今回は,Active Directoryのドメイン・グループのスコープに関する問題です。この内容は,MCP試験70-290(Managing and Maintaining a Microsoft Windows Server 2003 Environment)と70-642TS(Windows Server 2008 Network Infrastructure, Configuring)の試験範囲に含まれています。
Active Directoryドメインのスコープには,ドメイン・ローカル,グローバル,ユニバーサルがあり,それぞれ以下の特徴を持ちます(表1)。
| スコープ | 利用範囲 | メンバー | 主な目的 |
|---|---|---|---|
| ドメインローカル | ドメイン内 | ■フォレストのユーザー・アカウント ■フォレストのコンピュータ・アカウント ■フォレストのグローバル・グループ ■フォレストのユニバーサル・グループ ■ドメインのドメインローカル・グループ | アクセス制御 |
| グローバル | フォレスト全体 | ■ドメインのユーザー・アカウント ■ドメインのコンピュータ・アカウント ■ドメインのグローバル・グループ | ドメインのユーザーの分類 |
| ユニバーサル | フォレスト全体 | ■フォレストのユーザー・アカウント ■フォレストのコンピュータ・アカウント ■フォレストのグローバル・グループ ■フォレストのユニバーサル・グループ | フォレストのユーザーの分類 |
グループを作成した後,スコープの変更をすることが可能です。しかし,グローバルからドメイン・ローカルまたはドメイン・ローカルからグローバルの各スコープに変更する場合,直接変更はできないため,いったんユニバーサル・スコープに変更してからさらに変更作業をします(図1)。したがって正解は2です。
ほかの選択肢を見てみましょう。
Windows Server 2003でドメインを構築した場合は,Windows NT4.0のドメイン・コントローラをドメイン内で実行することが可能です。異なるバージョンのドメイン・コントローラをドメインで利用するには,互換性のために低いバージョンに合わせた機能のみを使用するように,ドメインとフォレストに設定する必要があります。この設定を「機能レベル」と言います。
ドメイン機能レベルがWindows NT4.0機能に合わせた「Windows 2000混在」の場合,新しいグループ管理機能である,ユニバーサル・グループのスコープと同じスコープのグループにグループをメンバーとして追加する機能は使用できません。また,スコープの変更もできません。問題のシナリオでは,グローバル・グループにグローバル・グループをメンバーとして追加しているため,機能レベルには問題がないことがわかります。したがって1は誤りです。
「Active Directory復元モード」は,ドメイン・コントローラをバックアップから復元したり,ドメイン・データベースのメンテナンスを行う場合に使用します。グループ・スコープの変更には関係ありません。したがって3は誤りです。
グループのスコープ変更に伴ってメンバシップに矛盾が生じる場合は,メンバーを削除する必要があります。グループにグループを追加することを「ネスト」と言います。グループのネストの組み合わせは,表1を参照してください。これ以外の組み合わせはできません。
例えば,グローバル・グループのメンバーとして追加されているグローバル・グループをドメイン・ローカル・グループに変更する場合が挙げられます。しかし,この問題のシナリオでは,グローバル・グループをメンバーとして持つグローバル・グループをドメイン・ローカル・グループに変更しようとしています。グループのネストの組み合わせに矛盾は生じないので,メンバーを削除する必要はありません。したがって4は誤りです。
