割り当てられます。たとえば、AD DS 内の Backup Operators グループに追加されたユーザーは、そのドメイン内の各ドメイン コントローラー上にあるファイルおよびディレクトリのバックアップおよび復元を行うことができます。

  • セキュリティ グループにリソースに対するアクセス許可を割り当てます。

    アクセス許可は、ユーザー権利とは異なります。アクセス許可は、共有リソースにアクセスできるユーザーを特定します。フル コントロールなどのアクセス レベルも決定します。セキュリティ グループを使用して、共有リソースへのアクセスおよびアクセス許可を管理できます。ドメイン オブジェクトに設定された一部のアクセス許可は、Account Operators グループや Domain Admins グループなどの既定のセキュリティ グループにさまざまなレベルのアクセスを許可するため、自動的に割り当てられます。

配布グループと同様に、セキュリティ グループは電子メール エンティティとしても使用できます。電子メール メッセージをセキュリティ グループに送信すると、セキュリティ グループのすべてのメンバーに送信されることになります。

特別な ID

Users コンテナーおよび Builtin コンテナーのグループに加え、Windows Server 2008 R2、Windows Server 2008、または Windows Server 2003 を実行しているサーバーにはいくつかの特別な ID が含まれます。便宜上、これらの ID は一般にグループと呼ばれます。これらの特別なグループは、変更できる固有のメンバーシップを持ちません。これらのグループは状況に依存し、時期が異なれば、グループによって表されるユーザーも変わることがあります。次のグループは特別な ID を表します。

  • Anonymous Logon

    このグループは、アカウント名、パスワード、およびドメイン名を使用せずにコンピューターおよびそのリソースにネットワークを介してアクセスするユーザーとサービスを表します。Windows NT およびそれ以前のオペレーティング システムを実行するコンピューターでは、Anonymous Logon グループは Everyone グループの既定のメンバーとなります。Windows Server 2008 R2、Windows Server 2008、または Windows Server 2003 を実行するコンピューターでは、Anonymous Logon グループは Everyone グループの既定のメンバーとなりません。

  • Everyone

    このグループは、ゲストおよび他のドメインのユーザーを含む現在のすべてのネットワーク ユーザーを表します。ユーザーがネットワークにログオンするたびに、そのユーザーが Everyone グループに自動的に追加されます。

  • Network

    このグループは、リソースがあるコンピューターにローカルでログインしてリソースにアクセスしているユーザーではなく、現在ネットワーク上の特定のリソースにアクセスしているユーザーを表します。ユーザーがネットワーク上の特定のリソースにアクセスするたびに、そのユーザーが Network グループに自動的に追加されます。

  • Interactive

    このグループは、ネットワーク上のリソースにアクセスしているユーザーではなく、現在特定のコンピューターにログオンし、そのコンピューターにある特定のリソースにアクセスしているすべてのユーザーを表します。ユーザーが現在ログオンしているコンピューター上の特定のリソースにアクセスするたびに、そのユーザーが Interactive グループに自動的に追加されます。

特別な ID は、リソースに対する権利およびアクセス許可を割り当てられますが、特別な ID のメンバーシップは変更および表示できません。グループのスコープは特別な ID には適用されません。ユーザーがログオンするたびに、または特定のリソースにアクセスするたびに、そのユーザーがこれらの特別な ID に自動的に割り当てられます。

グループの作成場所

AD DS では、グループはドメイン内に作成されます。Active Directory 管理センターを使用してグループを作成できます。必要なアクセス許可がある場合は、フォレストのルート ドメイン内、フォレストのその他のドメイン内、または OU 内にグループを作成できます。

グループが作成されたドメインに加え、グループはスコープによっても特徴づけられます。グループのスコープによって次のことが決まります。

  • メンバーの追加に使用できるドメイン

  • グループに割り当てられた権利とアクセス許可が有効となるドメイン

グループを作成する特定のドメインまたは OU を、そのグループに必要な管理に基づいて選択します。たとえば、ディレクトリに複数の OU があり、各グループに異なる管理者がいる場合、これらの OU にグローバル スコープのグループを作成できます。そうすることで、管理者は自分が担当する OU のユーザーのグループ メンバーシップを管理できます。グループに OU 外部のアクセス制御が必要な場合、OU 内のグループをユニバーサル スコープのグループ (またはグローバル スコープの別のグループ) の中に入れ子にし、フォレスト内の他の場所で使用できるようにすることができます。

ドメインの機能レベルが Windows 2000 ネイティブ以上に設定されている場合、そのドメインでは OU が階層化され、管理は各 OU の管理者に委任されます。グローバル スコープのグループを入れ子にすることにより、効率が向上することが考えられます。たとえば、OU1 に OU2 および OU3 が含まれる場合、OU1 内のグローバル スコープのグループは、OU2 および OU3 内のグローバル スコープのグループをメンバーとして持つことができます。OU1 内では、管理者は OU1 のグループ メンバーを追加または削除できます。また、OU2 および OU3 の管理者は、OU1 内のグローバル スコープのグループに対する管理者権限がなくても、自分の OU からアカウントのグループ メンバーを追加または削除できます。

グループはドメイン内で移動できます。ただし、ユニバーサル スコープを持つグループのみがドメイン間を移動できます。ユニバーサル スコープを持つグループに割り当てられた権利およびアクセス許可は、グループが別のドメインに移動されると失われるため、新しく割り当てる必要があります。

その他の参照情報

目次