ユーザー/グループのアカウントの作成と管理

  • [アーティクル]

グループ アカウント

最終更新日: 2002年12月18日

複数のユーザーの特権を管理するには、グループ アカウントを使用します。ドメインで使用するグローバル グループ アカウントは、[Active Directory ユーザーとコンピュータ] で作成し、ローカル システムで使用するローカル グループ アカウントは [ローカル ユーザーとグループ] で作成します。通常、グループ アカウントは、類似したタイプのユーザーを管理しやすくするために作成します。作成できるグループのタイプは、以下のとおりです。

  • 組織内の部門別のグループ : 一般的に同じ部門で働くユーザーは、同様のリソースにアクセスする必要があります。そのため、ビジネス開発、セールス、マーケティング、エンジニアリングなどの部門別にグループを作成し、管理します。

  • 特定のアプリケーションを使用するグループ : 多くの場合ユーザーは、特定のアプリケーションに関連するアプリケーションやリソースにアクセスする必要が生じます。アプリケーション専用のグループを作成すると、必要なリソースとアプリケーション ファイルに適切にアクセスできるようになります。

  • 組織内の役割ごとのグループ : 組織内のユーザーの役割ごとにグループを作成して、管理することもできます。たとえば、役員は管理者や一般ユーザーと異なるリソースにアクセスする必要があります。そのため、組織内の役割に基づいてグループを作成することで、必要とするユーザーに適切なアクセスが与えられます。

トピック

グループ スコープとグループ タイプ
グループ アカウントの作成
グループ メンバの追加
グループ メンバの削除
グループのネスト
グループの削除

グループ スコープとグループ タイプ

各セキュリティ グループと配布グループには、ドメイン ツリーまたはフォレストにおけるグループの適用範囲を特定するスコープが決められています。スコープには、ユニバーサル、グローバル、ドメイン ローカルの 3 種類があります。

  • ユニバーサル スコープを持つグループは、ドメイン ツリーまたはフォレスト内の Windows 2000 ドメインのグループおよびアカウントであれば、メンバとして所有することができ、そのドメイン ツリーまたはフォレスト内のドメインのアクセス許可を与えることができます。ユニバーサル スコープを持つグループは、ユニバーサル グループと呼ばれます。

  • グローバル スコープを持つグループは、グループが定義されたドメインのグループおよびアカウントに限り、メンバとして所有することができ、フォレスト内のドメインのアクセス許可を与えることができます。グローバル スコープを持つグループは、グローバル グループと呼ばれます。

  • ドメイン ローカル スコープを持つグループは、Windows 2000 または Windows NT ドメインのグループおよびアカウントを、メンバとして所有することができ、ドメイン内のアクセス許可のみに使用することができます。ドメイン ローカル スコープを持つグループは、ドメイン ローカル グループと呼ばれています。

フォレストが複数ある場合、1 つのフォレストにのみ定義されたユーザーを、別のフォレストに定義されたグループに配置することはできません。また 1 つのフォレストにのみ定義されたグループには、別のフォレストのアクセス許可を割り当てることはできません。

