グローバルグループとユニバーサルグループについて
- MCPの2003Serverを受験しようと勉強している際に、グローバルグループとユニバーサルグループについて理解できない問題があります。
- 問題の内容は、B.comおよびC.comという2つのドメインを含む1つのActive Directoryフォレストにおいて、B.comの管理者であるあなたのドメインユーザーがC.comのアプリおよび共有フォルダにアクセスするために作成すべきグループは何かというものです。
- 答えはグローバルグループのセキュリティであり、別のドメインであるためユニバーサルグループではないと思われます。
- ベストアンサー
グローバルグループとユニバーサルグループについて
よろしくお願いします。 MCPの2003Serverを受験しようと勉強しているのですが、理解できない問題があります。 問 あなたはA社の従業員です。ネットワークはB.comおよびC.comという2つのドメインを含む、1つのActive Directoryフォレストで構成されています。両方のドメインの機能レベルはWindows2000混在です。B.comにはWin2003DCが2台、Win2000DCが3台稼動しています。 あなたはB.comの管理者です。あなたのドメインユーザーはC.comのメンバ上にあるアプリおよび共有フォルダにアクセスする必要があります。どのようなグループを作成するべきか。 というものです。答えがグローバルグループのセキュリティになるのはどうしてでしょうか?別ドメインなのでユニバーサルなのではないかと思っています。 どうか教えてください。
- houjou2
- お礼率87% (49/56)
- Windows系OS
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
通常ネイティブモードの場合であればユニバーサルグループを使います。 グループの使い方あたりを知るのであれば 以下のサイトあたりを参照してはどうでしょうか。
その他の回答 (1)
- akio_myau
- ベストアンサー率34% (515/1480)
ここでキーになるのは <両方のドメインの機能レベルはWindows2000混在です。> Windows2000混在の状況では ユニバーサルグループは配布グループしか使用できません。 そのためにグローバルグループのセキュリティーになる必要があります。
補足
さっそくのご回答ありがとうございます! そうだったんですか、勉強不足ですみません。 そうなるとWindows2000ネイティブ以上であれば この場合、ユニバーサルグループになるのでしょうか? あつかましいようですが教えていただけませんでしょうか。 よろしくお願いいたします。
関連するQ&A
- こんにちは、教えてください。下記のようなお客さんからDCサーバの老朽化
こんにちは、教えてください。下記のようなお客さんからDCサーバの老朽化をしているということで AD再構築案を考えております。ついでに再構成も考えてます。 【状況】 某会社で、会社統合の関係で、Aフォレスト・Bフォレスト・Cフォレストという 3フォレストが同セグメントに混在している。いずれのフォレストもシングルドメイン構成。 (Aフォレスト A.local) ドメインコントローラ2台(WIN2003、もう一台不明)、DNS・ファイルサーバを兼務。 ここのドメイン内に、sharepointサーバ、各業務サーバが配置。 NTドメイン⇒ADに移行した経緯あり。 (Bフォレスト B.local) ドメインコントローラ1台(WIN2003R2)、DNS・ファイルサーバを兼務 新規構築ドメイン。 (Cフォレスト C.local) ドメインコントローラ1台(WIN2003R2)、DNS・ファイルサーバを兼務 新規構築ドメインだと思われる。本フォレストは廃止予定。 【問題点】 (1)A.localは、ドメイン・フォレストレベルをwin2003に上げられない。 (2)フォレスト間、現状信頼関係結べない。(1)の理由のため。 (3)それぞれのフォレストのDCは老朽化している。 (4)社内に3フォレストあるので構成が複雑。 最終目標:1フォレストにまとめる。 上記に関して、質問です。細かい話はあると思いますが、以下可能でしょうか。 1.新規にDフォレストを構築 Dフォレストにフォレストルートドメインとして、A.localを作成す る。同じフォレスト内にB.localを作成する。1フォレスト・マルチツリードメイン。 2.ADMTでAフォレストのA.local→DフォレストのA.localへのリソース移行を実施。 3.Aフォレスト・A.localに参加している各業務サーバ・クライアントのDNS情報をDフォレストのDC に変更し、入りなおす。