グループのスコープは、作成したグループアカウントをさんしょうできる範囲のこと。
ドメインローカルスコープのグループは、そのグループを作成したドメイン内でのみ参照できる。
グローバルスコープとユニバーサルスコープのグループは、フォレスト内のどのドメインからでも参照できる。
規定はグローバルグループで作成される。
| スコープ | グループアカウントを参照できる範囲 | 追加可能なメンバー |
| ドメインローカル | グループアカウントを作成したドメイン内 | ・フォレスト内の任意のユーザー、コンピュータアカウント ・フォルスト内のグローバルグループ ・フォルスト内のユニバーサルグループ ・同一ドメイン内のドメインローカルグループ |
| グローバル | フォルスト内 | ・同一ドメインのユーザー、コンピュータアカウント ・同一ドメインのグローバルグループ |
| ユニバーサル | フォルスト内 | ・フォレスト内の任意のユーザー、コンピュータアカウント ・フォルスト内のグローバルグループ ・フォレスト内のユニバーサルグループ |
管理者タブにユーザを追加し、チェックボックスをONにすることで、管理者となったユーザーやグループがメンバーの追加変更を行うことができるようになる。
運用方法として、IGDLA、IGUDLAという手法がある。
・I ID(ユーザー、コンピュータ)
・G グローバルグループ
・U ユニバーサルグループ
・DL ドメインローカルグループ
・A アクセス許可
■シングルドメイン、シングルフォレスト(IGDLA)
I(ユーザー、コンピュータ)をG(グローバルグループ)にまとめ、DL(ドメインローカルグループ)にA(アクセス許可)を付与する
■マルチドメイン、シングルフォレスト(IGUDLA)
I(ユーザー、コンピュータ)をまとめたG(グローバルグループ)をU(ユニバーサルグループ)にまとめる。さらにU(ユニバーサルグループ)をまとめたDL(ドメインローカルグループ)にA(アクセス許可)を付与する
とすることで、アクセス許可の変更はDLに対して行い、メンバーの変更はGやUに対して行う。
そのため、メンバーの管理とアクセス許可の管理を明確に分離でき、メンバーとアクセス許可の構成変更や確認作業を行いやすくなる。