グループはユーザー アカウントとコンピューター アカウント、連絡先、および他のグループの集まりで、1 つの単位として管理できます。特定のグループに属するユーザーおよびコンピューターは、グループ メンバーと呼ばれます。

Active Directory ドメイン サービス (AD  DS) のグループは、ドメイン内および組織単位 (OU) コンテナー オブジェクト内に属すディレクトリ オブジェクトとなります。AD DS では、インストール時に一連の既定のグループが用意されます。また、グループを作成するためのオプションも提供されます。

AD DS のグループは、次の用途に使用できます。

  • 共有リソースへのアクセス許可を、個々のユーザーにではなくグループに割り当てることで、管理を簡略化します。アクセス許可をグループに割り当てることで、そのグループのすべてのメンバーに対し、リソースへのアクセス許可を同様に与えることになります。

  • グループ ポリシーを使用してグループにいったんユーザー権利を割り当てることで、管理を委任します。そうすることで、このグループと同じ権利を与えるメンバーをグループに追加できます。

  • 電子メール配布用の一覧を作成します。

グループの特性は、スコープと種類によって表されます。グループのスコープによって、ドメイン内またはフォレスト内でそのグループが適用される範囲が決まります。グループの種類によって、共有リソースからのアクセス許可の割り当てにグループを使用できるかどうか (セキュリティ グループの場合)、またはグループを電子メール配布用の一覧のためだけに使用できるかどうか (配布グループの場合) が決まります。

メンバーシップを変更または表示できないグループもあります。これらのグループは、特別な ID と呼ばれます。これらのグループは、状況に依存し、時期が異なれば表すユーザーも変わります。たとえば、Everyone グループは特別な ID であり、ゲストおよび他のドメインのユーザーを含む、現在のすべてのネットワーク ユーザーを表します。

次に、AD DS のグループ アカウントの追加情報を示します。

既定のグループとは

Domain Admins グループなどの既定のグループはセキュリティ グループであり、Active Directory ドメインの作成時に自動的に作成されます。これらの定義済みのグループは、共有リソースへのアクセス制御や、ドメイン全体の管理に関する特定の役割を委任するために活用できます。

多くの既定のグループには、一連のユーザー権利が自動的に割り当てられます。この権利はグループのメンバーに承認を与えるもので、ローカル システムへのログオンやファイルおよびフォルダーのバックアップなど、ドメイン内の特定の操作を実行できるようにします。たとえば、Backup Operators グループのメンバーには、ドメイン内のすべてのドメイン コントローラーのバックアップ操作を実行する権利が与えられます。

ユーザーをグループに追加すると、そのユーザーには次の権利およびアクセス許可が与えられます。

  • そのグループに割り当てられたすべてのユーザー権利

  • そのグループに割り当てられたすべての共有リソースへのアクセス許可

既定のグループは Builtin コンテナーおよび Users コンテナーに置かれます。Builtin コンテナー内の既定のグループには、ビルトイン ローカルのグループのスコープが与えられます。これらのグループのスコープおよびグループの種類は変更できません。Users コンテナーには、グローバル スコープが定義されたグループと、ドメイン ローカル スコープが定義されたグループが置かれます。これらのコンテナー内のグループは、同じドメイン内の他のグループや OU に移動できますが、他のドメインに移動することはできません。

既定のグループの詳細については、既定のグループに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=64099) を参照してください。

グループのスコープとは

グループの特性は、ドメイン ツリー内またはフォレスト内で、そのグループが適用される範囲を特定するスコープによって表されます。グループのスコープには、ドメイン ローカル、グローバル、およびユニバーサルがあります。

ドメイン ローカル グループについて

ドメイン ローカル グループのメンバーには、Windows Server  2003、Windows  2000、Windows  NT、Windows Server 2008、および Windows Server 2008 R2 の各ドメインから他のグループおよびアカウントを組み込むことができます。これらのグループのメンバーには、ドメイン内のアクセス許可のみが割り当てられます。

ドメイン ローカル スコープのグループは、単一のドメイン内のリソースへのアクセスの定義と管理に役立ちます。これらのグループのメンバーとして、次のグループおよびアカウントを使用できます。

  • グローバル スコープのグループ

  • ユニバーサル スコープのグループ

  • アカウント

  • ドメイン ローカル スコープのその他のグループ

  • 上記のいずれかの組み合わせ

たとえば、特定のプリンターに 5 人のユーザーがアクセスできるようにする場合、5 つのユーザー アカウントすべてをプリンターのアクセス許可の一覧に追加できます。しかし、後日この 5 人のユーザーが新しいプリンターにアクセスすることになった場合、同じ 5 つのユーザー アカウントすべてを新しいプリンターのアクセス許可の一覧に追加しなければならないことになります。