→お客さんは特にNEWドメインに入ったという意識なし。(ありえないと思い ますが) 4.Aフォレスト移行完了 5.ADMTでBフォレストのB.local→DフォレストB.localへのリソース移行を実施。 6.Bフォレスト・B.localに参加している各業務サーバ・クライアントのDNS情報をDフォレストのDC に変更し、入りなおす。→お客さんは特にNEWドメインに入ったという意識なし。(ありえないと思い ますが) 7.Bフォレスト移行完了 8.Cフォレストに関しては、廃止予定なので、DフォレストA.localに新規にユーザを作成し、 ドメインに再参加してもらう。ドメイン変更に伴い、クライアントのプロファイル等の移行を 実施する。 質問1、そもそもこんなこと可能なのか。 質問2、同じセグメント内にAフォレスト(もしくはBフォレスト)とDフォレストがあるが、 同じ名前のドメインを構築できるか。 質問3、フォレスト統合の際、業務サーバ・クライアントが影響が少ない形で、Dフォレストの各 ドメインに入るには、どのような方法があるのか。プロファイル移行とかなしで・・。 以上よろしくお願いいたします。
- 締切済み
- Windows系OS
- ActiveDirectoryのユーザとグループ
ActiveDirectoryのユーザとグループについて教えてください。 構成は以下の通りです。 Aドメイン(フォレストA) グループ:A-grp Bドメイン(フォレストB) ユーザ : B-user AドメインからBドメインへの一方通行の信頼関係を 結んでいます。 ここで AドメインのグループA-grpにBドメインのユーザB-userを 所属させたいのですが、こういったことは可能でしょうか? グループA-grpでメンバの追加からBドメインを検索しようとしても 検索できませんでした。 仕様でできないのならば、あきらめますが何か方法があれば 教えてください。 以上、よろしくお願いします。
- ベストアンサー
- Windows系OS
- ワークグループ
こんにちは。 早速ですが、質問させてください。 現在、弊社では12台のPCをワークグループでLAN接続しています。 (OSの混在が随分あります。98、2000、Me) ドメインを使わずに、ワークグループを混在させることはできないでしょうか。 例えば、会社全体のワークグループを作った後、プロジェクトごとの グループを作る、等・・・ よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- ワークグループとドメイン管理
現在、パソコン十数台をワークグループでつないでいるのですが、台数が増えてきたため、ドメイン管理にしようと思っています。ですが、OSにXPのhomeを使用しているパソコンが数台あるのですが、 ドメインとワークグループでの管理は混在させることが出来るのでしょうか?
- ベストアンサー
- その他(インターネット接続・通信)
- Active DirectoryでのFQDNとインターネット上のFQDNはどうやってつながるのですか
NT4.0のPDCを2003R2にアップグレードしてActive Directory環境に移行しました。この時Active Directoryの導入に必須、ということでDNSサーバを稼動し始めました。しかし、このDNSサーバとなったDC自身がnslookupで自分の名前解決ができません。どこか設定がおかしいのだろうと思います。 この問題を解決したいのですが、ただその前に根本的にActive DirectoryでのFQDNとインターネット上のFQDNがどうつながるのかが理解できていないので、それについて教えていただければと思い質問しました。 例えば、旧NT4.0時代のドメインが"yamada"で、このネットワークのインターネット上のドメインが"1.com"、そしてウェブサーバのホスト名が"www"だとすると、このウェブサーバのFQDNは次のようになると思います(シングルフォレスト、シングルドメイン)。 Active Directory上:www.yamada.1.com インターネット上:www.1.com マイクロソフトによると、Acitive DirectoryになってからマイクロソフトのDNSサーバはインターネットと完全に統合された、となっているのですが、インターネット上の他のDNSサーバでは"www.yamada.1.com"などとはなっておらず、この二つがどうつながるのかが判りません。 それとも、Active Directory上のDNSサーバで設定した内容が間違いなのでしょうか?だとすると、NT4.0時代の"yamada"というドメインはActive Directoryになってからはどう記述されるのが正しいのでしょうか? どたなかよろしくお願い致します。
