アシスタント管理者として、DRAを使用してグループ管理およびグループプロパティの変更を行うことができます。グループ化により、定義された一連のユーザアカウントに特定のパーミッションを与えることができます。グループを使用して、任意のドメイン内でユーザアカウントがアクセスできるデータとリソースを管理することができます。
任意の種類および範囲のグループを管理することができます。たとえば、グループをネストして、1つのグループに別のグループのパーミッションを継承させることができます。信頼するドメインのグループを管理対象ドメイン内の別のグループに追加したり、一時的なグループ指定を管理することにより、ドメイン全体のグループメンバーシップを効率的に管理することもできます。
グループの管理の詳細については、次のトピックを参照してください。
このセクションでは、Account and Resource Managementノードを介して、Delegation and Configuration console (委任および環境設定コンソール)でグループを管理する方法について説明します。適切な権限があれば、グループメンバーシップの変更など、さまざまなグループ管理タスクを実行することができます。複数のグループを選択した場合、グループに対するメンバーの追加、削除、移動など、選択したタスクを1回の操作で実行できます。1つまたは複数のグループを選択すると、実行できるタスクが[タスク]メニューに表示されます。
ユーザアカウント、連絡先、およびコンピュータを管理グループに追加することができます。
メモ:このタスクは、複数のアカウントを指定グループに追加します。1つのアカウントをグループに追加するには、アカウントを選択して、[タスク]メニューの[グループに追加]をクリックします。
別のグループへのアカウントの追加により、そのアカウントに対する権限が増える場合には、そのアカウントの追加は許可されません。
別の管理対象グループにグループを追加することによってグループを入れ子にすることができます。グループが別のグループの入れ子になっている場合、子のグループは親のグループからパーミッションを継承できます。
メモ:別のグループにグループを追加することにより、そのグループに対する権限が増える場合には、そのグループの追加は許可されません。
ローカルグループとグローバルグループのプロパティを変更することができます。所有する権限により、管理対象ドメインまたは管理対象サブツリー内のグループに対して変更できるプロパティが異なります。Exchangeをインストールし、Microsoft Exchangeのサポートを有効にすれば、グループを管理しながら配布リストのプロパティを変更することができます。
管理対象ドメインまたは管理対象サブツリー内にグループを作成することができます。新しいグループのグループメンバーなどのプロパティを変更することもできます。
メモ:
企業によっては、新しいグループに割り当てる名前にポリシーを通して命名規則が適用される場合があります。
デフォルトでは、新しいグループが管理対象ドメインのユーザOUの中に置かれます。
管理グループに対して、ユーザアカウント、連絡先、コンピュータ、または他のグループを追加または削除できます。DRAは、外部のセキュリティプリンシパルの削除のみ許可します。既存グループメンバーのプロパティを表示および変更することもできます(外部のセキュリティプリンシパルを除く)。
グループからメンバーを削除しても、メンバーであるオブジェクトは削除されません。メンバーをグループに追加するときには、追加するメンバーオブジェクトを変更する権限がなければなりません。
メモ:Windowsの管理者または特別なグループのメンバーでない限り、Windowsの特別なグループ(Administratorsグループ、アカウントオペレータグループ、バックアップオペレータグループ、サーバーオペレータグループなど)にユーザアカウントやグループを追加することはできません。
管理対象ドメインまたは管理対象サブツリー内の別のグループにグループを追加したり削除することができます。グループが属す既存のグループのプロパティを表示し、変更することもできます。
グループメンバーシップにActive Directoryのセキュリティ権限を設定することができます。これらのパーミッションにより、Microsoft Outlookを使用してグループメンバーシップを表示(読み込み)および変更(書き込み)できるユーザが指定されます。これらの設定を使用して、環境内の配布リストおよびセキュリティグループの安全性を高めることができます。継承したセキュリティパーミッションを変更することはできません。
