AGDLP

今回はActiveDirectoryのグループ設計について考えてみます。マイクロソフトの推奨設計としてAG(U)DLPという設計があります。しかし、私はこれに賛成できません。 AGUDLPはそれぞれ以下の意味になります。 - A - アカウント - G - グローバルグループ - U - ユニバーサルグループ - DL - ドメインローカルグループ - L - ローカルグループ（※AD上のグループではない） - P - パーミッション 私がこの考え方を知ったのは2008年に受けた講習でした。 - http://ebi.dyndns.biz/diary/20080318.html#p01 検索をするとWikipediaをはじめ多数ヒットします。日本語では、以下の記事が非常に分かりやすくまとまっています。 - [ASCII.jp：Active Directoryのアカウントとグループとは？｜Windows Serverで学ぶサーバOS入門 ](http://ascii.jp/elem/000/000/504/504463/) - [ASCII.jp：「機能レベル」でActive Directoryの互換性を確保しよう｜Windows Serverで学ぶサーバOS入門](http://ascii.jp/elem/000/000/505/505060/) 詳細は上記の記事を読んでいただくとして、コンセプトとしては以下のような感じです。 - AUP(小規模向け) ユーザーではなくグループにアクセス権を付与する。 - 別の人が権限を引き継ぐ際や別の人にも同じ権限を付与する場合に直接アクセス権をいじらずともメンバの変更だけで済む。 - AGLP(AD管理者とサーバー管理者が分離している場合に向け) アカウントをまとめるグループと権限を付与するグループ(役割)を分離する。 - サーバーのローカルグループはサーバー管理者権限が、ADの権限がなくても勝手に作成、メンバ変更ができるのでいい！ - 欠点：ローカルグループはサーバー単位にしか存在しないので複数サーバーで同じ事をやろうとするとサーバー毎に設定が必要。 - 欠点：ドメインをまたがる権限設定ができない。 - AGDLP(AD管理者とサーバー管理者が同じ場合に向け) コンセプトはAGLPと一緒 - ドメインローカルグループであればAD上にあるので、全てのメンバサーバーで同じグループを使える。AGLPの欠点であるサーバー毎の作業が無くなる。 - 欠点：ドメインローカルグループはAD上のオブジェクトであり、ActiveDirectoryの管理者権限が必要となる。OUへの権限委任等で回避するケースあり。 - 欠点：ドメインをまたがる権限設定ができない。 - AGUDLP(マルチドメインの大規模環境に向け) コンセプトはAGLP, AGDLPと一緒 - ユニバーサルグループでグローバルグループをまとめる事によってドメインをまたがる権限設定を行えるようになる。 ……。という事なのですが、はっきりいって私はこれには賛成できません。ユニバーサルグループですきなようにやれば良いじゃないというのが私の考えです。あえて上記と同じように書くならば「AU(U)P」という感じでしょうか。以下でその理由を説明します。 ...