セキュリティグループの選び方について

前へ 次へ
このQ&Aのポイント
  • セキュリティグループの使い分けで迷っています。現在はグローバルグループで作成したグループにアクセス権を割り当てていますが、グローバルグループはアクセス制御には向かないという情報もあります。どのグループを使用するべきか悩んでいます。
  • セキュリティグループの見直しを計り、大きくグループを変更しようと思っています。ネイティブモードならユニバーサルグループにするべきかどうかも気になっています。
  • 配布グループとセキュリティグループの使い分けについて詳しい情報が掲載されているサイトがあります。グローバルグループにユーザーを入れ、ドメインローカルグループにはグローバルグループをネストする方法も紹介されています。
回答を見る
  • ベストアンサー

セキュリティグループの使い分けで迷っています…

「グローバル・グループ」と「ドメイン・ローカル・グループ」「ユニバーサルグループ」の どのグループを使用するか迷っています。 現在は2003svr、ActiveDirectoryドメイン環境が一つで、ネイティブモードになっています。 今いるグループのほとんどが「グローバルグループ」になっています。 今回、グループの見直しを計ろうと思い、この3つのセキュリティグループを どう使い分けるか悩んでいるのですが、 配布グループとセキュリティグループ http://piyopiyoko.hp.infoseek.co.jp/2000server/group/group.html こちら↑のサイトには、 >グローバルグループ: >リソースに対してのアクセス制限はかからない >グローバルグループにユーザーを入れ、ドメインローカルグループには >グローバルグループを(ネスト可)入れる。 とあります。 グループ・アカウントの種類を知る - @IT http://www.atmarkit.co.jp/fwin2k/win2ktips/737groups/groups.html こちらにも、 >グローバルグループはアクセス制御などには、あまり向かない。 とありました。 ですが、現在はグローバルグループで作成したグループにアクセス権を 割り当てたりしているのですが、本来良くないのでしょうか? グローバルグループの中にグローバルグループをネストしたりしています。 また、セキュリティグループの見直しを計り、大きくグループを変更しようと 思っているのですが、ネイティブモードならユニバーサルグループに してしまった方が良いでしょうか。 下手な質問で申し訳ないです。。 どうぞよろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • jjon-com
  • ベストアンサー率61% (1599/2592)
回答No.1

>現在はグローバルグループで作成したグループにアクセス権を >割り当てたりしているのですが、本来良くないのでしょうか? 質問文中のURLにも記されているとおり,良くないです。 -------------------------------------- 部署A 管理者レベル フルコントロール 部署B 上級者レベル 変更 部署C 初心者レベル 読み取り -------------------------------------- 左端に置かれた「概念上のグループ」を表すのがGlobal groupの本来の役割, 中間に置かれた「各アクセス許可に対応づけるためのグループ(リソースに対するアクセス制限のためのグループ)」を表すのがDomainLocal groupの本来の役割です。 右端は,フォルダ/ファイルに対する具体的なアクセス許可設定です。 このように設計すれば,左端-中間-右端の結びつきの変更の自由度が高まります。 現在のWindowsは昔のそれより機能強化されてグループのネストが可能ですから,質問者の例のように,1種類のセキュリティグループGlobal groupのネストだけでも実現できてしまいますけれど,本来の使い方ではないです。 Windows Server系MCPの試験勉強を経てきている管理者だと,アクセス許可の強弱に直接結びつかない論理的なグループにはGlobal group,アクセス許可の強弱の割り当てに結びつく物理的リソースに対するグループにはDomainLocal group,と,原則どおりきれいに設計してくれるものです。 >グローバルグループの中にグローバルグループをネストしたりしています。 それは問題ありません。係→課→部 のように論理的概念ならばGlobal groupを使うのが正しいです。 >ネイティブモードならユニバーサルグループにしてしまった方が良いでしょうか。 単一ドメインで運営しているような小規模な例ならばUniversal groupを使う必要はありません。 もっときちんとした説明をお知りになりたければ,A-G-L-P ポリシー(あるいは A-G-DL-P,A-G-U-DL-P)などのキーワードでgoogleするとよいでしょう。ちなみに,userAccount - Global group - Universal group - DomainLocal group - Permission の頭文字を指しています。

always
質問者

お礼

すみません、お礼が大変遅くなってしまいました。<(_ _)> A-G-L-P ポリシー、という言葉は知りませんでした。 検索でたくさん出てきましたので、調べてみたいと思います。 ありがとうございました!

