Windows Server 2012を使用する場合、Active Directoryを構成するケースが多いと思われる。ただ、初期状態ではActive Directoryは構成していないし、場合によってはActive Directoryを構成しないでワークグループ環境で運用することもあるだろう。

そこで、その際に必要となるローカルアカウント管理について解説していく。ユーザーアカウントを集中管理できるActive Directoryよりもワークグループ環境の方が、パスワード情報の管理・保守には神経を使わなければならないが、必要なときは必要だ。

ユーザーアカウントの作成

まず、ローカルユーザーアカウントの作成からである。ここで使用するのは[コンピューターの管理]管理ツールで、以下の手順で作成する。

  1. [スタート]画面の[管理ツール]以下にある[コンピューターの管理]をクリックする。

  2. [コンピューターの管理]管理ツール左側のツリー画面で、[コンピューターの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[ユーザー]とツリーを展開して選択する。

  3. この状態で画面中央には、ローカルユーザーアカウントの一覧を表示している。そこで[操作]-[新しいユーザー]、あるいは画面中央の一覧で右クリックして[新しいユーザー]を選択する。

  4. [コンピューターの管理]管理ツールで、新しいユーザーアカウントの作成を指示する

  5. 続いて表示するダイアログで、ログオン名(項目名は[ユーザー名])、表示名(項目名は[フルネーム])、それとパスワードを指定する。パスワードについては、確認のために二度の入力が必要なのは毎度のことである。[説明]は必須ではないが、必要に応じて説明文を入れればよい。
  6. [新しいユーザー]ダイアログで、ユーザー名、フルネーム、パスワードを指定する

  7. このダイアログでは、次回ログオン時にパスワードの変更を強制するかどうかの設定や、パスワードの無期限化、アカウントの無効化といった設定も可能だ。

  8. [作成]をクリックすると、ユーザーアカウントを作成する。ダイアログはそのまま閉じないので、最後に[閉じる]をクリックして明示的に閉じる必要がある。

ユーザーアカウントのプロパティ変更

こうして作成したローカルユーザーアカウントは、[コンピュータの管理]管理ツールで[コンピューターの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[ユーザー]とツリーを展開して選択すると、画面中央の一覧画面に現れる。

そこでユーザーアカウントをダブルクリックするか、あるいは[操作]-[プロパティ]や右クリックメニューの[プロパティ]を選択すると、アカウント設定の確認・変更が可能になる。

Active Directoryと異なり、ローカルアカウントで設定できるプロパティ情報は比較的少ない。Windows Server 2008では全部で9枚のタブがあるが、使用頻度が高いのは以下のタブだろう。ここに挙げたもの以外は、リモートデスクトップ接続に関連するものである。

全般 : フルネーム、説明文、パスワード関連項目の設定変更が可能(ここでは、ユーザー名は変更できない)。ここで[アカウントを無効にする]チェックボックスをオンにすると、当該ユーザーアカウントは無効になり、ログオンや認証が不可能になる。Active Directoryと違って、アカウントの期限を指定することはできない。

ユーザーアカウントのプロパティ画面([全般]タブ)

所属するグループ : ユーザーアカウントが所属しているグループの指定を行う。グループについては次回に解説するので、ここでは解説を割愛する。

・ダイヤルイン : ダイヤルアップ接続、あるいはVPN(Virtual Private Network)によって、外部からLANに接続する、いわゆるリモートアクセスを行えるかどうかを指定する。ネットワークアクセスポリシーに基づいて制御することになっており、かつての[アクセスを拒否]とは既定値が異なる。ダイヤルアップ接続やVPNを利用しない限りは、出番のないタブといえる。

[ダイヤルイン]タブは、ダイヤルアップ接続、あるいはVPNによるリモートアクセスの設定に使用する

いずれのタブでも、情報の入力、あるいは変更を行ってから[OK]をクリックしてダイアログを閉じると、設定を変更する。

ログオン名の変更とユーザーアカウントの削除

ローカルユーザーアカウントのプロパティ画面にある[全般]タブでは、表示名の変更は可能だが、ログオンに使用するユーザーアカウント名(ログオン名)の変更はできない。

これを変更するには、[コンピュータの管理]管理ツールで[コンピューターの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[ユーザー]とツリーを展開して選択すると現れるユーザー一覧画面で、目的のユーザーアカウントを選択してから、[操作]-[名前の変更]、あるいは右クリックメニューで[名前の変更]を選択する。

