グループアカウントの種類と運用方法【連載：ADについて学ぼう~基礎編(8)~】

Reading Time: 1 minutes

今回はユーザーアカウントと並んで欠かすことのできない要素である、「グループアカウント」についてご紹介します。

◆ Point

・グループアカウントの種類についてご紹介
・ Microsoft が推奨するグループスコープの運用方法についてご紹介

プリンターや共有フォルダといったリソースに対するアクセス許可を設定するとき、ユーザー一人ひとりに対して設定を行っていては大変時間がかかってしまいます。そこで登場するのが「グループアカウント」です。グループアカウントを活用することで、アクセス許可を効率よく設定することが出来ます。

グループアカウントには、以下の2種類があります。

■ セキュリティグループ
リソースに対するアクセス許可の設定が可能です。さらに、電子メールアドレス属性を設定することで、電子メールの宛先として利用することが出来ます。

■ 配布グループ
電子メールの宛先としてのみ使用が可能です。（アクセス許可の設定で使用することは出来ません。）

つまり、アクセス許可を設定する目的でグループアカウントを作成する場合は、
配布グループではなくセキュリティグループの方を作成する必要があります。

グループアカウントにおける「スコープ」とは、作成したグループを参照できる範囲のことです。スコープを設定することにより、どの範囲のリソースにアクセスできるか、どのユーザーやグループを追加するのかといったことを定めることが可能です。

グループアカウントには、以下の3つのスコープが用意されています：
・ドメインローカルグループ
・グローバルグループ
・ユニバーサルグループ

グループスコープの運用方法について、今回はMicrosoftが推奨する「AGDLP」をご紹介します。

「AGDLP」は以下の4つのキーワードから構成されています：
Account
Global group
Domain
Local group
Permisson

AGDLPでは、ドメインローカルグループはアカウント許可の割り当て用に、グローバルグループはユーザーをまとめる用に利用されます。(ドメインを超えたユーザーをまとめる時には、フォレスト単位でユーザーを追加できるユニバーサルグループが利用されます。)

例えば、経理部と総務部の、共有ファイルに対するアクセス許可の設定を行う場合、以下のように設定を行います。

1．アカウント許可を与えたい部署や役職ごとにグローバルグループを作成し、対象となるアカウントを所属（今回の場合「経理部グローバルグループ」と「総務部グローバルグループ」を作成します。）

2．次にアクセス許可を与えるグローバルグループを一つのドメインローカルグループにまとめる（今回の場合「経理部グローバルグループ」と「総務部グローバルグループ」の二つのグループを一つのドメインローカルグループとしてまとめます。）

3．最後にドメインローカルグループに対して、リソースに対するアクセス許可を設定（今回の場合、経理部と総務部の共有ファイルに対するアクセス許可を設定します。）

ここまで説明を読んで、何故わざわざグローバルグループとドメインローカルグループの二つグループで、管理する必要があるのかと疑問に思う方もいるかもしれません。

その理由としては、以下の2つが挙げられます。

1. ドメインローカルグループとしてまとめることにより、アクセス許可の設定が一回で済む
2. ドメインローカルグループはアクセス許可の設定単位で作成されるため、誰に何のアクセス許可を与えているかが一目で分かることにより管理が容易になる

このように二つのグループを使用することにより、アクセス許可の管理を効率化することが可能です。

以上がグループアカウントの種類、そして運用方法のご紹介でした。

関連ホワイトペーパーのご紹介

Active Directoryの特権アカウントに対するセキュリティを向上させるためには、どこに注意し、どう対策をとるべきかを多方面から解説しています。特権アカウントに対するセキュリティを向上させたいという方、特権アカウントに対するコントロール不足を課題に感じている方に特におすすめです。

▼▼ダウンロードはこちら ▼▼
特権アクセスに対するセキュリティ対策ソリューション