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • ADのグループの種類について

    WindowsServer2003でのActiveDirectryを構築しています。 このドメインでグループを作成する際に、ドメインローカルと グローバルのスコープがありますがいまいち違いと使い分けが 理解できません。 下記のサイトも参考にしましたが・・・ http://www.atmarkit.co.jp/fwin2k/win2ktips/737groups/groups.html マイクロソフトではAGDLPという用語でこの順に作成することを 推奨しているようで内容は理解できるのですが、 ドメインローカルのグループをすべてグローバルグループに 置き換えても同じように動作して問題ないように思います。 フォレスト内でアクセス権設定もできるし、他のグループもネスト できるし、すべてをグローバルグループで構成すると問題があるの でしょうか?? レプリケーション時のパフォーマンスとかなのでしょうか? どうかご教授よろしくお願いします。

  • W2Kのグループアカウントに含めるメンバーがよくわからないのですが?

    現在、W2Kserverを勉強中です。 グループアカウントに含めるメンバーが、ローカルグループ(混在、ネイティブ)、ドメインローカル(混在、ネイティブ)によって、それぞれ違ってきますが、根本的にグループアカウントに含めるメンバーとは何のことか? さっぱり、わかりません。 グループアカウントが、それぞれのグループでリソースにアクセスできる範囲を理解できましたが、メンバーとは何か? 本当に理解できないのです。 W2Kを理解されていらっしゃる方からみて、なんてバカな質問をしているのだろうと思われますが、どうしてもわからないため、 恥ずかしながらお聞きしたいのです。 どの参考書をみても、ツリーの絵ばかりで、基本を熟知していない初心者の私には、困惑するばかりです。 どうか、何か初心者の私にも理解できるよう、簡単な例(例えとして身近なことなど)で、教えていただければ、ありがたく思えます。 どなたか、教えていただけないでしょうか?

  • ドメンのセキュリティグループの設定方法について教えてください。

    ドメンのセキュリティグループの設定方法について教えてください。 やりたいこと。 社内にwindows2003サーバー(ドメインサーバー)があります。 アクティブディレクトリを利用して、ある特定のフォルダにセキュリティを 設定したいのです。 設定条件としては以下の通りです。 設定フォルダ 東京総務フォルダ ドメインユーザー EIGYOU_USER1 (営業ユーザー) ドメインユーザー SOUMU_USER1 (総務ユーザー) 総務フォルダは総務ユーザーのみアクセスできるようにしたいです。 ドメインはひとつです。 その場合のセキュリティグループの作成方法を教えてください。 グループとしては東京支店グループ、営業グループ・総務グループ のように作りたいです。この場合、セキュリティのグループの種類は どれを選択すれば良いのでしょうか。ドメインローカル・グローバル・ユニバーサル など、本を読んでもイマイチわかりません。 総務グループに総務ユーザーを所属させ、セキュリティ権限を与えるには どのグループが望ましいのですか。 どなたか詳しい方よろしくご教示願います。

  • グループアカウントのスコープについて

    Windows Server2003のグループアカウントのスコープについて私の認識が間違ってないかどうかご教授ください。ほんとに困っています。 どうしても教えていただきたいことがあります。 本日までにグループアカウントの種類を理解する必要に迫られているものです。 下記サイトを拝見しました。 http://www.atmarkit.co.jp/fwin2k/operation/adprimer008/adprimer008_... 私の認識がずれていたらどうかご指摘をお願いします。 フォレストやドメインの概念はだいたいわかります。 ドメイン・ローカル・グループはセキュリティの設定単位で作成することが目的らしいですが、 これは例えば、【人事部】というフォルダに営業部に所属しているsatouやtanakaのアカウントにも閲覧させたい場合、 営業部読み取り専用グループというドメインローカルグループを作成し人事部のフォルダ見れるように するということが目的なのでしょうか? グローバルグループでは例えば、営業部と人事部の人に【周知】というフォルダを読み取り権限を付与させたい場合、 先ほど作成した営業部読み取り専用グループアカウントと以前からあった(と仮定して)人事部読み取り専用グループアカウントを 【人事部・営業部周知読み取り専用グローバルグループアカウント】にまとめることにより、営業部、人事部の人にも読み取り権限を付与することが目的でしょうか? ユニバーサル・グループでは、ドメインをまたがる組織化を行いたい場合というのがどうしてもイメージできません。具体的にドメインをまたがる組織化というのはどういうことを指すのでしょうか?ユニバーサルグループはネイティブモードでしか使えないというのは理解しています。 本当に困っています。どうか教えていただけないでしょうか?