すると、一覧に表示している内容のうち、左端の[名前]が変更可能な状態になるので、そこで新しいログオン名を入力してから[Enter]キーで確定すればよい。

ユーザー一覧画面で名前の変更を指示する

[名前]の変更が可能になる。これはユーザーログオン名で、表示名ではない

また、ユーザーアカウントの削除は、同じメニューにある[削除]を使用する。

ワークグループ環境におけるパスワード管理

ユーザーアカウント情報を集中管理できるActive Directoryであれば、ドメインアカウントのパスワードを変えるだけで済むのに対して、ワークグループ環境ではすべてのコンピュータで個別にパスワード変更作業を行わなければならない。

パスワード変更は、ログオン中のコンピュータで[Ctrl]+[Alt]+[Del]キーを押すと表示する[Windowsのセキュリティ]画面で[パスワードの変更]を選択して行う。ただし、複数のコンピュータで個別に、しかもいちいち手作業で作業を行うため、パスワード変更時の設定ミスによって食い違いが生じるリスクが増すと考えられる。

一般的なパスワード変更画面と同様、Windowsでも「旧パスワード」に加えて「新パスワード」「新パスワードの確認入力」と二度の入力を求めることで、入力ミスに起因する食い違いを抑制しているが、二度とも間違えればどうにもならない。

コンピュータごとにパスワードが食い違うと、共有フォルダに接続する等の場面で、(パスワードが揃っていれば表示しないはずの)認証画面が現れて、パスワードの入力を求められる事態になる。しかも、意図的な食い違いではないのだから、どのコンピュータでどんなパスワードを設定したか、ユーザー本人が把握していない可能性が高い。

そのため、こうした場面では管理者がすべてのコンピュータについて個別に、当該ユーザーアカウントに対して新しいパスワードを再設定した上で、それをユーザー本人に知らせる必要がある。そこで、ユーザーアカウントの作成や設定変更だけでなく、パスワードのリセットについても取り上げることにする。

管理者によるパスワード再設定

ユーザーがパスワードを忘れてしまった、あるいはパスワード変更時の操作ミスが原因でログオンできなくなった、といった場面では、管理者が新たにパスワードを再設定して対処する。

  1. [スタート]画面の[管理ツール]以下にある[コンピューターの管理]をクリックする。

  2. [コンピューターの管理]管理ツール左側のツリー画面で、[コンピューターの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[ユーザー]とツリーを展開して選択する。

  3. この状態で画面中央には、ローカルユーザーアカウントの一覧を表示している。そこで[操作]-[パスワードの設定]、あるいは画面中央の一覧で右クリックして[パスワードの設定]を選択する。

  4. ユーザーアカウントの右クリックメニューで、[パスワードの設定]を選択する

  5. まず、警告画面を表示する。パスワードを再設定すると、利用不可能になる機能や情報が存在するためである。具体的には、NTFSの暗号化ファイルシステム(EFS)を使って暗号化したファイル、個人セキュリティ証明書、格納されたパスワードのことである。
  6. パスワードの再設定を行おうとすると表示する警告画面

  7. [続行]をクリックすると表示する以下の画面で、新しいパスワードを指定する。確認のために同じものを二度入力するのは通例通りだ。[OK]をクリックすると、新しいパスワードが有効になる。
  8. 続いて表示するパスワード設定画面

  9. パスワードを再設定したら、新しいパスワードをユーザー本人に伝える。

なお、セキュリティ上の理由からサーバに対してユーザーのローカルログオンを認めないように設定している場合には、ユーザーが自らログオンしてパスワードを変更することができない。その場合、管理者がログオンしてパスワードの再設定操作を行い、パスワードを入力するところだけユーザー本人にやってもらうしかないだろう。