- 締切済み
ADのグループの種類について
WindowsServer2003でのActiveDirectryを構築しています。 このドメインでグループを作成する際に、ドメインローカルと グローバルのスコープがありますがいまいち違いと使い分けが 理解できません。 下記のサイトも参考にしましたが・・・ http://www.atmarkit.co.jp/fwin2k/win2ktips/737groups/groups.html マイクロソフトではAGDLPという用語でこの順に作成することを 推奨しているようで内容は理解できるのですが、 ドメインローカルのグループをすべてグローバルグループに 置き換えても同じように動作して問題ないように思います。 フォレスト内でアクセス権設定もできるし、他のグループもネスト できるし、すべてをグローバルグループで構成すると問題があるの でしょうか?? レプリケーション時のパフォーマンスとかなのでしょうか? どうかご教授よろしくお願いします。
- nobu-o
- お礼率94% (72/76)
- Windows系OS
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- toshih2000
- ベストアンサー率22% (120/541)
>すべてをグローバルグループで構成すると問題があるの >でしょうか?? >レプリケーション時のパフォーマンスとかなのでしょうか? この質問だけに回答するならば、特に問題無く使用でき、 パフォーマンスも影響が無いでしょう。 マイクロソフトの推奨は、そのようにすれば管理がやりやすいですよ。と、提案しているのでは無いでしょうか。 基本的にはリソースに権限等を割り当てる為のグループと、USER等のオブジェクトを分けるグループとを明確にすることは管理する上で重要だと思います。 リソースは基本的には各コンピュータに依存するものなので、ローカルやドメインローカルを使用します。 USER等の人に関するものは、組織によって、係・課・部など階層的になっている様に、権限の範囲等によって、グループを作成する事は管理する上で意味があることではないでしょうか。
関連するQ&A
- セキュリティグループの使い分けで迷っています…
「グローバル・グループ」と「ドメイン・ローカル・グループ」「ユニバーサルグループ」の どのグループを使用するか迷っています。 現在は2003svr、ActiveDirectoryドメイン環境が一つで、ネイティブモードになっています。 今いるグループのほとんどが「グローバルグループ」になっています。 今回、グループの見直しを計ろうと思い、この3つのセキュリティグループを どう使い分けるか悩んでいるのですが、 配布グループとセキュリティグループ http://piyopiyoko.hp.infoseek.co.jp/2000server/group/group.html こちら↑のサイトには、 >グローバルグループ: >リソースに対してのアクセス制限はかからない >グローバルグループにユーザーを入れ、ドメインローカルグループには >グローバルグループを(ネスト可)入れる。 とあります。 グループ・アカウントの種類を知る - @IT http://www.atmarkit.co.jp/fwin2k/win2ktips/737groups/groups.html こちらにも、 >グローバルグループはアクセス制御などには、あまり向かない。 とありました。 ですが、現在はグローバルグループで作成したグループにアクセス権を 割り当てたりしているのですが、本来良くないのでしょうか? グローバルグループの中にグローバルグループをネストしたりしています。 また、セキュリティグループの見直しを計り、大きくグループを変更しようと 思っているのですが、ネイティブモードならユニバーサルグループに してしまった方が良いでしょうか。 下手な質問で申し訳ないです。。 どうぞよろしくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- グループアカウントのスコープについて
Windows Server2003のグループアカウントのスコープについて私の認識が間違ってないかどうかご教授ください。ほんとに困っています。 どうしても教えていただきたいことがあります。 本日までにグループアカウントの種類を理解する必要に迫られているものです。 下記サイトを拝見しました。 http://www.atmarkit.co.jp/fwin2k/operation/adprimer008/adprimer008_... 私の認識がずれていたらどうかご指摘をお願いします。 フォレストやドメインの概念はだいたいわかります。 ドメイン・ローカル・グループはセキュリティの設定単位で作成することが目的らしいですが、 これは例えば、【人事部】というフォルダに営業部に所属しているsatouやtanakaのアカウントにも閲覧させたい場合、 営業部読み取り専用グループというドメインローカルグループを作成し人事部のフォルダ見れるように するということが目的なのでしょうか? グローバルグループでは例えば、営業部と人事部の人に【周知】というフォルダを読み取り権限を付与させたい場合、 先ほど作成した営業部読み取り専用グループアカウントと以前からあった(と仮定して)人事部読み取り専用グループアカウントを 【人事部・営業部周知読み取り専用グローバルグループアカウント】にまとめることにより、営業部、人事部の人にも読み取り権限を付与することが目的でしょうか? ユニバーサル・グループでは、ドメインをまたがる組織化を行いたい場合というのがどうしてもイメージできません。具体的にドメインをまたがる組織化というのはどういうことを指すのでしょうか?ユニバーサルグループはネイティブモードでしか使えないというのは理解しています。 本当に困っています。どうか教えていただけないでしょうか?
