Windows におけるグループの種類とスコープの用途

概要

Windows 2000 以降のバージョンには、Microsoft Windows NT 4.0 のユーザー グループの拡張概念としてユニバーサル グループと配布グループが追加されています。Windows NT 4.0 にはグローバル グループとローカル グループしか存在せず、共にセキュリティ グループと位置付けられていました。

詳細

Windows 2000 以降、グループの種類にはセキュリティと配布の 2 つがあります。さらに、ユニバーサル、グローバル、ドメイン ローカルという 3 つのスコープがあります。

グループの種類

セキュリティ

セキュリティ グループはリソースへのアクセス制御に使用されます。また、電子メール配布リストとしても使用可能です。

配布

配布グループの使用は、電子メール配布リストまたは管理者の簡易的なグループ分けに限定されています。配布グループは "セキュリティ対応" のグループではないため、アクセス制御には使用できません。 グループの種類は、ネイティブ モードのドメインではいつでも変更できますが、混在モードのドメインではグループ作成時に確定し、変更できません。

スコープの種類

ユニバーサル

ユニバーサル グループは同じ Windows フォレスト内の任意の場所に使用できますが、使用できるのはネイティブ モードのエンタープライズ内だけです。ユニバーサル グループにはグループ固有の使用制限がないため、管理者によっては簡便な方法だといえます。ユニバーサル グループにはユーザーを直接割り当てることができます。またグループをネストしたり、アクセス制御リストと併用してエンタープライズ内にある全ドメインのアクセス許可を参照したりすることもできます。


ユニバーサル グループは GC (グローバル カタログ) に保管されます。そのため、ユニバーサル グループに加えられた変更は、エンタープライズ内のすべてのグローバル カタログ サーバーに複製されます。ユニバーサル グループへの変更を検討するときは、グローバル カタログの複製で発生する負荷に見合う利点があることを見極めたうえで、実行に移してください。これは、接続状態の良好な単一の LAN 環境を使用している組織では、変更によるパフォーマンスの低下は発生しませんが、広域に分散した複数のサイトで構成される組織では、変更の影響が多大なものとなる可能性があるためです。一般に、WAN を使用する組織では、メンバシップに変化が少なく固定的なグループのみをユニバーサル グループに指定する必要があります。

グローバル

混在モードのドメインの場合、ユーザーが割り当てられるグループの主なスコープはグローバル グループです。このグループは、同一ドメイン内にあるリソース オブジェクトのセキュリティ記述子内にのみ配置できます。したがって、他のドメインから、グローバル グループのユーザー メンバシップのみを基準にオブジェクトへのアクセスを制限することはできません。


グローバル グループのメンバシップは、ユーザーがドメインにログオンする際に評価されます。グローバル グループのメンバシップはドメイン ベースで割り当てられるため、メンバシップに変更を加えても、グローバル カタログの複製が強制的にエンタープライズ全体で行われることはありません。


ネイティブ モードのドメインでは、1 つのグローバル グループを他のグローバル グループにネストできます。これは管理者が OU (組織単位) をネストし、OU ツリー上の階層レベルに合わせて権限を減らしながら OU 管理機能を委譲したい場合に使用すると便利です。そのような場合、グローバル グループのツリーを使用すれば、同じ階層レベルにあるグループに同じ管理権限を与えることができます。

ドメイン ローカル

ドメイン ローカル グループを使用すると、Active Directory に直接保管されていない特定のリソース (ファイル サーバーの共有やプリンタ キューなど) に、直接アクセス ポリシーを割り当てることができます。


ドメインのローカル グループは Active Directory オブジェクトへのアクセス許可の割り当てには使用しないでください。これは、あるドメインのローカル グループは他のドメインでは評価できず、大半の Active Directory オブジェクトは、部分的に GC として他のドメインに複製されるためです。ドメインのローカル グループのメンバシップに基づいて Active Directory オブジェクトへのアクセスを制限しても、そのローカル グループが作成されたドメイン以外のグループで実行される GC クエリに対しては効力がありません。
プロパティ

文書番号:231273 - 最終更新日: 2005/11/29 - リビジョン: 1

フィードバック