  • Windows2003 セキュリティグループ

    Windows2003のActiveDirectoryを使用しています。 とあるセキュリティグループの参加メンバをCSVで吐き出したいのですが、 C:\>ldifde -f c:\test.csv -d "CN=SG_AccsessUser,OU=FileAccess,OU=Groups ,OU=Group,OU=NK,DC=aa,DC=com" と入力し吐き出したCSVを見るとmemberの部分が全てSIDで表示されています。 SIDではなく、DomainUserアカウントで表示させたいのですが、どのようにすれば良いでしょうか。 (ldifdeのオプションは何を追加すればよいでしょうか?) ちなみにCSVDEでは文字化けしてしまい読み取りが不可能でした。 アドバイスを宜しくお願い致します。

  • セキュリティポリシー(ドメイン・ローカル)

    セキュリティポリシーについて教えて下さい。 ActiveDirectoryをインストールすると、ローカルセキュリティポリシーの代わりにドメインコントローラセキュリティポリシーが現れますが、これは、=ローカルセキュリティポリシーと考えてよいのでしょうか?また、domainへログオンした状態のクライアントでは、ローカルセキュリティポリシーに優先しドメインセキュリティポリシーが適用されるのでしょうか? それともローカルセキュリティポリシーは全く関係なくなるのでしょうか?また、このコンピュータ(ローカル)にログオンした場合はローカルセキュリティポリシーとドメインセキュリティポリシーの関係はどう適用されるのでしょうか?質問だらけで申し訳ありません。詳しい方がいらっしゃいましたら、ご教授ください。もしくは参考になるサイトを提示いただければ 自分で確認しますので、よろしくお願いいたします。

  • ローカルAminsグループにドメインAdminを自動で追加したい

    お世話になります。 現在、単一ドメイン(Win2003ActiveDirectory)にてサーバー運用しております。クライアントPCの設定が、基本的な項目を除きまちまちなのですが、管理上ドメインAdminアカウントでクライアントにリモートアクセスし、設定を確認したり等の作業を行なえるようにしたいと思っています。 そこで、全クライアントのローカルAdministratorsグループに、ドメインのAdministrator(またはドメインAdministratorsグループ)を一括設定できる方法はないでしょうか?グループポリシーを確認しましたが、それらしい項目が見当たりませんでした。なにかコマンドで設定できれば、ログオンスクリプトで流すなど可能かと思うのですが。 ちなみに各ユーザーのドメインユーザーアカウントは、各自PCのローカルAdministratorsグループに追加されています。 よろしくお願いします。

  • ActiveDirectoryのグループでのアクセス権

    ActiveDirectoryのグループについて教えてください。 ActiveDirectoryでユーザーアカウントを作成しました。(彼にA) これをBグループのメンバーに登録しました。 ドメイン参加しているファイルサーバの共有フォルダのアクセス権を Bグループにフルコントロールで付与しました。 ところが、ユーザーAは、そのフォルダにアクセスしようとすると 「アクセスが拒否されました」となります。 ちなみに、フォルダのアクセス権にBではなく、ユーザーA自身を フルコントロールできるようにすると、きちんとアクセスできます。 共有フォルダを複数の人でアクセスできるにするには、 グループではなく、ユーザーひとりひとりを登録しないと いけないのでしょうか。

  • ActiveDirectory

    現在Win2003でActiveDirectoryを構築しています。 ・ドメインメンバは200人程度。 ・クライアントPCはXPProと2000Pro ・十数人のユーザーがローカルでログオンしPCを利用している。  (社内リソースは利用できないがoffice関連等をスタンドアロン環境で使用している) ・クライアントはドメインとローカルの両方ログオン可能。 セキュリティのことを考えローカルログオンをさせないようにしたいのですがどのような方法が一番良いのかご教授頂けますでしょうか。よろしくお願いします。

  • グループポリシーが適用されません

    プロキシのグループサーバが当たらずに困っています。 環境はというと、Windows 2008 R2のトップドメインのドメコンにOUを作成し、その中にセキュリティグループを作り、そのセキュリティグループの中にユーザーが入っています。 そして、サブドメコンにクライアントPCがログオンするという形をとっています。 (ユーザーはトップドメコンにいるので、どこのサブドメコンでもログオンできるようにという考えです。) そこで、トップドメインのOUにリンクするグループポリシーを作成し、 「ユーザーの構成」-「ポリシー」-「Windowsの設定」-「Internet Explorerのメンテナンス」-「接続」- 「プロキシの設定」 にプロキシの設定を記入しています。 ところが、上記の設定が適用されません。 ためしに、トップドメインのDefault Domain Policyにプロキシの設定を記入するとそれはちゃんと適用されます。 もしかしたら、OUにリンクしたグループポリシーというのはセキュリティグループでネストされるユーザーには適用されないのでしょうか? それとも全く見当違いの設定をしているのでしょうか? ぜひ、ご教示をお願いいたします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する