- 締切済み
- Windows系OS
- ドメインと同じLAN上に、新規ワークグループを作る場合
現在、社内LANはドメイン環境(Dom01)(Win2000サーバ)で、クライアントはWin2000Pro・WinXP-Proが80台以上が接続しています。 また、ワークグループ(WG01・WG02等)もいくつか混在しています。 今回、新しい事業のためにPCを3台(WinXP-Pro)購入し、社内LANのケーブルを使ってLAN接続したいのですが、ネットワーク管理者に「新規ワークグループなら許可する」と言われました。 新しい3台を使ってしたい事は以下のとおりです。 (1)3台の間でファイル共有したい。(ドメイン上のクライアントからアクセスされても問題なし) (2)3台のPCから、ドメイン上のクライアントに接続されたプリンター等の機器を使用したい。 (3)3台のPCから、ドメイン上のファイルサーバへアクセスしたい。 (4)3台のPCからインターネット接続したい。(ドメイン上にプロキシサーバがあります) 3台を使用する社員は、ドメイン参加用の『ユーザ名』『パスワード』は各々持っています。ドメイン上では制限ユーザですが・・・ 以上4つを行うのに、ワークグループで可能なんでしょうか? ドメイン参加しないと不可能な事はありますか? 注意点など、何でも結構ですのでアドバイスお願いいたします。
- ベストアンサー
- ネットワーク
- Active Directoryコネクターのインストールに失敗する
もともとNT4.0で構成されていた社内LANをActive Directoryで構成し直しました。ところが、このアップグレードした社内LAN(ドメインA。ドメインコントローラはWindows Server 2003R2、NT4.0混在)のユーザーが、NT4.0で構成されたドメインBにあるExchange Server 5.5にアクセスできなくなり、メールが使えなくなってしまいました。 もともとドメインAとドメインBは信頼関係を結んでいます。 そこで調べてみたところ、Active DirectoryコネクターをインストールすればExchange Server5.5のディレクトリをActive Directoryで読めるようになる、ということだったので、早速やってみました。 具体的には、ドメインAのドメインコントローラ(Windows Server 2003R2)にActive Directoryコネクターをインストールしました。 ところが、これで解決かと思いきや今度は次のメッセージが表示されてインストールできませんでした。 「内部コンポーネントが失敗しました。ID番号:c103798a Microsoft Active Directory Connectorセットアップ」 ID番号まで出ているので、マイクロソフトのサイトでも色々と検索して調べてみたのですが結局理由がよく判りません。怪しそうな原因としては、Active Directoryコネクターをインストールするための条件に、 「Exchange Server 5.5 SP3以上がインストールされたExchangeサイトに少なくとも一つ以上のサーバーがあることが必要です。」 と書かれていたのですが、ここで言っている「サーバー」が何を指すのかが不明です。もしかしてこの「サーバー」というのが「Active Directory内のサーバー」という意味であれば、ドメインBもActive Directoryになっていなければならない、ということになるので、これはもうドメインBをActive Directoryにアップグレードするしかない、ということになります。 そういうことなのでしょうか? ただこれもあくまで推測なので判りません。 このままメールが止まってしまうと業務上も致命的なので、時間的な猶予も考えると最小限の変更でまずは現状の状況から稼働できるようにしたいと思っています。ドメインBをNT4.0構成のまま、そしてドメインBにあるExchange Serverは5.5のまま、何とかドメインAのユーザー達が接続できるようにしたいのですが・・・。。 大変困っています。どなたか教えていただけないでしょうか。 よろしくお願い致します。
- 締切済み
- Windows系OS
- フォレストレベルのアップデートについて
