Active Directory (AD) におけるグループのスコープについて書いてみました。ADのグループスコープは、ネットワーク上のリソースへのアクセスを効率的に管理するために使用されます。
【1】グループのスコープ:Active Directoryには、グローバル、ユニバーサル、ドメインローカルの3種類のグループ(スコープ)があります。
【1-1】グローバルグループ(スコープ):通常、同じドメイン内のユーザーとグループが含まれます。
【1-2】ユニバーサルグループ(スコープ):マルチドメインフォレストで役立ちます。これらを使用すると、複数のドメインにまたがる役割を定義したり、リソースを管理したりできます。各ユニバーサルグループは、作成された場所のドメインに保存されますが、そのグループメンバーシップはグローバルカタログに保存され、フォレスト全体に複製されます。
【1-3】ドメインローカルグループ(スコープ):同一ドメイン内の全サーバから参照できるため、一度定義するだけで複数のサーバから利用できる。ドメインローカルグループの作成にはドメイン管理者の権限が必要になる。Active Directory(AD)はオブジェクト作成の権限をほかのユーザーやグループに委任できる。ドメインローカルグループはアクセス許可の設定単位で作成されるため、誰に何のアクセス許可を与えているかが一目で分かることにより管理が容易になる。
【2】セキュリティグループ:共有リソースへのアクセス許可を割り当てるために使用される。例えばWindowsエクスプローラでアクセス権を設定する場合、アクセス権の許可のダイアログでこのグループが表示される。 通常ではグループといったらこの"セキュリティグループ"をいう。Domain admin もこのグループに属する。Active Directory (AD) におけるセキュリティグループは、ユーザーアカウント、コンピューターアカウント、その他のグループを管理可能な単位に収集する方法です。これにより、個々のユーザーではなくグループで作業することで、ネットワークのメンテナンスと管理が簡素化されます。セキュリティグループは、ドメインのグローバルスコープ内には適用されません。セキュリティグループは通常、ネットワークレベルのリソースであり、VPC (Virtual Private Cloud) や サブネット などの範囲内で適用されます。ドメインは通常、アクセス制御ポリシーや認証に関連するものであり、セキュリティグループとは異なる概念です。
【3】配布グループ:電子メール配布リストを作成するために使用されます。例:Exchange Serverを使用。
【図1:ADグループのスコープ(1)】
【図2:ADグループのスコープ(2)】
(参考URL)グループアカウントの種類と運用方法【連載:ADについて学ぼう~基礎編(8)~】 - ManageEngine ブログ ManageEngine ブログ⇒https://blogs.manageengine.jp/group_account/
以上、ご指摘ありましたらお願いいたします。
「なりたい自分の、その先へ」エンジニアファーストの会社、助け合いの共同体、ワークスタイルは多様、集まり帰る場所のある会社⇒株式会社CRE-COエンジニアリングサービス 伊藤 俊広 https://www.cre-co.jp/
Register as a new user and use Qiita more conveniently
- You get articles that match your needs
- You can efficiently read back useful information
- You can use dark theme