---

ローカルグループ，グローバルグループ

---

０．改定履歴

• 1998.03.22　初版
• 1999.11.18　会社名が入ってたので消した

１．はじめに

　このドキュメントは，WindowsNTでのユーザ管理の１単位である“グループ”に付いて説明を行なう．

２．グループの基礎

２．１．ローカルグループ

　ローカルグループの特徴は次のような物である．

• 普通に考えられるグループ，つまりユーザの集り
• NT Workstationでは，ローカルグループしか無い
• グローバルグループを格納することが出来る．
• ローカルグループは格納することが出来ない．

２．２．グローバルグループ

　グローバルグループの特徴は次のような物である．

• ユーザしか格納できない
• NT Workstationでは使用できない
• 他のグループ(ローカル，グローバル)を格納することが出来ない．

２．３．まとめ

　この特徴をまとめると，次のようになる．

• シングルドメインの場合，グローバルグループは不要
• ローカルグループにはユーザとグローバルグループを格納できる．
• グローバルグループは，ユーザしか格納できない．

　すべてはこの原則にのっとって対応することが出来る．

３．グループ管理の方針

　これらの特徴を元に，幾つかのニーズによってグループ管理を行なう方法を次に示す．

３．１．１つのドメインの権利とアクセス権が必要

　１つのドメインの権利(そのドメインに参加する権利)とアクセス権がグループに必要な場合には，ローカルグループでなければならない．

　これを図に表すと，次のようになる．

　具体的な組織を使用して図で表すと次のような感じである．

　これが難しくない，基本的な形式である．

３．２．ほかのグループとユーザアカウントをグループに格納する場合

　他のグループとユーザアカウントをグループに格納する(グループの入れ子)場合，それはローカルグループでなければならない．

　ローカルグループには，グローバルグループとユーザアカウントしか格納できないためである．

　これを具体的な組織であげると，つぎのような感じになる．

３．３．複数のドメインのユーザをグループに格納する場合

　複数のドメインのユーザをグループに格納する場合，それはローカルグループでなければならない．

　ローカルグループは，そのドメンイでのみ使用できる．　この場合，Local Eグループは，Domain A内でのみ有効である．

　このLocal Eのアクセス権と同じ物を他のドメインでも使用したい場合には，それぞれのドメインにてLocal Eと同じ手順でローカルグループを作成しなければならない．

３．４．他のドメインで使えるようにグループを作成する

　Domain Aのユーザを他のドメインで使えるようにするには，グローバルグループを作成する．

　グローバルグループは，他のドメインのローカルグループに格納できるので，他のドメインのアクセス権などを簡単に設定することが出来る．

　この図では，Domain AにGlobal Cというグローバルグループがある．

　このGlobal Cは，Domain BのローカルグループであるLocal Dに所属している．　よって，Global CグループのDomain Bの資源へのアクセス権限は，Local Dグループへ設定すればよい．

３．５．NT Workstatoin上のアクセス権をグループの許可する場合

　NT Workstation上のアクセス権をグループに許可する場合，そのグループはグローバルグループである必要がある．

４．UserグループとDomain Userグループ

　たとえば，Domain Aにあるユーザを，Domain Bへアクセス権を与える場合，Domain Aのユーザをグローバルグループに登録すればよい．

　そのドメインに所属するすべてのユーザは，Userというローカルグループに所属するので，このUserの内容と同じグローバルグループがあればよい．

　このUserグループと同じ内容がDomain Userグループである．

---