下表は、それぞれのグループ スコープの働きをまとめたものです。

ユニバーサル スコープ グローバル スコープ ドメイン ローカル スコープ
ネイティブモードのドメインにおいて、任意のドメインのアカウント、グローバル グループ、およびユニバーサル グループをメンバとして所有することができます。 ネイティブモードのドメインにおいて、同じドメインのアカウントおよびグローバル グループをメンバとして所有することができます。 ネイティブモードのドメインにおいて、任意のドメインのアカウント、グローバル グループ、およびユニバーサル グループをメンバとして所有することができます。また同じドメインのドメイン ローカル グループもメンバとして所有することができます。
ネイティブモードのドメインに、ユニバーサル スコープを持つセキュリティ グループを作成することはできません。 ネイティブモードのドメインにおいて、同じドメインのアカウントをメンバとして所有することができます。 ネイティブモードのドメインにおいて、任意のドメインのアカウントおよびグローバル グループをメンバとして所有することができます。
(ドメインがネイティブモードの場合) グループを別のグループに配置し、ドメインのアクセス許可を割り当てることができます。 別のグループに配置し、ドメインのアクセス許可を割り当てることができます。 別のドメイン ローカル グループに配置し、同じドメインのアクセス許可のみを割り当てることができます。
他のグループ スコープに変換することはできません。 グローバル スコープを持つ別のグループのメンバでない限り、ユニバーサル スコープに変換することができます。 ドメイン ローカル スコープを持つ別のグループをメンバとして所有しない限り、ユニバーサル スコープに変換することができます。
#### グループ スコープの変更 新しいグループを作成すると、現在のドメイン モードに関係なく、既定でグローバル スコープを持つセキュリティ グループとして設定されます。グループ スコープは、以下の許可された変換によって、変更することができます。 - **グループ スコープの変更グローバルからユニバーサルへ**。これは、そのグループがグローバル スコープを持つ別のグループのメンバでない場合にのみ実行できます。 - **ドメイン ローカルからユニバーサルへ** : 変換するグループは、ドメイン ローカル スコープを持つ別のグループをメンバとして所有することはできません。 **注意** : 混在モード ドメインでは、グループ スコープを変更することはできません。混在モード ドメインは評価された構成には属していません。 #### グループ タイプ Windows 2000 には以下の 2 種類のグループがあります。 - **セキュリティ グループ** : セキュリティ グループは、リソースとオブジェクトのアクセス許可を定義する随意アクセス制御リスト (DACL: Discretionary Access control List) に一覧表示されています。セキュリティ グループは、電子メール エンティティとして利用することもできます。電子メールメッセージをグループに送信すると、グループのすべてのメンバにメッセージが送信されます。 - **配布グループ** : 配布グループはセキュリティに対応していないため、DACL では一覧表示できません。(Exchange などの) 電子メールアプリケーションに限り、配布グループを使用して、ユーザーのコレクションに電子メールを送信することができます。 **注意** : セキュリティグループならびに配布グループに連絡先を追加することはできますが、権利とアクセス許可を割り当てることはできません。グループ内の連絡先宛てに電子メールを送信することができます。 #### セキュリティ グループと配布グループの変換 ネイティブモードのドメインに限り、セキュリティグループから配布グループへ、あるいはその逆のグループ変換をいつでも実行することができます。ドメインが混在モードの場合、グループを変換することはできません。 - セキュリティ グループから配布グループへのグループタイプの変換を試みると、以下のような警告が表示されます。 ![](images/Dd362977.w2kab063s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362977.w2kab063(ja-jp,technet.10).gif) - ユーザーのプライマリ グループでもあるセキュリティ グループを、配布グループに変更することはできません。この変更を試みると、以下のメッセージが表示されます。 ![](images/Dd362977.w2kab064s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362977.w2kab064(ja-jp,technet.10).gif) - グループ タイプの変更は、ユーザーが一度ログオフし、次にネットワークへログオンしたときに有効になります。配布グループはセキュリティ対応ではなく、電子メールのみに使用されるので、セキュリティから配布へタイプを変更したグループのメンバには、ログオンが許可されず、以下のメッセージが表示されます。 ![](images/Dd362977.w2kab065(ja-jp,TechNet.10).gif) - 逆に、配布グループからセキュリティ グループへ変更されたグループに関連付けられたアクセス許可、特権、グループ メンバシップを評価する際は、注意が必要です。