グループのスコープまたは種類の変更
グループのスコープまたは種類の変更は、混合モード ドメインでは許可されません。 ただし、ネイティブ モード ドメインでは次の変換が許可されます。
ドメイン ローカル グループからユニバーサル グループへ: 変換対象となるドメイン ローカル グループには、外部セキュリティ プリンシパル (FSP) としてドメインに存在する、別のドメイン ローカル グループまたは別のフォレストのメンバーを含めることはできません。
グローバル グループからユニバーサル グループへ: これは、グローバル グループが別のグローバル グループのメンバーでない場合にのみ許可されます。
ユニバーサル グループからグローバルまたはドメイン ローカル グループへ: グローバル グループに変換する場合、変換対象となるユニバーサル グループには、別のドメインからのユーザーまたはグローバル グループを含めることはできません。 ドメイン ローカル グループに変換する場合、変換対象となるユニバーサル グループを、任意のユニバーサル グループのメンバーまたは別のドメインのドメイン ローカル グループにすることはできません。
グローバル グループからドメイン ローカル グループおよびその逆の変更は、ユニバーサル グループからのみ行うことができます。 これらは別個の手順であるため、上記の制限が毎回適用されます。
注: グローバルまたはユニバーサル グループがドメイン ローカル グループに変換される場合、このグループの SID は、ドメインが存在するグループのメンバーに対するアクセス トークン内にのみ存在します。 この SID が他のドメイン内のマシンのアクセス制御リストで使用されたとき、ユーザーはグループのメンバーではない場合と同じようにのみアクセスを許可されます。
ネイティブ モードでは、セキュリティ グループと配布グループの間でグループの種類を自由に変換できます。
グループを使用してアクセス制御を設定する場合、スコープまたは種類を変更すると、そのグループを含むアクセス制御エントリ (ACE) に影響する可能性があることに注意してください。 セキュリティ システムでは、セキュリティ グループではないグループを含む ACE を無視します。