事前に計画すると、この日常的な管理作業を簡略化できます。実行するには、まずドメイン ローカル スコープのグループを作成し、このグループにプリンターへのアクセス許可を与えます。5 つのユーザー アカウントをグローバル スコープのグループに配置し、このグループをドメイン ローカル スコープのグループに追加します。この 5 人のユーザーが新しいプリンターにアクセスできるようにするときは、新しいプリンターにアクセスするためのアクセス許可を、このドメイン ローカル スコープのグループに割り当てます。グローバル スコープのグループに属するすべてのメンバーは、新しいプリンターに自動的にアクセスできるようになります。

グローバル グループについて

グローバル グループのメンバーには、そのグループが定義されているドメイン内のみから、他のグループおよびアカウントを組み込むことができます。これらのグループのメンバーには、そのフォレスト内の任意のドメインのアクセス許可が割り当てられます。

グローバル スコープのグループを使用して、ユーザー アカウントやコンピューター アカウントなど、日常的な管理が必要なディレクトリ オブジェクトを管理できます。グローバル スコープのグループは、グループが属するドメインの外部ではレプリケートされないため、グローバル スコープを持つグループ内のアカウントは、グローバル カタログへのレプリケーション トラフィックを生成することなく頻繁に変更できます。

権利とアクセス許可の割り当ては、グループが割り当てられているドメイン内でのみ有効ですが、該当する複数のドメインに均等にグローバル スコープのグループを適用することで、類似した目的を持つアカウントへの参照を一元管理できます。こうすることで、ドメイン間のグループ管理を簡略化および合理化できます。たとえば、Europe と UnitedStates の 2 つのドメインがあるネットワークでは、GLAccounting というグローバル スコープのグループが UnitedStates ドメインにある場合、アカウンティング機能が Europe ドメインに存在しないのでない限り、GLAccounting グループは Europe ドメインにもあることになります。

重要

グローバル カタログにレプリケートするドメイン ディレクトリ オブジェクトにアクセス許可を指定する場合、ドメイン ローカル グループの代わりに、グローバル グループまたはユニバーサル グループを使用することを強くお勧めします。

ユニバーサル グループについて

ユニバーサル グループのメンバーには、同じドメイン ツリー内またはフォレスト内のどのドメインからでも、他のグループおよびアカウントを組み込むことができます。これらのグループのメンバーには、そのドメイン ツリー内またはフォレスト内の任意のドメインのアクセス許可が割り当てられます。

ユニバーサル スコープのグループは、ドメイン間にまたがるグループの統合に使用します。これを実行するには、グローバル スコープのグループにアカウントを追加し、これらのグループをユニバーサル スコープのグループ内に入れ子にします。この方法を使用する場合、グローバル スコープを持つグループ内でのメンバーシップの変更は、ユニバーサル スコープ内のグループには反映されません。

たとえば、Europe と UnitedStates の 2 つのドメインを持つネットワークがあり、GLAccounting というグローバル スコープのグループが各ドメインにある場合、UnitedStates\GLAccounting および Europe\GLAccounting の 2 つの GLAccounting グループをメンバーとして持つ UAccounting というユニバーサル スコープのグループを作成します。そうすると、社内のどこからでも UAccounting グループを使用できます。個々の GLAccounting グループのメンバーシップを変更しても、この UAccounting グループはレプリケーションされません。

ユニバーサル スコープを持つグループのメンバーシップは、頻繁に変更しないでください。この種類のグループのメンバーシップを変更すると、グループのメンバーシップ全体がフォレスト内のすべてのグローバル カタログにレプリケートされます。

グループの種類について

AD  DS には、配布グループとセキュリティ グループの 2 種類があります。配布グループは電子メール配布用の一覧の作成に使用でき、セキュリティ グループは共有リソースへのアクセス許可の割り当てに使用できます。

配布グループは、電子メール アプリケーション (Microsoft Exchange  Server  2007 など) でユーザーの集まりに対して電子メールを送信するためにのみ使用できます。配布グループはセキュリティが有効になっていません。そのため、配布グループを随意アクセス制御リスト (DACL) に追加することはできません。共有リソースへのアクセス制御のためのグループが必要な場合は、セキュリティ グループを作成します。

注意を払って使用すると、セキュリティ グループはネットワーク上のリソースへのアクセスを割り当てるための効率的な手段となります。セキュリティ グループを使用することで、次のことが可能になります。

  • AD DS 内のセキュリティ グループにユーザー権利を割り当てます。

    ユーザー権利は、ドメイン (またはフォレスト) のスコープ内でそのグループのメンバーが実行できる処理を決めるためにセキュリティ グループに割り当てられます。ユーザー権利は、ドメイン内でのユーザーの管理用の役割を管理者が定義する際役立つように、AD DS のインストール時に一部のセキュリティ グループに対して自動的に割り当てられます。たとえば、Active Directory 内の Backup Operators グループに追加されたユーザーは、そのドメイン内の各ドメイン コントローラー上にあるファイルおよびディレクトリのバックアップおよび復元を行うことができます。