- 締切済み
- Windows系OS
- Windows2000のグループ
教えてください。 Windows2000Serverのグループでドメインローカルグループと グローバルグループがありますが、 テキストで書かれているような、簡単な違いは理解できるのですが、 実際には業務上でどのように使い分けられているのでしょうか? 業務上での知識のない私からしてみれば、ドメインローカルを作成するのであれば、グローバルグループを作り、1つのドメイン内と ツリー内のドメイン、どちらにも使えるグループをひとつ作るだけで 良いのでは??と考えてしまいます。 どなたか詳しい方、お教え願います。 質問の意味が分からなければおっしゃってください。 宜しくお願い致します。
- ベストアンサー
- Windows NT・2000
- グローバルグループとユニバーサルグループについて
よろしくお願いします。 MCPの2003Serverを受験しようと勉強しているのですが、理解できない問題があります。 問 あなたはA社の従業員です。ネットワークはB.comおよびC.comという2つのドメインを含む、1つのActive Directoryフォレストで構成されています。両方のドメインの機能レベルはWindows2000混在です。B.comにはWin2003DCが2台、Win2000DCが3台稼動しています。 あなたはB.comの管理者です。あなたのドメインユーザーはC.comのメンバ上にあるアプリおよび共有フォルダにアクセスする必要があります。どのようなグループを作成するべきか。 というものです。答えがグローバルグループのセキュリティになるのはどうしてでしょうか?別ドメインなのでユニバーサルなのではないかと思っています。 どうか教えてください。
- ベストアンサー
- Windows系OS
- ログオン時に拒否されます。
Windows2003Serverをドメインコントローラーとした社内ネットワークと2000Serverをドメインコントローラーとする社内ネットワーク間でのユーザーのログインにおいて問題が発生しています。 それぞれのサーバーではActiveDirectryを使用してユーザーの管理とユーザーがログオンしたときにネットワークドライブが作成されるようにログオンスクリプトを設定してます。 Windows2003Serverのドメイン(仮にA.localとします)に属するユーザーが、2000Serverのドメイン(B.local)に属するパソコン(OS:WinXP)から、接続先ドメインをAに切り替えてログオンするとログオンスクリプトが作動せず、必要なネットワークドライブが作成されません。OSがWin2000のPCだと正常に機能するのですが。 それから、ログオンに失敗した2003Serverには「別のフォレストからのCN=<ユーザー名>,CN=Users,DC=A,DC=localがこのコンピュータにログオンしました。フォレストを超えたグループポリシーの処理は無効になっていて、このユーザーアカウントに対してループバックの処理がこのフォレストで強制されています」というイベントログがあがっていました。 グループポリシーの設定が必要なようなのですが、調べても説明が複雑なため困っています。 ご助力をお願いします。
- ベストアンサー
- Windows系OS
- グループポリシーでログオンスクリプトが実行されない
Windows Server 2003でドメインを構築しています。 クライアントのOSはXPです。 ドメイン参加しているユーザー・コンピューターの電源オプションを グループポリシー(GPMC)で一括変更したいのですが、 ログオン時にバッチが実行されません。 <設定手順> 1.グループポリシーの管理画面 グループポリシーオブジェクトグループポリシーを作成。 2.グループポリシー オブジェクトエディタ ユーザーの構成→Windowsの設定→スクリプト(ログオン/ログオフ) 3.ログオンのプロパティで、ファイルを指定 4.組織単位に作成したGPOをリンク 以下のサイトを参考に設定しています。 グループ・ポリシーとpowercfg.exeコマンドで電源オプションの設定を変更する http://www.atmarkit.co.jp/fwin2k/win2ktips/1026pcfgpolicy/pcfgpolicy.html Powercfg.exe を使用して Windows XP で 電源設定のグループ ポリシー オブジェクトを作成する方法 http://support.microsoft.com/kb/915160/ja Windows Server 2003のADで電源管理 http://ap.atmarkit.co.jp/bbs/core/fwin/19047 ※電源設定のバッチファイルは、以下のサイトと同じソースです。 http://www.atmarkit.co.jp/fwin2k/win2ktips/1013powercfg/powercfg.html 電源の設定はレジストリの変更が絡むのが原因かと思い、 レジストリに関係ない別のバッチでも試してみましたが、 同様に実行されませんでした。 バッチファイルは以下のサイトからダウンロードしたものを使用しています。 ドメインユーザのデスクトップで実行したところ実行されました。 日付フォルダ作成 http://pcbase.web.infoseek.co.jp/bat/makefolder01.htm どうしてバッチが実行されないのか、原因が分かりません。 それと、2003・XPの環境では、 グループポリシーとバッチでの電源管理は可能でしょうか? よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- ドメイン内のコンピュータを全て選択するグループ名
