ハマったので、備忘録。

Active Directory をいぢってて、グループを入れ子にしたくなった。
あるグループ(親グループ)のメンバに、別のグループ(子グループ)を入れようとしても見つからない。
子グループの「所属するグループ」に親グループを入れようとしても、これまた親グループが見つからない。
むむ。

グループのスコープをデフォルトのグローバルからドメインローカルにしてみたら、入れ子にでけた！
でも、アクセスコントロールがうまくいかない。ドメインに参加してない状態でアクセスするから、ドメインローカルじゃダメだわな。
むむむ。八方塞がり。

Google 先生に聞いてみた。MS の TechNet にあった。
AD の「機能レベル」の問題のようだ。「機能レベル」には「混在モード」と「ネイティブモード」があり、「混在モード」に設定されているといろいろと機能制限があるもよう。

機能レベルが Windows 2000 混在モードに設定されているドメインのセキュリティ グループでは、次のようなメンバシップの種類に限定されます。
・グローバル スコープのグループのメンバはアカウントだけです。

http://technet.microsoft.com/ja-jp/library/cc776499%28WS.10%29.aspx

コレです。まさに。

「混在モード」は、Windows NT Server をバックアップのドメインコントローラとして存在させたい場合に使うらしい。が、なんと「混在モード」がデフォルトになってるので、そのままでは AD の新しい機能がほとんど使えない状態。そうきたか。。。
NT Server なんてものはないので、いさぎよくネイティブモードに。

管理ツールの「Active Directory ドメインと信頼関係」を起動し、当該ドメインを右クリック、「ドメインの機能レベルを上げる」をクリック。
機能レベルのプルダウンで「Windows Server 2003」を選択。なお、他のドメインコントローラも自動的に反映される。
ちなみに、一度レベルを上げると、二度と元には戻せないようなので、覚悟の上。。。

これで晴れて、グローバル・グループの入れ子ができました。あやうくアクセス権限のメンテナンスが異常にメンドくさくなるところでした。慣れないことをするもんでないな、と。
Windowsサーバ管理者がほすぃ。。。