Windows Server 2016 グループ アカウントの管理

o( ´_ゝ`)ノ アニョハセヨ、Miyaデス。

GWも最終日を迎えましたね…。明日から社会復帰できるのか不安です(_ _)y-~~笑
雑談はさておき…しばらくActive Directory(以下AD)関連の記事を放置しがちでしたので、今回はADに作成されるグループアカウントの管理について解説したいと思います。

ADではアクセス許可や権限をユーザアカウント単位に割り当てて運用することは可能ですが、大規模なエンタープライズネットワークでは、実装するための負荷が高いのと、運用が煩雑になるため非推奨とされています。
そこで、アクセス許可単位で、必要なユーザアカウントを含めたグループアカウントを作成して、そのグループにアクセス許可を割り当てる方がより効率的です。
この手法ですと、ファイルのアクセス許可に対象グループを設定しておけば、それ以降の管理はグループアカウントにユーザアカウントを追加や削除するだけという簡易的な操作で変更出来るため、運用が簡略化されます。

ADではさまざまなグループアカウントの種類が存在しており、目的に沿ったグループアカウントを選択しなければなりません。
今回は、それぞれのグループアカウントの特性を理解していただいた上で、グループアカウントの使用する最善の方法を考えていきましょう。

スポンサーリンク:

グループの種類

Windows Serverのグループアカウントの種類は、大枠として2つに分類されます。
ADでグループアカウントを生成する際に初めに選択することが出来ます。
グループの種類

配布グループとは?

配布グループとは、アクセス許可の割り当てなどのセキュリティ設定が出来ず、主に電子メールサービスのメールの配布として使用されます。
ADにはユーザなどのオブジェクトにセキュリティ設定を実装する際に、SIDに対して権限を割り当てます。
つまり、配布グループにはSIDが付与されないということを意味します。
配布グループの特徴は以下の通りです。

  • 電子メールサービスで使用
  • セキュリティの設定不可

セキュリティグループとは?

配布グループに対して、セキュリティグループとは、SIDが付与されたセキュリティプリンシパルです。
そのため、アクセス制御リスト(ACL)のアクセス許可エントリでセキュリティグループを使用して、リソースへのアクセスを制御できます。
また、配布グループの如くメールアドレスを付与することが可能なため、電子メールサービスのグループとしても使用することが出来ます。
セキュリティグループの特徴は以下の通りです。

  • 電子メールサービスで使用
  • セキュリティの設定可能

どちらを選択すればいいの?

結局のところ、セキュリティ設定かつ電子メールのグループとして使用できるセキュリティグループ一択なんじゃないの?と思うかもしれませんが、そうとも限りません。
実際、多くの組織がセキュリティグループのみを使用していますが、セキュリティグループとして作成するということは、SIDを付与するということです。
配布グループで事足りる場合にも拘わらず、セキュリティグループで作成した場合、グループにSIDが付与されることで、グループ内のユーザーのセキュリティアクセストークンに不要なSIDが追加されてしまいます。

ですので、電子メールのグループとして、作成するのであれば配布グループ、グループに対してアクセス制限を実装したい場合は、セキュリティグループといった具合に、役割を明白にしてからグループを作成しましょう。

グループのスコープ

グループの種類について理解したら、次はグループのスコープについて学びましょう。
ADでグループアカウントを作成する際は、先程のグループの種類とグループのスコープを決定する必要があります。
グループの種類

グループのスコープとは、アクセス許可とメンバーシップの両方の範囲を決定します。
ADのグループアカウントには次の4つのスコープが存在します。

  • ドメインローカルグループ
  • グローバルグループ
  • ドメインローカルグループ
  • ローカルグループ

ドメインローカルグループとは?

ドメインローカルグループ(以下DLG)は、主にリソースへのアクセスを管理したり、管理権限を割り当てる際に使用されます。
DLGは、AD DSフォレストのドメインコントローラーに存在し、グループアカウントを保持しているドメインにのみ利用されます。

DLGの特徴は以下の通りです。

  • 権限およびアクセス許可をローカルドメイン内のすべてのコンピューターのリソースに対してのみ割り当て可能
  • 同じドメイン内のユーザー、コンピューター、グローバルグループ、DLG、ユニバーサルグループのオブジェクトをメンバーとして含めれる
  • 同じフォレスト内のいずれかのドメインのユーザー、コンピューター、グローバルグループをメンバーとして含めれる
  • 信頼される側のドメイン内のユーザー、コンピューター、グローバルグループをメンバーとして含めれる

グローバルグループとは?

主に、類似した特性を持つユーザーを統合するために使用されます。
例えば、グローバルグループ(以下GG)は部門または、地理的場所が同じであるユーザを統合する際に使用されます。

GGの特徴は以下の通りです。

  • 権限とアクセス許可をフォレスト内のどこにでも割り当てることができる
  • 同じドメイン内のユーザー、コンピューター、GGをメンバーとして含めれる

ユニバーサルグループとは?

ユニバーサルグループ(以下UG)は、DLGとGGの両方の特性を持つため、マルチドメインネットワークで活躍します。

UGの特徴は以下の通りです。

  • GGと同じく、権限とアクセス許可をフォレスト内のどこにでも割り当て可能
  • 同じフォレスト内のいずれかのドメイン内のユーザー、コンピューター、GG、UGをメンバーとして含めれる
  • UGのプロパティはグローバルカタログに伝達される

「UGのプロパティはグローバルカタログに伝達される」と記載しましたが、何のことかというと、マルチドメインネットワークにおいてのメンバーリストの決定を高速化するためのモノです。
マルチドメインネットワークにおいて、各ドメインからUGのメンバーリストを決定するためのプロセスでグローバルカタログを使用することで高速化されます。

ローカルグループとは?

ローカルグループとは、文字通り、それらが存在するコンピューター上でのみ使用されます。
ADからグループを作成する際に選択できないのはコンピューター単位で管理するグループのためです。
Windows Server 2016であれば、[コンピューターの管理]から作成することが出来ます。

ローカルグループの特徴は以下の通りです。

  • 権限およびアクセス許可をローカルコンピューター上のリソースに対してのみ割り当て可能
  • 同じドメインのユーザー、コンピューター、GG、DLG、UGをメンバーとして含めれる
  • 同じフォレスト内のユーザー、コンピューター、GGをメンバーとして含めれる
  • 信頼される側のドメイン内のユーザー、コンピューター、GGをメンバーとして含めれる
  • まとめ

    文字でずらーっと説明はしましたが、わかりにくいと思うので表にまとめてみました。
    スコープの種類

    スコープの内容はめっちゃややこしいので、グループ作成する時の参考にしていただければと思います。

    おわりに

    グループを作成するにしても、何を目的に作成するのか?どんなメンバーを含めるのか?といったところ整理してから、それに合致したグループを作成する必要があります。
    マルチドメインネットワークにおいては、UGなども検討しないといけないので、是非ご参考にしていただければと思います。

    それでは、よいWindows Serverライフをっ♪

スポンサーリンク