Active Directory ドメインサービス – アカウントの管理 (グループアカウントの作成・管理)

Active Directory ドメインサービス

Active Directory ドメインサービス (AD DS) でのアカウントの管理について解説します.
今回はグループアカウントの作成を通じて,各項目の説明を行っていきます.

グループアカウントについて

グループもアカウントの一つとなります.グループは複数のユーザーを格納できるオブジェクトで,このグループを用いて例えばファイルサーバーのアクセス権を設定することでアカウントではなく,グループを用いた管理が可能になります.

AD DS でのグループは幾つか種類があります.また,適用可能な範囲 (スコープ) が存在します.
グループの種類は主に使用目的の違いになります.

グループアカウントはスコープの概念もありちょっとややこしいので長くなりますが以下纏めます.

グループの種類

グループの種類は二つあります.「セキュリティグループ」と「配布グループ」です.
セキュリティグループはアクセス権の設定に用いられたり,グループポリシーの適用先として指定できたりと,アクセス権の設定,アクセス許可の設定を行うために用いられます.

配布グループはセキュリティグループと違いセキュリティ設定の適用はできません.電子メールの配送先を纏めるために用いられます.メーリングリストに近いものになります.

スコープ

スコープは三つあります.「ドメインローカル」と「グローバル」および「ユニバーサル」です.参照可能な範囲が異なります.

  • ドメインローカル
    そのドメインでのみ参照可能なグループで別ドメインからはグループの参照は不可能
  • グローバル
    フォレスト全体から参照が可能なグループ.グループに所属しているメンバーは参照できない
  • ユニバーサル
    フォレスト全体から参照が可能なグループ.グループに所属しているメンバーも参照できる

イメージにするとこのような形です.

また,各グループに対して追加可能なメンバーも異なります.

  • ドメインローカル
    ドメインユーザーアカウント,ドメイン内の別のドメインローカルグループ,グローバルグループ,ユニバーサルグループ
  • グローバル
    ドメインユーザーアカウント,ドメイン内の別のグローバルグループ
  • ユニバーサル
    ドメインユーザーアカウント,別のユニバーサルグループ,グローバルグループ

イメージとするとこのような形になります.

グループアカウントの作成

では実際にグループを作成してみます.
グループポリシーやアクセス権設定として利用するため「セキュリティグループ」として.また,スコープはデフォルトの「グローバルグループ」で作成を行います.

グループアカウントを作成するには,サーバーマネージャーのツールより「Active Directory ユーザーとコンピューター」をクリックします.

グループアカウントを作成する OU を選択,右クリックし「新規作成」-「グループ」をクリックします.

グループの作成画面が表示されます.

  • グループ名
    AD DS で利用するグループ名です.日本語でもアルファベットでも大丈夫です.
  • グループ名 (Windows 2000 より前)
    NetBIOS 形式のグループ名です.自動入力されますので基本的には弄りません.

なお,グループ名の最大長は 256 byte のようです.
グループ名の入力,スコープおよび種類の選択が終わったら「OK」をクリックして作成を完了します.

グループへのユーザーの割当て

作成したグループにユーザーを割り当てます.方法は二つあります.

ユーザーのプロパティからグループへ割り当てる

グループを割り当てたいユーザーを選択,右クリックで「プロパティ」を選択します.

プロパティ画面が開くので「所属するグループ」タブを選択し,「追加」をクリックします.

ユーザー・グループの選択画面が表示されます.直接グループ名を入れることも可能ですが,検索したほうが扱いやすいので「詳細設定」をクリックします.

共通クエリの所で追加したいグループの文字を入れて「検索」をクリックします.

検索ワードにマッチしたユーザー・グループが表示されるので,追加したいグループを選択して「OK」をクリックします.

元の画面に戻るので,追加したいグループであることを確認して「OK」をクリックします.

「所属するグループ」タブに戻るので「適用」をクリックして確定させ「OK」をクリックしてウィンドウを閉じます.

以上でユーザーからのグループ追加(割当)は完了です.

グループのプロパティからユーザーを割り当てる

編集したいグループを選択,右クリックで「プロパティ」を選択します.
(念のため… 上でユーザーからグループを追加してますが,この説明の為削除済みです)

「メンバー」タブを選択し「追加」をクリックします.

ユーザー・グループの選択画面が表示されます.直接ユーザー名を入れることも可能ですが,検索したほうが扱いやすいので「詳細設定」をクリックします.

共通クエリの所で追加したいユーザーの文字を入れて「検索」をクリックします.

検索ワードにマッチしたユーザー・グループが表示されるので,追加したいユーザーを選択して「OK」をクリックします.

元の画面に戻るので,追加したいユーザーであることを確認して「OK」をクリックします.

「メンバー」タブに戻るので「適用」をクリックして確定させ「OK」をクリックしてウィンドウを閉じます.

以上でグループからのメンバー追加は完了です.

グループのネスト

AD DS と言いますか,Windows はグループの中にグループを登録することが可能です.これを利用することでユーザーが所属するグループを必要最小限とすることができます.

ネスト構成が取れる場合は左の図のように,グループの中にグループを登録することができるため,ユーザーを所属させるグループは必要最小限で済みます.
一方,ネスト構成が取れない場合は右の図のように,それぞれのグループにユーザーを所属させる必要が生じます.

ファイルサーバーなどのアクセス権設定において,グループによるアクセス制御が大半を占めますので,ネストによる管理ができない場合メンテナンス性がとても悪くなります.

グループにグループを割り当てる

編集したいグループを選択,右クリックで「プロパティ」を選択します.

「メンバー」タブを選択し「追加」をクリックします.

ユーザー・グループの選択画面が表示されます.直接グループ名を入れることも可能ですが,検索したほうが扱いやすいので「詳細設定」をクリックします.

共通クエリの所で追加したいグループの文字を入れて「検索」をクリックします.

検索ワードにマッチしたユーザー・グループが表示されるので,追加したいグループを選択して「OK」をクリックします.

元の画面に戻るので,追加したいグループであることを確認して「OK」をクリックします.

「メンバー」タブに戻るので「適用」をクリックして確定させ「OK」をクリックしてウィンドウを閉じます.

以上でグループへのグループ登録は完了です.

以上でグループについての説明を終わります.次回以降はグループポリシーについて説明を行います.




seichan

ご連絡は X (twitter) の DM へお願いします.
AWS Certified Cloud Practitioner: https://www.credly.com/badges/020d959c-7f46-4b77-99ea-b54e70bc20a0
Nutanix Certified Professional - Multicloud Infrastructure 6
: https://www.credly.com/badges/f1a0f35b-730a-42ac-bf69-ccf6e51080f1
Palo Alto Networks System Engineer (PSE) - Hardware Firewall Professional: https://www.credly.com/badges/2cca4b78-8187-4798-a720-800a3517c418

seichanをフォローする
Active Directory ドメインサービス

seichanをフォローする




コメント

タイトルとURLをコピーしました