none
AGUDLP ユニバーサルグループについて RRS feed

  • 質問

  • ActiveDirectoryでのグループについて教えてください。
    フォレスト内(大規模)でのグループの作成ルールを統一しようという話になっています。
    一般的にBest PracticeとされているAGDLPとAGUDLPというモデルがありますが、大規模ですとAGUDLPが適切だとよく書かれています。
    Uはなくても使用できると思われますが、大規模なADフォレストを構成している場合、Uを入れるメリットは何でしょうか?
    私はAGUDLPは順序を表したモデルであり、全てのグループを階層にするという意味ではないと考えていましたが、全ての階層を使用するというのがこのモデルの意図でしょうか?
    ご教授よろしくお願いいたします。
    ***********
    みるくごま
    ***********
    2013年1月25日 5:10

回答

  • 大前提として、役割ベースの管理をしましょうになります。

    そして、そのベストプラクティスとしては次の管理方法が推奨されています。

    アカウント(A)→役割グループ(G)→規則グループ(DL)←アクセス権(P)

    ここでのポイントは役割グループに相当するグローバルグループになります。

    グローバルグループはフォレスト内の全ドメインで利用可能ですが、メンバーにできるアカウントは同じドメイン内のユーザーもしくは同じドメイン内のグローバルグループになります。

    よって、AドメインのグローバルグループはBドメインのグローバルグループを入れ込むことはできません。これでは役割グループの設計ができませんよね。

    そこでユニバーサルグループの出番です。ユニバーサルグループはフォレスト内の全ドメインで利用可能で、、メンバーにできるアカウントはフォレスト内のすべてのユーザー、フォレスト内のすべてのグローバルグループ、フォレスト内のすべてのユニバーサルグループになります。

    よって、マルチドメインの場合は複数のドメインのグローバルグループを束ねるユニバーサルグループをフォレストの役割グループとして設定できます。これを規則グループに入れ込めば役割ベースの管理がマルチドメインでも使用できます。

    このような理由から、マルチドメイン環境ではAGUDLPを使いましょうと言っているのです。

    また、大規模環境でもシングルドメインを使用しているのであればAGDLPを使用することになります。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2013年1月28日 7:02
    モデレータ

すべての返信

  • フォレスト内に複数ドメインが構成されていた場合、ドメイン間でメンバーがセキュリティグループを共有利用できる、ではないでしょうか。
    2013年1月25日 6:01
  • 基本的にシングルドメインではAGDLP、マルチドメイン環境では、AGUDLPになります。

    Gであるグローバルグループはユーザーを束ねるためだけに使い、DLはアクセス権の設定を行います。

    そこで問題は、グローバルグループはドメインのユーザーしかメンバーにできません。よって、マルチドメインの場合は、異なるドメインのグローバルグループをユニバーサルグループで束ねて、目的のDLに入れ込みます。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答の候補に設定 星 睦美 2013年1月29日 2:33
    2013年1月25日 12:42
    モデレータ
  • ABE NAOKIさん

    ありがとうございます。

    サイト、いつも参考にさせて頂いています(笑)

    グループの要件やどういうに使うのかというのはわかっているのですが、AGUDLPとAGDLPの違いがわかりません。

    サイトでも大規模になればAGUDLPを使う方がよいと書かれていますが、AGDLPでもグループは作成できますよね。

    ユニバーサルグループはメンバー情報はグローバル・カタログ(GC)に複製されると聞いていますので、約30万ユーザーのフォレストであればグループ数も数万になる見通しで、果たしてAGDLPよりAGUDLPをモデルにするメリットはどこにあるのだろうと悩んでいます。

    実は今週それを説明する必要があり困っているのでした。

    もしご存知でしたらご教授くださいませ。

    よろしくお願いします。

    ***********
    みるくごま
    ***********

    2013年1月28日 6:28
  • 大前提として、役割ベースの管理をしましょうになります。

    そして、そのベストプラクティスとしては次の管理方法が推奨されています。

    アカウント(A)→役割グループ(G)→規則グループ(DL)←アクセス権(P)

    ここでのポイントは役割グループに相当するグローバルグループになります。

    グローバルグループはフォレスト内の全ドメインで利用可能ですが、メンバーにできるアカウントは同じドメイン内のユーザーもしくは同じドメイン内のグローバルグループになります。

    よって、AドメインのグローバルグループはBドメインのグローバルグループを入れ込むことはできません。これでは役割グループの設計ができませんよね。

    そこでユニバーサルグループの出番です。ユニバーサルグループはフォレスト内の全ドメインで利用可能で、、メンバーにできるアカウントはフォレスト内のすべてのユーザー、フォレスト内のすべてのグローバルグループ、フォレスト内のすべてのユニバーサルグループになります。

    よって、マルチドメインの場合は複数のドメインのグローバルグループを束ねるユニバーサルグループをフォレストの役割グループとして設定できます。これを規則グループに入れ込めば役割ベースの管理がマルチドメインでも使用できます。

    このような理由から、マルチドメイン環境ではAGUDLPを使いましょうと言っているのです。

    また、大規模環境でもシングルドメインを使用しているのであればAGDLPを使用することになります。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2013年1月28日 7:02
    モデレータ
  • ABE NAOKIさん

    ご回答ありがとうございました。

    グローバルはドメイン内を束ね、ユニバーサルはフォレスト内を束ね、ドメインローカルはアクセス権付与のためのグループとして使い分けることで、管理運用しやすい明確なモデルを作れるのかなと理解しました。

    とても参考になりました。

    ありがとうございました。

    ***********
    みるくごま
    ***********

    2013年1月29日 8:44