ローカルグループ,グローバルグループ
0.改定履歴
- 1998.03.22 初版
- 1999.11.18 会社名が入ってたので消した
1.はじめに
このドキュメントは,WindowsNTでのユーザ管理の1単位である“グループ”に付いて説明を行なう.
2.グループの基礎
2.1.ローカルグループ
ローカルグループの特徴は次のような物である.
- 普通に考えられるグループ,つまりユーザの集り
- NT Workstationでは,ローカルグループしか無い
- グローバルグループを格納することが出来る.
- ローカルグループは格納することが出来ない.
2.2.グローバルグループ
グローバルグループの特徴は次のような物である.
- ユーザしか格納できない
- NT Workstationでは使用できない
- 他のグループ(ローカル,グローバル)を格納することが出来ない.
2.3.まとめ
この特徴をまとめると,次のようになる.
- シングルドメインの場合,グローバルグループは不要
- ローカルグループにはユーザとグローバルグループを格納できる.
- グローバルグループは,ユーザしか格納できない.
すべてはこの原則にのっとって対応することが出来る.
3.グループ管理の方針
これらの特徴を元に,幾つかのニーズによってグループ管理を行なう方法を次に示す.
3.1.1つのドメインの権利とアクセス権が必要
1つのドメインの権利(そのドメインに参加する権利)とアクセス権がグループに必要な場合には,ローカルグループでなければならない.
これを図に表すと,次のようになる.
具体的な組織を使用して図で表すと次のような感じである.
これが難しくない,基本的な形式である.
3.2.ほかのグループとユーザアカウントをグループに格納する場合
他のグループとユーザアカウントをグループに格納する(グループの入れ子)場合,それはローカルグループでなければならない.
ローカルグループには,グローバルグループとユーザアカウントしか格納できないためである.
これを具体的な組織であげると,つぎのような感じになる.
3.3.複数のドメインのユーザをグループに格納する場合
複数のドメインのユーザをグループに格納する場合,それはローカルグループでなければならない.
ローカルグループは,そのドメンイでのみ使用できる. この場合,Local Eグループは,Domain A内でのみ有効である.
このLocal Eのアクセス権と同じ物を他のドメインでも使用したい場合には,それぞれのドメインにてLocal Eと同じ手順でローカルグループを作成しなければならない.
3.4.他のドメインで使えるようにグループを作成する
Domain Aのユーザを他のドメインで使えるようにするには,グローバルグループを作成する.
グローバルグループは,他のドメインのローカルグループに格納できるので,他のドメインのアクセス権などを簡単に設定することが出来る.
この図では,Domain AにGlobal Cというグローバルグループがある.
このGlobal Cは,Domain BのローカルグループであるLocal Dに所属している. よって,Global CグループのDomain Bの資源へのアクセス権限は,Local Dグループへ設定すればよい.
3.5.NT Workstatoin上のアクセス権をグループの許可する場合
NT Workstation上のアクセス権をグループに許可する場合,そのグループはグローバルグループである必要がある.
4.UserグループとDomain Userグループ
たとえば,Domain Aにあるユーザを,Domain Bへアクセス権を与える場合,Domain Aのユーザをグローバルグループに登録すればよい.
そのドメインに所属するすべてのユーザは,Userというローカルグループに所属するので,このUserの内容と同じグローバルグループがあればよい.
このUserグループと同じ内容がDomain Userグループである.