本来、配布グループのメンバであるユーザーをセキュリティ グループに変更すると、新たに変換されたセキュリティグループに関連付けられた新しい特権とアクセス権利を得ることになります。 [](#mainsection)[ページのトップへ](#mainsection) ### グループ アカウントの作成 以下の手順でグループ アカウントを追加します。 1. **\[スタート\]** を開き、**\[プログラム\]**、**\[管理ツール\]** の順にポイントし、**\[Active Directory ユーザーとコンピュータ\]** をクリックします。 2. コンソール ツリーで、ドメイン ノードをダブルクリックします。 3. グループを追加するフォルダを右クリックし、**\[新規作成\]** をポイントして **\[グループ\]** をクリックします。 ![](images/Dd362977.w2kab066s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362977.w2kab066(ja-jp,technet.10).gif) 4. 新しいグループの名前を入力します。既定では、ここで入力した名前が、新規グループの Windows 2000 以前の名称としても入力されます。 5. 目的の **\[グループの範囲\]** を選択します。 6. 目的の **\[グループの種類\]** を選択します。 ![](images/Dd362977.w2kab067(ja-jp,TechNet.10).gif) 7. **\[OK\]** をクリックします。**\[Active Directory ユーザーとコンピュータ\]** の詳細ウィンドウに新規グループが表示されます。 8. このドキュメントの「ユーザー権利の設定」のサブセクションで説明したように、新規グループのログオン権利と特権を変更します。権限のある管理者はこの手順を実行し、必要に応じてログオン権利と特権をいつでも割り当てまたは削除して、変更することができます。 [](#mainsection)[ページのトップへ](#mainsection) ### グループ メンバの追加 以下の手順で、グループにメンバを追加します。 1. **\[スタート\]** を開き、**\[プログラム\]**、**\[管理ツール\]** の順にポイントし、**\[Active Directory ユーザーとコンピュータ\]** をクリックします。 2. コンソール ツリーで、目的のグループ アカウントが含まれたフォルダをクリックします。 3. 詳細ウィンドウで、目的のグループ アカウントをダブルクリックするか、あるいはグループを右クリックし、メニューから **\[プロパティ\]** を選択します。 ![](images/Dd362977.w2kab068s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362977.w2kab068(ja-jp,technet.10).gif) 4. **\[プロパティ\]** ウィンドウの **\[メンバ\]** タブをクリックします。 5. **\[追加\]** をクリックすると、**\[ユーザー、連絡先、またはコンピュータの選択\]** ダイアログ ボックスが表示されます。 6. **\[探す場所\]** ドロップリストから、アカウントを追加するドメインを選択します。ユーザーの一覧から、グループに追加するユーザーを選択して、**\[追加\]** をクリックします。 ![](images/Dd362977.w2kab069(ja-jp,TechNet.10).gif) 7. **\[ユーザー、連絡先、またはコンピュータの選択\]** ダイアログ ボックスの **\[OK\]** をクリックし、**\[プロパティ\]** ウィンドウの **\[適用\]** ボタンをクリックします。ほかに追加するユーザーがなければ、**\[プロパティ\]** ウィンドウの **\[OK\]** をクリックします。 [](#mainsection)[ページのトップへ](#mainsection) ### グループ メンバの削除 以下の手順で、グループのメンバを削除します。 1. **\[スタート\]** を開き、**\[プログラム\]**、**\[管理ツール\]** の順にポイントし、**\[Active Directory ユーザーとコンピュータ\]** をクリックします。 2. コンソール ツリーで、目的のグループ アカウントが含まれたフォルダをクリックします。 3. 詳細ウィンドウで、目的のグループ アカウントをダブルクリックするか、あるいはグループを右クリックし、メニューの \[プロパティ\] を選択します。 4. **\[プロパティ\]** ウィンドウの **\[メンバ\]** タブをクリックします。 5. グループ メンバの一覧から、削除するメンバを選択して、**\[削除\]** ボタンをクリックします。 ![](images/Dd362977.w2kab070(ja-jp,TechNet.10).gif) 6. **Active Directory** の確認メッセージが表示されます。**\[はい\]** ボタンをクリックすると、グループからメンバが削除されます。 7. **\[プロパティ\]** ウィンドウの **\[適用\]** をクリックし、**\[OK\]** をクリックします。 [](#mainsection)[ページのトップへ](#mainsection) ### グループのネスト 別のグループにグループを追加 (グループのネスト) すると、割り当てに必要なアクセス許可の回数を減らすことができます。目的のグループをネストし、影響を与えるメンバ アカウントを増やすことで、グループ管理を統合したり、グループ メンバシップの変更のリプリケーションによって生じるリプリケーション トラフィックを削減したりすることができます。Windows 2000 では、ネイティブ モードでの無制限なレベルのネストが可能です。 ただし、複数のレベルのネストは、アクセス許可の追跡を複雑にします。そのため、ネストのレベルを最小限にとどめることが重要です。ネスト オプションは、ドメインがネイティブモードであるか混在モードであるかによって異なります。ネイティブモード ドメインのグループ、または混在モード ドメインの配布グループでは、以下のようにメンバシップが指定されます。 - ユニバーサル スコープを持つグループは、あらゆるドメインのアカウント、コンピュータ アカウント、ユニバーサル スコープを持つ別のグループ、グローバル スコープを持つグループをメンバとして所有することができます。 - グローバル スコープを持つグループは、同じドメインのアカウントと、グローバル スコープを持つ別のグループをメンバとして所有することができます。 - ドメイン ローカル スコープを持つグループは、あらゆるドメインのアカウント、ユニバーサル スコープを持つグループ、グローバル スコープを持つグループをメンバとして所有することができます。また、同じドメイン内のドメイン ローカル スコープを持つ別のグループをメンバとして所有することもできます。 混在モード ドメインのセキュリティ グループは、以下の種類のメンバシップに限定されます。 - グローバル スコープを持つグループは、メンバ専用アカウントとして保存できます。 - ドメイン ローカル スコープを持つグループは、グローバル スコープとアカウントを持つ別のグループをメンバとして所有できます。 ユニバーサル スコープは Windows 2000 ネイティブモード ドメインのみでサポートされるので、ユニバーサル スコープを持つセキュリティグループを混在モード ドメインに作成することはできません。 以下の手順で、ネストされたグループを追加/変更します。 1. **\[スタート\]** を開き、**\[プログラム\]**、**\[管理ツール\]** の順にポイントし、**\[Active Directory ユーザーとコンピュータ\]** をクリックします。 2. コンソール ツリーで、目的のグループ アカウントが含まれたフォルダをクリックします。 3. 詳細ウィンドウで、目的のグループ アカウントをダブルクリックするか、あるいはグループを右クリックし、メニューの \[プロパティ\] を選択します。 4. **\[プロパティ\]** ウィンドウの **\[所属するグループ\]** タブをクリックします。 5. **\[追加\]** をクリックすると、\[グループの選択\] ダイアログボックスが表示されます。 6. **\[探す場所\]** ドロップ リストから、アカウントを追加するドメインを選択します。ユーザーの一覧から、グループに追加するグループ アカウントを選択して、**\[追加\]** をクリックします。 ![](images/Dd362977.w2kab071(ja-jp,TechNet.10).gif) 7. **\[グループの選択\]** ダイアログボックスの **\[OK\]** をクリックし、**\[プロパティ\]** ウィンドウの **\[適用\]** をクリックします。ほかに追加するグループ アカウントがなければ、**\[プロパティ\]** ウィンドウの **\[OK\]** をクリックします。 [](#mainsection)[ページのトップへ](#mainsection) ### グループの削除 作成された各グループは、再使用できない一意なセキュリティ識別子 (SID) を持ちます。Windows 2000 では、SID を使用して、グループと、グループに割り当てられたアクセス許可を識別します。グループが削除されると、削除されたグループと同じ名前の新規グループが作成された場合でも、その SID を再度利用することはできません。したがって、削除されたグループを再作成するだけでは、リソースにアクセスできません。 グループは以下の手順で削除することができます。 1. **\[スタート\]** を開き、**\[プログラム\]**、**\[管理ツール\]** の順にポイントし、**\[Active Directory ユーザーとコンピュータ\]** をクリックします。 2. コンソール ツリーで、**\[グループ\]** をクリックするか、あるいは目的のグループ アカウントが含まれたフォルダをクリックします。 3. 詳細ウィンドウで、グループを右クリックします。 4. **\[削除\]** をクリックすると、**Active Directory** の確認ウィンドウが表示されます。 ![](images/Dd362977.w2kab072s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362977.w2kab072(ja-jp,technet.10).gif) 5. **\[はい\]** をクリックし、グループを削除します。 [](#mainsection)[ページのトップへ](#mainsection)