グループは、Active Directory Domain Services のオブジェクトグループとして表されます。 次の表に、グループ オブジェクトの重要な属性を示します。
| 属性 | 形容 |
|---|---|
| cn を する |
cn (または Common-Name) は、オブジェクトの相対識別名である単一値属性です。
cn は、Active Directory Domain Services のグループの名前です。 他のすべてのオブジェクトと同様に、グループの cn は、グループを含むコンテナー内の兄弟オブジェクト間で一意である必要があります。 |
| メンバー |
メンバー 属性は、グループのメンバーであるユーザー、グループ、連絡先オブジェクトの識別名の一覧を含む複数値属性です。 リスト内の各項目は、メンバーを表すオブジェクトへのリンクされた参照です。そのため、Active Directory サーバーは、メンバー オブジェクトの移動または名前の変更時に、メンバー プロパティ内の識別名を自動的に更新します。 |
| groupType |
groupType 属性は、次のビット フラグを使用してグループの種類とスコープを指定する整数である単一値属性です。
最初の 3 つのフラグは、グループ スコープを指定します。 ADS_GROUP_TYPE_SECURITY_ENABLED フラグは、グループの種類を示します。 このフラグが設定されている場合、グループはセキュリティ グループです。 このフラグが設定されていない場合、グループは配布グループになります。 詳細については、「グループの種類の」を参照してください。 |
| memberOf |
memberOf 属性は、グループをメンバーとして含むグループの識別名のリストを含む複数値属性です。 この属性は、グループが直接入れ子になっているグループの一覧であり、入れ子になった先行タスクの再帰的なリストは含まれません。 たとえば、グループ D がグループ C に入れ子になり、グループ B がグループ A に入れ子になった場合、グループ D の memberOf 属性はグループ C とグループ B を一覧表示しますが、グループ A は一覧表示されません。 |
| objectGUID を する |
objectGUID 属性は、オブジェクトの一意識別子である単一値属性です。 この属性はグローバル一意識別子 (GUID) です。 ディレクトリにオブジェクトが作成されると、Active Directory サーバーによって GUID が生成され、オブジェクトの objectGUID 属性に割り当てられます。 GUID は、企業全体および他の場所で一意です。 objectGUID は、OctetString として格納される 128 ビット GUID 構造体です。 |
| objectSid を する |
objectSid 属性は、グループのセキュリティ識別子 (SID) を指定する単一値属性です。 SID は、グループをセキュリティ プリンシパルとして識別するために使用される一意の値です。 これは、グループの作成時にシステムが設定するバイナリ値です。 各グループには、ディレクトリ内のグループ オブジェクトの objectSid 属性に格納されている Windows NT/Windows 2000 Server ドメインの問題を示す一意の SID があります。 ユーザーがログオンするたびに、システムはユーザーがメンバーであるグループの SID を取得し、ユーザーのアクセス トークンに配置します。 システムは、ユーザーのアクセス トークン内の SID を使用して、Windows NT/Windows 2000 セキュリティとの後続のすべての対話でユーザーとそのグループ メンバーシップを識別します。 SID がユーザーまたはグループの一意識別子として使用されている場合、別のユーザーまたはグループを識別するために SID を再度使用することはできません。 |
| sAMAccountName |
sAMAccountName 属性は、以前のバージョン (Windows 95、Windows 98、LAN Manager) のクライアントとサーバーをサポートするために使用されるログオン名である単一値属性です。
sAMAccountName は、以前のバージョンのクライアントとサーバーをサポートするために 20 文字未満にする必要があります。 sAMAccountName は、ドメイン内のすべてのセキュリティ プリンシパル オブジェクト間で一意である必要があります。 |
グループの種類
Active Directory Domain Services で定義されるグループには、セキュリティ グループ と 配布グループの 2 種類があります。
セキュリティ グループはオブジェクトの論理グループを提供し、グループ自体をアクセス制御リスト (ACL) のセキュリティ プリンシパルとして使用できます。 セキュリティ グループにオブジェクトへのアクセス権が与えられると、セキュリティ グループのすべてのメンバーは自動的にオブジェクトへの同じアクセスを受け取ります。 ユニバーサル スコープを持つセキュリティ グループは、電子メール エンティティとしても使用できます。 ユニバーサル セキュリティ グループに電子メール メッセージを送信すると、そのグループのすべてのメンバーにメッセージが送信されます。
配布グループはオブジェクトの論理的なグループ化も提供しますが、アクセス特権を提供することはできません。 配布グループはセキュリティが有効ではなく、ACL のセキュリティ プリンシパルとして使用できません。 配布グループは、グループ化の目的でのみ使用されます。 たとえば、配布リストを Exchange などの電子メール アプリケーションと共に使用して、ユーザーのコレクションに電子メールを送信できます。
Active Directory Domain Services のグループの種類の詳細については、「グループの種類」 トピック Microsoft TechNetを参照してください。
グループ スコープ
Active Directory Domain Services、ユニバーサル、グローバル、ドメイン ローカルで定義されている 3 つのグループ スコープがあります。 グループのスコープは、グループに属できるオブジェクトの種類、グループがメンバーにできるグループの種類、およびセキュリティ グループにアクセスできるオブジェクトのスコープを定義します。 ドメイン機能レベルが Windows 2000 混合モードに設定されている場合、ユニバーサル スコープを持つセキュリティ グループを作成できません。
次の表に、3 つのグループ スコープと、セキュリティ グループの各スコープに関する詳細情報を示します。
| スコープ | 可能なメンバー | スコープ変換 | アクセス許可を付与できます | 可能なメンバー |
|---|---|---|---|---|
| 万国 |
同じフォレスト内の任意のドメインのアカウント。 同じフォレスト内の任意のドメインのグローバル グループ。 同じフォレスト内の任意のドメインのその他のユニバーサル グループ。 |
ドメイン ローカル スコープに変換できます。 グループに他のユニバーサル グループが含まれていない限り、グローバル スコープに変換できます。 |
同じフォレスト内または信頼しているフォレスト内の任意のドメイン。 |
同じフォレスト内の他のユニバーサル グループ。 同じフォレスト内または信頼しているフォレスト内のドメイン ローカル グループ。 同じフォレスト内または信頼しているフォレスト内のマシン上のローカル グループ。 |
| グローバル |
同じドメインのアカウント。 同じドメインの他のグローバル グループ。 |
グループが他のグローバル グループのメンバーでない限り、ユニバーサル スコープに変換できます。 |
同じフォレスト内の任意のドメイン、または信頼しているドメインまたはフォレスト。 |
同じフォレスト内の任意のドメインのユニバーサル グループ。 同じドメインの他のグローバル グループ。 同じフォレスト内の任意のドメインまたは信頼するドメインのドメイン ローカル グループ。 |
| ドメイン ローカル |
任意のドメインまたは信頼されたドメインのアカウント。 任意のドメインまたは信頼されたドメインのグローバル グループ。 同じフォレスト内の任意のドメインのユニバーサル グループ。 同じドメインの他のドメイン ローカル グループ。 |
グループに他のドメイン ローカル グループが含まれていない限り、ユニバーサル スコープに変換できます。 |
同じドメイン内。 |
同じドメインの他のドメイン ローカル グループ。 既知の SID を持つ組み込みグループを除く、同じドメイン内のマシン上のローカル グループ。 |