グループ作成にはコツがある。自由にやっては駄目

Windowsのグループは、メンバーとしてユーザだけでなくグループを所属させることができます。
これによって、グループを組合わせたり、グループにユーザや他のグループを足し合わせたりといったことが可能になり、
グループ設計の自由度がかなり高くなっています。

しかしながら、自由度が高すぎて何でもできる代わりに、大部分のユーザはどうしたら良いのかわからないのが現実です。世間に出回っているハウツウ文献なども、Windowsのリファレンスを丁寧に解説するだけのものがほとんどで、ユーザに好きなようにやりなさいと放り投げているように思えます。
管理を成功させるためには、原則を打ちたて、それに準拠して作業することが大切です。たとえそれがベストの原則でなかったとしても、無原則に自由にやるよりは、はるかにましなのです。

今回は、あえてひとつのやり方を提示します。私なりに試行錯誤してきた結果ではありますが、経験豊富なシステム管理者さんであれば、もっと別の良い方法をご存知かもしれません。ぜひ教えてください。

  • ユーザ個人を分類するためのグループには、専らユーザを所属させます(私はこれをベースグループと呼びます)
  • このベースグループは、組織内の部門別×役割別に作成します
  • ファイル・フォルダのセキュリティを割り当てるグループには、ユーザを所属させず、
    上記で作成したベースグループだけをメンバに含めます
    (私はこれを権限別グループと呼びます)
  • 権限別グループは、権限の強弱別に包含関係を持たせて作ります

具体的に、下記で作成例を示して説明しましょう

ベースグループの作り方

実際の組織を想定して、ユーザをベースグループに割り当てたサンプルを下記に示します。

ベースグループ メンバー 部門 役割
_admin 岡田社長 経営管理 管理者
_sales_adm 奥野営業部長 営業 管理者
_sales_user 今西営業部員・野村営業部員 営業 一般ユーザ
_sales_assist 熊井営業アシスタント 営業 アシスタント
_ga_adm 西嶋総務部長 総務 管理者
_ga_user 川崎総務部員 総務 一般ユーザ
_ga_assist 月野総務アシスタント 総務 アシスタント
  • 各メンバーは原則としていずれか1つのベースグループに属します
  • 同じ部門でも、役割によって別々のグループが用意されています
  • ベースグループの間には、お互いに包含関係がありません

多くの組織において、部門別グループまで作っても、部門内での役割別にグループをきめ細かく分けない例が多くみうけられます。

その結果、役割別のセキュリティを設定できずに、新入社員から管理職までが同じアクセス権限でフォルダにアクセスできてしまったり、
グループのセキュリティ設定に加えてユーザ別のセキュリティ設定をフォルダに対して行う必要が生じたりと、弊害が出てきます。

実施アにWindows Active Directory環境でグループを作る場合は、
グローバルなスコープのセキュリティグループ(以下、グローバル・グループ)として作成することを推奨します

権限別グループの作り方

上記例の組織について、権限別グループを作成した例を示します。

  • 役割から導き出される権限の包含関係にしたがって、グループを作成します
  • グループに与えられる権限を持つユーザで、
    一番低い役割クラスのユーザに対応するベースグループの名称に
    適当な接尾語(たとえば「&」)を付けて作成します
権限別グループ メンバー 説明
_admin& _admin 経営管理 管理者以上
_sales_adm& _sales_adm 営業部 管理者以上
_sales_user& _sales_adm&,_sales_user 営業部 一般ユーザ以上
_sales_assist& _sales_user&, _sales_assist 営業部 アシスタント以上全員
_ga_adm& _ga_adm 総務部 管理者以上
_ga_user& _ga_adm&, _ga_user 総務部 一般ユーザ以上
_ga_assist& _ga_user&, _ga_assist 総務部 アシスタント以上全員
_all_user& _admin&, _sales_user&, _ga_user& 全社 一般ユーザ以上
  • 権限の弱いグループが、強いグループを包含することに注目してください。
    こうしておくと、権限の強いグループのメンバーが、権限の弱いグループに与えられた権限を必ず持つことを意味します
  • 権限グループのメンバーは、別の権限グループか、ベースグループかのいずれかです。ユーザ個人は含まれません。

こうして構成した権限別グループを使うと、フォルダのアクセス権限設定が大変にすっきりします。

Active Directory環境で実際にグループを作成する時には、
Windowsのドメインローカルのセキュリティグループとして作成します。
Active Directoryのドメインの機能レベルを「Windows 2000ネイティブモード」以降に上げることを強く推奨します。
ドメインの機能レベルがデフォルトの「Windows NT混在モード」のままだと、ドメインローカルのグループを
ファイルサーバなど他のサーバから参照できません。機能レベルを引き上げれら無い事情がある場合には、
すべてのグループをグローバルのセキュリティグループとして作成してください

グループ構成の確認方法

上記に提唱するグループ構成法では、組織別・役割別に、多数のグループを作成することになります。
おそらく、「こんなにたくさんグループを作成するとメンテナンスが大変にならないか?」と心配になることでしょう。
特に、ユーザが数百人数千人に達する環境では、人事異動シーズンはシステム管理者の悩みの種に違いありません。

そこで、ユーザとグループの対応表を作成するツールを作成してみました。次のページをご覧下さい。