Active Directory：ユニバーサルグループをグローバルグループにネストできない

Azure AD/Active Directory

■ ユニバーサルグループをグローバルグループにネストできない

ユニバーサルグループはグローバルグループに所属できません。ユニバーサルをグローバルに変更してネストしてください（元のグローバルをユニバーサルに変更でも良いですが 運用を考慮して行ってください。状況によっては 不可能です。（例えばユニバーサルに変更したいグループが他のグローバルグループに所属している等。ユニバーサルはグローバルに所属できないのでスコープを変更できません）

　

■ ADグループのスコープについて

ActiveDirectoryのグループのスコープ（権限を持つ範囲）には次の3つがあります。

・ユニバーサル…ドメインをまたいで有効

・グローバル … ドメイン内で有効

・ドメインローカル …特定のドメインで有効

　

ここでは各グループに所属可能なメンバー、自身が所属できるグループ、アクセス権範囲などを簡単にまとめました。

Scope	所属可能なメンバー	スコープ変換	アクセス権を付与できる範囲	自身が所属できるグループ
ユニバーサル	同じフォレスト内の ・ドメインアカウント ・グローバル グループ ・ユニバーサルグループ	他のユニバーサルGにネストされていなければドメインローカルに変換可能。 グループに他のユニバーサル グループが含まれていない場合は、グローバルに変換可能。	同じフォレストまたは信頼済フォレスト内のドメイン	同じフォレスト内の ・ユニバーサル グループ ・ドメインローカル グループ ・PCのローカル グループ 　 注：ユニバーサルはグローバルに所属できません。
グローバル	同じドメイン内の ・ドメインアカウント ・グローバル グループ 　 注：ユニバーサルグループをメンバーにできません。	他のグローバルグループに所属していなければ、ユニバーサルに変換可能		同じフォレスト内の ・ユニバーサル グループ ・グローバル グループ ・ドメインローカル グループ
ドメインローカル	・ドメインアカウント ・グローバル グループ ・ユニバーサル グループ ・ドメインローカルグループ	グループに他のドメイン ローカル グループが含まれていない場合は、ユニバーサル スコープに変換可能	同じドメイン内	同じドメイン内の ・ドメインローカル グループ ・ドメイン内のコンピューター上のローカル グループ

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

　

参考：https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/understand-security-groups