4.4.グループアカウントの管理
4.4.1.グループアカウント
「グループアカウント」とは、ユーザアカウントをまとめたグループの登録情報です。 グループアカウントは、複数のユーザアカウントをまとめて管理し、共通のセキュリティ設定を行う場合に使用します。
例えば、複数のユーザアカウントが存在しているとします。共有資源に対して、ユーザ毎にアクセス許可を設定します。 ユーザ数が少ない場合には大した作業ではありませんが、ユーザ数が増えるとその数分アクセス許可の設定を行わなければなりません。 そこで同じアクセス許可を持つユーザをまとめて一つのグループとして管理し、このグループに対してアクセス許可の設定を行うことで運用していくことができます。 グループに設定されたアクセス許可はそのグループのメンバに適用されるため、グループ単位でアクセス許可の管理を行うことができます。
ユーザアカウントと同様に、インストール時に自動的に作成されるグループアカウントがあります。 これを「ビルトイングループアカウント」といいます。
ビルトインローカルグループ
Windows Server 2003 を管理または使用するための様々な権利が設定されたグループアカウントです。 ユーザはそのグループのメンバになることでそれぞれの権利を持つようになります。 ビルトインローカルグループは「Builtin」コンテナオブジェクトに格納されています。
主なビルトインローカルグループ| Administrators | コンピュータの全ての権限をもつグループアカウント。 デフォルトで Administrator が所属しています。 |
| Account Operators | ドメインのユーザアカウントの管理権限を持つグループアカウント。 |
| Guests | ユーザ個人の環境を含め、全ての設定変更の権限を持たないグループアカウント。 |
| Print Operators | プリンタの管理権限をもつグループアカウント。 |
| Server Operators | 共有フォルダやプリンタの管理権限を持つグループアカウント。 |
| Users | 一般ユーザのグループアカウント。 |
| Power Users | ソフトウェアのインストールや共有フォルダの設定などの権限を持つグループアカウント。 |
ビルトインドメインローカルグループ
Active Directory 内の資源に対するアクセス許可や様々なタスクの権利を設定するために使用するグループアカウントです。 ビルトインドメインローカルグループは「Users」コンテナオブジェクトに格納されています。
主なビルトインドメインローカルグループ| Domain Admins | ドメイン内の全コンピュータの管理者が所属するグループアカウント。 デフォルトで Administrator が所属しています。 |
| Domain Computers | ドメイン内のコンピュータアカウントを識別するグループアカウント。 Active Directory に追加されたコンピュータアカウントはデフォルトでこのグループに所属します。 |
| Domain Guests | ドメイン内の全コンピュータ上で Guests 相当の権限を与えるユーザが所属するグループアカウント。 |
| Domain Users | ドメインの一般ユーザが所属するグループアカウント。 Active Directory に追加されたユーザアカウントはデフォルトでこのグループに所属します。 |
グループの範囲と種類
Active Directory のグループは範囲( スコープ )とその種類により幾つかに分かれます。 グループの範囲とは、グループの有効範囲やグループ内のメンバの範囲を表します。 グループの範囲では「ドメインローカルグループ」、「グローバルグループ」、「ユニバーサルグループ」の3種類があり、 グループの種類では「セキュリティグループ」と「配布グループ」の2種類に分けることができます。
ドメインローカルグループ
ドメインのユーザおよびグループをメンバとして所有することができます。ドメイン内のアクセス許可のみに使用することができます。
グローバルグループ
グループが定義されたドメインのユーザおよびグループをメンバとして所有することができます。 フォレスト内のドメインのアクセス許可を与えることができます。
ユニバーサルグループ
ドメインツリーまたはフォレスト内のユーザおよびグループをメンバとして所有することができます。 また、ドメインツリーまたはフォレスト内のドメインのアクセス許可の設定を行うことができます。
セキュリティグループ
ファイルやフォルダのアクセス許可の割り当てや、PCを利用する権利の割り当てに使用するグループです。 電子メールの宛先として使用することもできます。
配布グループ
電子メールの宛先としてのみ使用することができます。アクセス許可や権利の割り当てには使用できません。
