Windows におけるグループの種類とスコープの用途

文書翻訳 文書翻訳
文書番号: 231273 - 対象製品
この記事は、以前は次の ID で公開されていました: JP231273
すべて展開する | すべて折りたたむ

目次

概要

Windows 2000 以降のバージョンには、Microsoft Windows NT 4.0 のユーザー グループの拡張概念としてユニバーサル グループと配布グループが追加されています。Windows NT 4.0 にはグローバル グループとローカル グループしか存在せず、共にセキュリティ グループと位置付けられていました。

詳細

Windows 2000 以降、グループの種類にはセキュリティと配布の 2 つがあります。さらに、ユニバーサル、グローバル、ドメイン ローカルという 3 つのスコープがあります。

グループの種類

セキュリティ

セキュリティ グループはリソースへのアクセス制御に使用されます。また、電子メール配布リストとしても使用可能です。

配布

配布グループの使用は、電子メール配布リストまたは管理者の簡易的なグループ分けに限定されています。配布グループは "セキュリティ対応" のグループではないため、アクセス制御には使用できません。 グループの種類は、ネイティブ モードのドメインではいつでも変更できますが、混在モードのドメインではグループ作成時に確定し、変更できません。

スコープの種類

ユニバーサル

ユニバーサル グループは同じ Windows フォレスト内の任意の場所に使用できますが、使用できるのはネイティブ モードのエンタープライズ内だけです。ユニバーサル グループにはグループ固有の使用制限がないため、管理者によっては簡便な方法だといえます。ユニバーサル グループにはユーザーを直接割り当てることができます。またグループをネストしたり、アクセス制御リストと併用してエンタープライズ内にある全ドメインのアクセス許可を参照したりすることもできます。

ユニバーサル グループは GC (グローバル カタログ) に保管されます。そのため、ユニバーサル グループに加えられた変更は、エンタープライズ内のすべてのグローバル カタログ サーバーに複製されます。ユニバーサル グループへの変更を検討するときは、グローバル カタログの複製で発生する負荷に見合う利点があることを見極めたうえで、実行に移してください。これは、接続状態の良好な単一の LAN 環境を使用している組織では、変更によるパフォーマンスの低下は発生しませんが、広域に分散した複数のサイトで構成される組織では、変更の影響が多大なものとなる可能性があるためです。一般に、WAN を使用する組織では、メンバシップに変化が少なく固定的なグループのみをユニバーサル グループに指定する必要があります。

グローバル

混在モードのドメインの場合、ユーザーが割り当てられるグループの主なスコープはグローバル グループです。このグループは、同一ドメイン内にあるリソース オブジェクトのセキュリティ記述子内にのみ配置できます。したがって、他のドメインから、グローバル グループのユーザー メンバシップのみを基準にオブジェクトへのアクセスを制限することはできません。

グローバル グループのメンバシップは、ユーザーがドメインにログオンする際に評価されます。グローバル グループのメンバシップはドメイン ベースで割り当てられるため、メンバシップに変更を加えても、グローバル カタログの複製が強制的にエンタープライズ全体で行われることはありません。

ネイティブ モードのドメインでは、1 つのグローバル グループを他のグローバル グループにネストできます。これは管理者が OU (組織単位) をネストし、OU ツリー上の階層レベルに合わせて権限を減らしながら OU 管理機能を委譲したい場合に使用すると便利です。そのような場合、グローバル グループのツリーを使用すれば、同じ階層レベルにあるグループに同じ管理権限を与えることができます。

ドメイン ローカル

ドメイン ローカル グループを使用すると、Active Directory に直接保管されていない特定のリソース (ファイル サーバーの共有やプリンタ キューなど) に、直接アクセス ポリシーを割り当てることができます。

ドメインのローカル グループは Active Directory オブジェクトへのアクセス許可の割り当てには使用しないでください。これは、あるドメインのローカル グループは他のドメインでは評価できず、大半の Active Directory オブジェクトは、部分的に GC として他のドメインに複製されるためです。ドメインのローカル グループのメンバシップに基づいて Active Directory オブジェクトへのアクセスを制限しても、そのローカル グループが作成されたドメイン以外のグループで実行される GC クエリに対しては効力がありません。

プロパティ

文書番号: 231273 - 最終更新日: 2005年11月29日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional
キーワード:?
kbenv kbinfo KB231273
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com