こんな方に見てほしい
ADのグループには種類がいくつかあるけど、使い分けがよく分からない
管理が面倒だから全部同じでいいよね。。。
誤解を恐れずに結論から
規模が小さな環境の場合、社員をメンバーに含めるような一般的な使い方をするならば
「ユニバーサルグループ」で統一してしまって大丈夫です。
私が数十年運用している経験上、このやり方で困ったことは一度もありません。
ユニバーサルグループは以下のような特徴があり、とても汎用的です。
- メンバーの種類に制限がない(ユーザーや他のグループをメンバーとして追加できる)
- 複数のドメイン環境に渡って使える
ではそれぞれのグループの種類を見ていきましょう。
グループの種類
セキュリティグループの種類は以下の3つがあります。
| Scope | 考えられるメンバー | アクセス許可を付与できる | ユースケース |
| ユニバーサルグループ | 同じフォレスト内のアカウント 同じフォレスト内のグローバル グループ 同じフォレスト内の任意のドメインのユニバーサル グループ | 同じフォレストまたは信頼しているフォレスト内の任意のドメイン | 単にユーザーまとめ用 メールグループとして使う 世界中に散らばる支社のドメインの権限付与で使う |
| グローバルグループ | 同じドメインのアカウント 同じドメインのグローバル グループ | 同じフォレスト内の任意のドメイン、または信頼しているドメインまたはフォレスト | ドメイン間のトラフィックを抑えたいときのユーザーまとめ用 |
| ドメイン ローカルグループ | 任意のドメインまたは任意の信頼されたドメインのアカウント任意のドメインまたは任意の信頼されたドメインのグローバル グループ 同じフォレスト内の任意のドメインのユニバーサル グループ 同じドメインの他のドメイン ローカル グループ 他のフォレストおよび外部ドメインのアカウント、グローバル グループ、ユニバーサル グループ | 同じドメイン内 | 外部信頼を結んでいる会社のアカウントをメンバに入れる ファイルサーバなどシステムへの直接的な権限付与 メールのアドレス帳に表示したくない場合はこちら |
この表を覚えるのは大変ですし人に説明するのも大変だと思います。
「このグループは同じドメインメンバーしか使わないからグローバルグループにしよう」など変に使い分けをしようとしてもなかなか浸透しません。
マニュアルを作って共有する際も統一した方が分かりやすいので、基本的にユーザーをまとめるならユニバーサルグループを使いましょう。
コメント