  • セキュリティ グループにリソースに対するアクセス許可を割り当てます。

    アクセス許可は、ユーザー権利とは異なります。アクセス許可は共有リソースにアクセスできるユーザーを特定するもので、これによってフル コントロールなどのアクセス レベルが決まります。セキュリティ グループを使用して、共有リソースへのアクセスおよびアクセス許可を管理できます。ドメイン オブジェクトに設定された一部のアクセス許可は、Account Operators グループや Domain Admins グループなどの既定のセキュリティ グループにさまざまなレベルのアクセスを許可するため、自動的に割り当てられます。

配布グループと同様に、セキュリティ グループは電子メール エンティティとしても使用できます。電子メール メッセージをこのグループに送信すると、グループのすべてのメンバーに送信されることになります。

特別な ID

Users コンテナーおよび Builtin コンテナーのグループに加え、Windows Server 2008 R2、Windows Server 2008、または Windows  Server  2003 を実行しているサーバーにはいくつかの特別な ID が含まれます。便宜上、これらの ID は一般にグループと呼ばれます。これらの特別なグループは、変更できる固有のメンバーシップを持ちません。これらは状況に依存し、時期が異なれば表すユーザーも変わることがあります。次のグループは特別な ID を表します。

  • Anonymous Logon

    このグループは、アカウント名、パスワード、およびドメイン名を使用せずにコンピューターおよびそのリソースにネットワークを介してアクセスするユーザーとサービスを表します。Windows NT とそれ以前を実行するコンピューターでは、Anonymous Logon グループは Everyone グループの既定のメンバーとなります。Windows Server 2008 R2、Windows Server 2008、または Windows  Server  2003 を実行するコンピューターでは、Anonymous Logon グループは Everyone グループの既定のメンバーとなりません。

  • Everyone

    このグループは、ゲストおよび他のドメインのユーザーを含む現在のすべてのネットワーク ユーザーを表します。ユーザーがネットワークにログオンするたびに、そのユーザーが Everyone グループに自動的に追加されます。

  • Network

    このグループは、リソースがあるコンピューターにローカルでログインしてリソースにアクセスしているユーザーではなく、現在ネットワーク上の特定のリソースにアクセスしているユーザーを表します。ユーザーがネットワーク上の特定のリソースにアクセスするたびに、そのユーザーが Network グループに自動的に追加されます。

  • Interactive

    このグループは、ネットワーク上のリソースにアクセスしているユーザーではなく、現在特定のコンピューターにログオンし、そのコンピューターにある特定のリソースにアクセスしているすべてのユーザーを表します。ユーザーが現在ログオンしているコンピューター上の特定のリソースにアクセスするたびに、そのユーザーが Interactive グループに自動的に追加されます。

特別な ID は、リソースに対する権利およびアクセス許可を割り当てられますが、そのメンバーシップは変更および表示できません。グループのスコープは特別な ID には適用されません。ユーザーがログオンするたびに、または特定のリソースにアクセスするたびに、そのユーザーがこれらの特別な ID に自動的に割り当てられます。

グループの作成場所について

AD DS では、グループはドメイン内に作成されます。グループの作成には、[Active Directory ユーザーとコンピューター] を使用します。必要なアクセス許可を付与したグループを、フォレストのルート ドメイン内、フォレストのその他のドメイン内、または OU 内に作成できます。

グループが作成されたドメインに加え、グループはスコープによっても特徴づけられます。グループのスコープによって次のことが決まります。

  • メンバーの追加に使用できるドメイン

  • グループに割り当てられた権利とアクセス許可が有効となるドメイン

グループを作成する特定のドメインまたは OU を、そのグループに必要な管理に基づいて選択します。たとえば、ディレクトリに複数の OU があり、各グループに異なる管理者がいる場合、これらの OU にグローバル スコープのグループを作成できます。そうすることで、管理者は自分が担当する OU のユーザーのグループ メンバーシップを管理できます。グループに OU 外部のアクセス制御が必要な場合、OU 内のグループをユニバーサル スコープのグループ (またはグローバル スコープの別のグループ) の中に入れ子にし、フォレスト内の他の場所で使用できるようにすることができます。

ドメインの機能レベルが Windows 2000 ネイティブ以上に設定されている場合、そのドメインでは OU が階層化され、管理は各 OU の管理者に委任されます。この方法は、グローバル スコープのグループを入れ子にするには効果的なことがあります。たとえば、OU1 に OU2 および OU3 が含まれる場合、OU1 内のグローバル スコープのグループは、OU2 および OU3 内のグローバル スコープのグループをメンバーとして持つことができます。OU1 内では、管理者は OU1 のグループ メンバーを追加または削除できます。また、OU2 および OU3 の管理者は、OU1 内のグローバル スコープのグループに対する管理者権限がなくても、自分の OU からアカウントのグループ メンバーを追加または削除できます。

グループはドメイン内で移動できます。ただし、ユニバーサル スコープを持つグループのみがドメイン間を移動できます。ユニバーサル スコープを持つグループに割り当てられた権利およびアクセス許可は、グループが別のドメインに移動されると失われるため、新しく割り当てる必要があります。

その他の参照情報

目次