話がいささか前後するが、今回から3回に分けて、ユーザーアカウントの管理について解説していこう。
Active Directoryでは、ユーザーアカウントの情報はドメインコントローラが集中管理するため、Active Directory用の管理ツール(Active Directoryユーザーとコンピュータ)を用いて作成・設定変更・削除などの操作を行えば、それで全体を管理することになる。しかし、Active Directoryを使用しない、いわゆるワークグループ環境では、個々のサーバやクライアントPCごとに、ユーザーアカウントの管理を行わなければならない。
以下で解説する内容はWindows Server 2008を前提としているが、他のWindowsサーバ、あるいはクライアント用のWindowsでも、同じ要領で作業を行える場合が多い。ただしエディションによっては[コンピュータの管理]管理ツールに[ローカルユーザーとグループ]が存在しない場合があり、その場合にはNET LOCALGROUPコマンドによる操作が必要になってしまう。このコマンドについては別途、他のユーザー管理系のコマンドと併せて取り上げることとしたい。
アクセス権はグループに対して設定する
共有アクセス権でもNTFSアクセス権でも、アクセス権を設定する対象としては、「ユーザー」と「グループ」の2種類がある。グループとは複数のユーザーアカウントをまとめた単位だ。そして、ここで「継承」のルールが関わってくる。
つまり、グループに対してアクセス権を設定すると、それはグループのメンバーになっているユーザーアカウントも継承する、という意味になる。だから、たとえばユーザーA・B・Cの3名に対して個別にアクセス権の設定を行っても、その3ユーザーが所属するグループDに対してアクセス権を行っても、結果は同じになる。
そして、グループDに対してユーザーEを追加すれば、メンバーに加わったユーザーEにも、グループDに割り当てたものと同じアクセス権が適用される。逆に、グループDからユーザーEを削除すれば、ユーザーEはアクセス権の適用対象からも除外される。
ということは、個別のユーザーアカウントに対してアクセス権を設定するよりも、グループに対してアクセス権を設定して、グループのメンバーを追加、あるいは削除する方法でアクセス権をコントロールする方が効率的で、しかも間違いが少ない。
もちろん、設定するアクセス権の内容に複数の種類があるときには、それぞれに対応して複数のグループを用意しなければならないが、それでもユーザーアカウントごとにアクセス権を設定するよりは楽だ。
ユーザーアカウントの作成
とはいえ、まずユーザーアカウントが存在しないことにはグループのメンバーも存在しないことになるので、先にユーザーアカウントの作成手順について解説する。
Windows XP/Vista/7では、コントロールパネルにユーザーアカウント管理用の機能があり、アカウントの追加や削除を簡単に行える。しかし、これを使用するとグループの管理が行えないので、本稿では[コンピュータの管理]管理ツールを使用する方法について解説する。
1. [スタート]-[管理ツール]-[コンピュータの管理]をクリックして、[コンピュータの管理]管理ツールを起動する。(Windows Server 2008の場合、デスクトップや[スタート]メニュー以下の[コンピュータ]で右クリックして[管理]を選択すると、[サーバーマネージャ]が起動してしまう点に注意)
2. 左側のツリー画面で、[コンピュータの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[ユーザー]を選択する。
3. [操作]-[新しいユーザー]、あるいは右側の一覧で右クリックして[新しいユーザー]を選択する。
4. 続いて表示するダイアログで、以下の情報を指定する。
- ユーザー名(ログオン名)
- フルネーム(表示用の名前)
- 説明
- パスワード
- ユーザーは次回ログオン時にパスワード変更が必要 (既定値でオン)
- ユーザーはパスワードを変更できない
- パスワードを無期限にする
- アカウントを無効にする
5. [ユーザーは次回ログオン時にパスワード変更が必要]をオンにすると、そのユーザーアカウントを使って最初にログオンした直後に、パスワードを変更するよう求めてくる。これは初期設定したパスワードをそのまま使い続ける事態を強制的に回避するための設定だが、ユーザー情報を集中管理できるActive Directoryと異なり、個々のコンピュータごとにパスワード情報を保守しなければならないワークグループ環境では混乱の原因になりやすい。オフにしておく方が無難だろう。
6. [ユーザーは次回ログオン時にパスワード変更が必要]をオフにすると、その下にある[ユーザーはパスワードを変更できない]と[パスワードを無期限にする]のオン/オフが変更可能になる。[ユーザーはパスワードを変更できない]をオンにしておくと、パスワードを変更できるのは管理者だけになる。
7. 設定した内容に問題がなければ、[作成]をクリックする。これでユーザーアカウントを作成できる。
8. 作成後もダイアログはそのままなので、引き続き別のユーザーアカウントを追加できる。追加がすべて終わった場合、あるいはユーザーアカウントの作成を中止する場合には、[閉じる]をクリックする。
ローカルアカウントでは、Active Directoryと違ってOU(Organizational Unit, 組織単位)という仕組みが存在しないので、アカウントを作成する場所という概念は存在しない。すべて同じ場所に並ぶことになる。
ユーザーアカウントの削除
作成したユーザーアカウントは、以下の手順で削除できる。
1. [スタート]-[管理ツール]-[コンピュータの管理]をクリックして、[コンピュータの管理]管理ツールを起動する。(Windows Server 2008の場合、デスクトップや[スタート]メニュー以下の[コンピュータ]で右クリックして[管理]を選択すると、[サーバーマネージャ]が起動してしまう点に注意)
2. 左側のツリー画面で、[コンピュータの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[ユーザー]を選択する。
3. 画面にユーザーアカウントの一覧が現れる。そこで削除するユーザーアカウントを選択してから、[操作]-[削除]、あるいは右クリックして[削除]を選択する。
4. 続いて表示する確認メッセージで[はい]をクリックすると、削除が行われる。ファイルの削除と異なり、「ゴミ箱」がない点に注意したい。
ローカルアカウントでもActive Directoryの場合と同様に、個々のユーザーアカウントにはそれぞれ重複のないSID(Security Identifier)を割り当てる設計になっている。そのため、同一の名前を持つユーザーアカウントを再作成しても同じ結果にはならない。
だから、不要になったユーザーアカウントはとりあえず無効化しておき、後で削除する方が確実だ。ユーザーアカウントの無効化はプロパティの変更にも関わる問題なので、次回にまとめて解説する。