メモ:グループメンバーシップのセキュリティを管理するときに、オフになっているパーミッションが継承されたパーミッションを示す場合があります。
Microsoft Windowsの配布グループおよびセキュリティグループの所有権を設定することができます。グループ所有権のパーミッションは、ユーザアカウント、グループ、または連絡先に付与することができます。グループ所有権が付与されると、ユーザアカウント、グループ、または連絡先がそのグループのメンバーシップを変更することができます。
メモ:グループメンバーシップがMicrosoft Exchangeサーバから隠れている場合は、DRAが[Manager can update membership list (マネージャがメンバーシップリストを更新できる★)]というチェックボックスを無効にします。このチェックボックスを有効にするには、[Group Properties (グループプロパティ★)]ウィンドウで[Exchange (変換★)]タブの[Expose Group Membership (グループメンバーシップを表示する★)]をクリックします。
管理対象ドメイン内のローカルグループとグローバルグループの両方でクローンが作成できます。グループのクローンを作成することにより、元のグループと同じ種類および属性を持つ新しいグループを作成することができます。また、元のグループのすべてのメンバーが新しいグループに追加されます。
グループのクローンを作成することにより、同様のプロパティを持つ他のグループをベースとして簡単にグループを作成することができます。グループのクローンを作成すると、選択されたグループの値が[Clone Group (グループのクローン作成★)]ウィザードに設定されます。新しいグループのプロパティを変更することもできます。
メモ:
企業によっては、新しいグループに割り当てる名前にポリシーを通して命名規則が適用される場合があります。
デフォルトでは、新しいグループが管理対象ドメインのユーザOUの中に置かれます。
管理対象ドメインまたは管理対象サブツリー内のローカルグループとグローバルグループが削除できます。そのドメインでごみ箱が無効になっている場合、グループを削除すると、そのグループはActive Directoryから永久に削除されます。そのドメインでごみ箱が有効になっている場合は、グループを削除すると、そのグループはごみ箱に移動し、グループのプロパティが無効になります。
ごみ箱の詳細については、「ごみ箱の管理」を参照してください。
警告:グループを作成すると、Microsoft WindowsによってそのグループにSID (Security Identifier)が割り当てられます。SIDは、グループ名からは生成されません。Microsoft Windowsは、SIDを使用して各リソースのACL (Access Control Lists)に特権を記録します。グループを削除する場合は、同一名を使用して新規のグループを作成することにより、そのグループのアクセス権を戻すことはできません。
管理対象ドメインまたは管理対象サブツリー内の別のコンテナ(OUなど)にグループを移動することができます。
管理対象ドメインまたは管理対象サブツリー内のグループのメンバーシップを配布リストに表示させることができます。
管理対象ドメインまたは管理対象サブツリー内のグループのメンバーシップを配布リストで非表示にすることができます。
一時的なグループの割り当てでは、特定の期間だけグループメンバーシップを必要とするユーザのグループメンバーシップを管理することができます。このセクションでは、Account and Resource ManagementのDelegation and Configuration console (委任および環境設定コンソール)で一時的なグループの割り当てを管理する方法について説明します。適切な権限があれば、一時的なグループの割り当ての作成や期限が切れた一時的なグループの割り当ての削除などのタスクを実行できます。
アシスタント管理者は、アシスタント管理者がメンバーを追加または削除する権限を持つグループの一時的なグループの割り当てのみを表示できます。
一時的なグループの割り当てがアクティブ状態にある間は、関連付けられたグループを変更したり、ユーザのリストを変更したりすることはできません。これらの項目を変更する場合は、一時的なグループの割り当てをキャンセルする必要があります。
一時的なグループの割り当てまたは期限切れになった一時的なグループの割り当てのプロパティを管理できます。
一時的なグループの割り当てを再スケジュールするには、割り当ての[プロパティ]でスケジュールを変更し、変更内容を保存します。
プライマリ管理サーバおよびセカンダリ管理サーバに一時的なグループの割り当てを作成することができます。