フォレストが機能レベル2003で構成され、ドメインコントローラにWindows Server 2003とWindows Server 2008が混在していたとします。 この状態から、フォレストの機能レベルを2008にすることは可能ですか? もし、可能であれば、既存のWindows Server 2003のドメインコントローラは、どのように機能するのでしょうか? フォレストの機能レベルが2008になったことから、既存のWindows Server 2003のドメインコントローラは無視されるのですか? (ドメインコントローラとしてない物として扱われるのでしょうか。) それとも、ドメインコントローラにWindows Server 2003とWindows Server 2008が混在している環境ではフォレストの機能レベルをWindows Server 2008に上げようとするとエラーが発生したりして、失敗するのでしょうか? フォレストのアップデートはドメインを構成しているOSを全部調査し、可能であれば2003→2008への機能レベルを挙げられる設計になっているのでしょうか? 現在机上でMCPの勉強をしており、実機で確認することができません。 Windows Server 2008とWindows Server 2003も持っていないです。。。 申し訳ありませんが知っている方いましたら教えてください。 あと、こういう勉強(MCP等の資格)って、実機がないと無理ですか? 問題を解いている間に様々な疑問が発生してきて、問題の回答は分かるけれど、実運用としてのイメージが湧きづらいです。 近日サーバOSでも購入しようかと考えてはいるのですが、金銭的な面もありますので、参考までに教えてください。
- ベストアンサー
- Windows系OS
- ActiveDirectory導入について
初めまして。 初めて社内にActive Directoryを導入する者です。 Active Directoryに関する本やサイトを調べていますが、情報が無かったのでお聞きします。 1.PCやファイルサーバーのローカルフォルダを共有したいのですが、どのようにすればいいのでしょうか? フォルダのプロパティで、「共有」タブが出ていないので、共有フォルダを作れません。 Domain Usersグループのユーザーでは、共有フォルダを作れないのでしょうか? 2.ファイルサーバー(DC以外)をActive Directoryに参加させるには、そのサーバー用に 新規のドメインユーザーを作ってから、参加させる必要があるのでしょうか? 例:「ABCサーバー」用に「ABC_User」というドメインユーザー(Domain Usersグループ所属)を 作る必要があるのでしょうか? 3.ドメインユーザーにローカルのAdministrator権限を与えたいですが、どのようにすればいいでしょうか? 但し、ローカルのユーザー管理でAdministratorグループにドメインユーザーを手動で追加させる 方法はしたくありません。 Active Directoryについては、全くの初心者のため、非常に初歩的な質問ではありますが、なにとぞ回答をよろしくお願いします。 【環境】 DC:Windows Server 2003 DNS:BIND9.3.0 クライアント:Windows XP/2000 以上、よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- グループポリシーの管理内でのサブドメインの表示
現在、トップドメインとサブドメインの2段構成のドメインを作ろうと思っています。 両方とも普通に役割の追加とdcpromoからActive Directoryの展開を行いました。 (もちろんトップドメインのDCは「新しいフォレストに新しいドメインを作成する」。サブドメインは「既存のフォレストに新しいドメインを作成する」のオプションは指定しました。) インストールも完了し、コンピュータのプロパティからシステムを見ると両方とも思った通りのドメインに入ったようです。 ところが、いざ、サブドメインのグループポリシーの管理を見てみると フォレストの右にトップドメインが表示され、その下にドメインがあり、その直下にトップドメインが表示され、その下にサブドメインが表示されていません。 本来ならば、フォレストの右にトップドメインが表示され、その下にドメインがあり、その直下にサブドメインが表示されるはずだと思うのですが。 何度かActive Directoryのインストールをやり直してみたのですが、結果は変わりません。 何か、勘違いをしているのでしょうか? そもそも私の考えが間違っている。 あるいはインストール時のオプションが違っている、または、全然違うところで設定しておくべきところがあるなど、どんな情報でも結構です。 是非とも、ご教示ください。
- ベストアンサー
- Windows系OS
お礼
おかげさまで理解することができました。 参考URLも全部読みました。 助かりました、ありがとうございました。