お世話になります。 当方知識不足なゆえ、調べても答えに行き着かなかったため、皆さまのお力を貸してください。 ActiveDirectryドメイン内の全てのコンピュータを選択できるグループは存在するのでしょうか。 ソフトウェアインストールポリシーを使用する際に、 ドメイン内の全てのコンピュータをまとめて追加したいです。 ご教示の程、よろしくお願いいたします。
- ベストアンサー
- ハードウェア・サーバー
- ADでのx86環境とx64環境の並存
現在、Xeon プロセッサー Windows2003Server(X86)にてActiveDirectryを構築しております。今回耐障害用としてセカンダリのサーバーを導入予定しているのですが、そこで皆様にお教えいただきたいことがあります。 導入予定セカンダリサーバーは、ADMのOpteronプロセッサー OSは WindowsServer2008StandardEdition なのですが、そのOSは x64でもActiveDirectryを構築出来るのでしょうか。それともx86でないと構築できないのでしょうか。 ローカルでなら32bitアプリを動かせるのは判りますが、それが、ゾーン転送になると64bitと32bitの受け渡しがどうなるのか理解できません。 MSのHPでは2003のx64とx86のできないようなできるみたいな曖昧でわからない記述の為判りませんでした。お分かりの方是非お教えください。
- ベストアンサー
- Windows系OS
- グループポリシーが適用されません
プロキシのグループサーバが当たらずに困っています。 環境はというと、Windows 2008 R2のトップドメインのドメコンにOUを作成し、その中にセキュリティグループを作り、そのセキュリティグループの中にユーザーが入っています。 そして、サブドメコンにクライアントPCがログオンするという形をとっています。 (ユーザーはトップドメコンにいるので、どこのサブドメコンでもログオンできるようにという考えです。) そこで、トップドメインのOUにリンクするグループポリシーを作成し、 「ユーザーの構成」-「ポリシー」-「Windowsの設定」-「Internet Explorerのメンテナンス」-「接続」- 「プロキシの設定」 にプロキシの設定を記入しています。 ところが、上記の設定が適用されません。 ためしに、トップドメインのDefault Domain Policyにプロキシの設定を記入するとそれはちゃんと適用されます。 もしかしたら、OUにリンクしたグループポリシーというのはセキュリティグループでネストされるユーザーには適用されないのでしょうか? それとも全く見当違いの設定をしているのでしょうか? ぜひ、ご教示をお願いいたします。
- ベストアンサー
- Windows系OS
- グループポリシーの管理内でのサブドメインの表示
現在、トップドメインとサブドメインの2段構成のドメインを作ろうと思っています。 両方とも普通に役割の追加とdcpromoからActive Directoryの展開を行いました。 (もちろんトップドメインのDCは「新しいフォレストに新しいドメインを作成する」。サブドメインは「既存のフォレストに新しいドメインを作成する」のオプションは指定しました。) インストールも完了し、コンピュータのプロパティからシステムを見ると両方とも思った通りのドメインに入ったようです。 ところが、いざ、サブドメインのグループポリシーの管理を見てみると フォレストの右にトップドメインが表示され、その下にドメインがあり、その直下にトップドメインが表示され、その下にサブドメインが表示されていません。 本来ならば、フォレストの右にトップドメインが表示され、その下にドメインがあり、その直下にサブドメインが表示されるはずだと思うのですが。 何度かActive Directoryのインストールをやり直してみたのですが、結果は変わりません。 何か、勘違いをしているのでしょうか? そもそも私の考えが間違っている。 あるいはインストール時のオプションが違っている、または、全然違うところで設定しておくべきところがあるなど、どんな情報でも結構です。 是非とも、ご教示ください。
- ベストアンサー
- Windows系OS
お礼
ご回答いただきありがとうございます。 >基本的にはリソースに権限等を割り当てる為のグループと、 >USER等のオブジェクトを分けるグループとを明確にすることは >管理する上で重要だと思います。 この点については参考情報等にもあり、重要であると認識しており ますが、この考えや構成は管理する側で明確にし、グローバルグループ のみで構成できるのではないかというのが確認したい点です。 第三者にわかりやすくするためということなのでしょうか。