デフォルトでは、一時的なグループの割り当ての期限が切れると、[今後の使用に備えて、この一時的なグループの割り当てを保持します]というオプションを選択しない限り、7日後に削除されます。この保持期間を変更するには、[すべての管理対象オブジェクト]の下にある[一時的なグループの割り当て]ノードを右クリックし、[プロパティ]を選択して、一時的なグループの割り当てを保持する日数を変更します。
プライマリ管理サーバおよびセカンダリ管理サーバ上で、一時的なグループの割り当てにユーザアカウントを追加または削除することができます。
メモ:まだアクティブになっていない一時的なグループの割り当てのユーザアカウントのみを管理できます。
一時的なグループの割り当ては、プライマリ管理サーバおよびセカンダリ管理サーバ上で削除することができます。
一時的なグループの割り当てにより、特定の期間だけグループメンバーシップを必要とするユーザのグループメンバーシップを管理することができます。Webコンソールでは、DRAプライマリサーバとセカンダリサーバの両方からの割り当てを作成および管理できます。ただし、既存の割り当てに対して実行できるアクションは、割り当てがどの状態にあるかによって異なります。
アシスタント管理者は、グループメンバーの追加や削除などの、ActiveViewの割り当てによって変更する権限を持つグループに対してのみ一時的なグループの割り当てを表示できます。
Webコンソールで一時的なグループの割り当てを管理するには、[タスク] > [一時的なグループの割り当て]の順に移動します。
次のアクションを実行できます。
既存の一時的なグループの割り当て(TGA)を検索すると、割り当てのステータスに基づいて結果にリストされます。これには、次の状態が含まれます。
保留中: TGAは今後開始されるようにスケジュールされています。キャンセル、削除、および再スケジュールを実行できます。
アクティブ: TGAが開始され、該当するメンバーがグループに追加されました。キャンセルおよび削除を実行できます。
アクティブ(エラーあり): TGAは開始されていますが、該当するすべてのメンバーをグループに追加できませんでした。キャンセルおよび削除を実行できます。
完了: TGAが期限切れになったため、該当するすべてのメンバーがグループから削除されました。削除および再スケジュールを実行できます。
完了(エラーあり): TGAは期限切れになっていますが、該当するすべてのメンバーをグループから削除できませんでした。削除および再スケジュールを実行できます。
キャンセル: TGAがユーザによってキャンセルされ、該当するすべてのメンバーがグループから削除されました。削除および再スケジュールを実行できます。
キャンセル(エラーあり): TGAはユーザによってキャンセルされましたが、該当するすべてのメンバーをグループから削除できませんでした。削除および再スケジュールを実行できます。
エラー: TGAはすべてのメンバーを追加または削除できませんでした。削除および再スケジュールを実行できます。
これらの状態、および割り当て名、ターゲットグループ、期間、割り当てを作成した管理者などを含むその他の条件に基づいて結果をフィルタすることができます。
ドメインコントローラを変更および指定する権限を持っているグループを使用して、一時的なグループの割り当てを作成できます。一時的なグループの割り当てが期限切れになると、今後の試用に備えて、一時的なグループの割り当てを保持するオプションを選択しない限り、DRAは7日後に自動的にそれを削除します。
一時的なグループの割り当てが作成されたときに定義された一時的なグループの割り当てを表示したり、変更したりできます。一時的なグループの割り当ての検索を実行した後で、プロパティを表示または変更したい割り当てを選択します。
一時的なグループの割り当てを再スケジュールするには、割り当ての[プロパティ]でスケジュールを変更し、変更内容を保存します。割り当てがアクティブ状態である場合は、終了日のみ変更できます。
重要:一時的なグループの割り当てがアクティブ状態である場合は、関連付けられたグループを変更したり、ユーザのリストを変更したりすることはできません。これらの項目を変更する場合は、まず割り当てをキャンセルする必要があります。
一時的なグループの割り当ては、次のいずれかの状態になっている場合のみキャンセルできます。
アクティブ
アクティブ(エラーあり)
保留中
複数の一時的なグループの割り当てを選択し、それらを削除できます。選択した一時的なグループの割り当ての状態が[アクティブ]、[アクティブ(エラーあり)]、または[保留中]の場合は、[キャンセル]オプションも有効になります。