Windows TIPS ディレクトリ

ユーザー・アカウント/グループ

更新日:2006/03/31

 サブディレクトリ
 ユーザー・アカウント/グループ
ドメインとワークグループの見分け方
Windowsネットワークには、ドメイン・ネットワークとワークグループ・ネットワークの2種類がある。 / あるコンピュータがどちらの形態で運用されているかは、ログオン・ダイアログやシステムのプロパティなどを調べることによって見分けることができる。 / 現在ログオンしているユーザー名を調べるには、セキュリティ・ダイアログを使うのが簡単でよい
リモート・ログオン・ユーザーからのファイル・アクセスを制限する
リモート・デスクトップは便利な機能だが、万一悪用されるとコンピュータが完全に支配されてしまうという問題がある。 / このため機密性の高い一部のファイルについて、リモート・デスクトップなどで遠隔地からリモート・ログオンした場合には、アクセスを禁止したいケースがある。 / リモート・デスクトップでログオンしたユーザーにはREMOTE INTERACTIVE LOGONというローカル・グループが自動的に割り当てられるので、このグループに対してアクセス設定を行えば、リモート・ユーザーにのみ適用されるアクセス制御を実現できる。
Administratorとは?
Windows NT系OS(NT/2000/XP)では、複数のユーザーが1台のコンピュータ資源を共有する可能性も踏まえ、ユーザーごとに異なる権限を与えて使用させることができるようになっている/デフォルトの管理者アカウントはAdministratorであり、パスワードはWindowsのインストール時に指定する/初心者を意識して、Windows XPでは、Administratorアカウントが可能な限り隠蔽され、これを意識しなくてもWindowsを使えるようにされた。
Windows XPで変わったユーザー/コンピュータ/グループの選択方法
Windows XPでファイルのアクセス権を設定したり、管理ツールでセキュリティを設定したりする場合は、ユーザーやグループを選択するダイアログボックスを使用する。しかしこのダイアログボックスの形式がWindows 2000のものとは異なっている /デフォルトでは名前などの一覧が表示されていないので、最初に検索を行ってオブジェクトのリストを取得し、そこから必要なものを選択する。
大量のユーザー・アカウントを一括登録する
リソースキットのツールを使って、ユーザーやグループ・アカウントを一括登録する方法。
パスワード・リセット・ディスクの使い方
Windows XPでは、パスワード・リセット・ディスクと呼ばれるフロッピーを作成しておくことで、ユーザーが自分のパスワードを忘れた場合でも、管理者に頼らずに、自分でパスワードをリセットし、新しいパスワードを設定できるようになった/ただしこれでリセットできるのはコンピュータのローカル・ユーザー・アカウントのみで、ドメインのユーザー・アカウントには適用できない。
ログオンを省略してWindows 2000を利用できるようにするには(レジストリによる設定法)
コンピュータの起動時、ログオン プロンプトでのユーザー名、パスワードの入力を省略して、すぐにコンピュータを利用可能にする方法。危険性は高いが、ドメイン環境でも有効なレジストリを操作する方法。
一時的にほかのユーザー権限でプログラムを実行する方法(ショートカットのプロパティを利用する方法)
Windows NT系OSでは、ユーザーに一定の権限を割り当て、権限に応じて、操作可能なことと、操作不可能なことを区別できる。 / システムの変更を伴う操作では管理者権限が必要だが、普段一般ユーザー権限でコンピュータを利用している場合、管理者権限を持つユーザーの再ログオンが必要になる。 / 繰り返しこのような作業が発生するなら、プログラムのショートカットを利用することで、一般ユーザーでログオンしたまま、特定のプログラムだけを管理者権限で実行することができる。
ログオンを省略してWindows 2000を利用できるようにするには(GUIによる設定法)
コンピュータの起動時、ログオン プロンプトでのユーザー名、パスワードの入力を省略して、すぐにコンピュータを利用可能にする方法。安全だが機能性にやや制限があるGUIによる方法。
一時的にほかのユーザー権限でプログラムを実行する方法(ショートカット・メニューを利用する方法)
Windows 2000/XPにはユーザー管理機能があり、管理者権限のない通常のユーザーは、システム構成を変更するなど、システムに重大な影響を及ぼす操作が禁止されている。 / しかしプログラムの中には、例えばWindows Updateなど、実行には管理者権限が必要とするものもある。 / 管理者でログオンしなおせばよいのだが、それが面倒なら、特定のプログラムだけ、別のユーザー権限で実行する方法が用意されている。
「ようこそ」画面でログオン・ダイアログを表示する
Windows XPでは、「ようこそ」画面に一覧されたユーザー名をクリックしてログオンできるようになった/しかし必要なら、Windows 2000同様のログオン・ダイアログを表示させることができる/「ようこそ」画面の一覧にないAdministratorアカウントでログオンするときにはこの方法が有効である。
オブジェクトを識別するSIDとは?
Windows NT系のOSでは、ユーザー・アカウントなどのオブジェクトはすべて、表に表示される名前ではなく、SIDという内部的な数値を使って管理されている。 / 通常、SIDがユーザーの目に触れることはないが、アカウントの削除やドメイン・コントローラへの接続トラブルなどの事態が発生すると、SIDがそのまま表示される場合がある。
VPNのアカウント・ロックアウトを有効にする
Windows 2000 Serverは、標準でVPNサーバ機能を持っている。 / しかしデフォルトでは、何度パスワード認証に失敗してもリトライできる設定になっており、ブルート・フォース攻撃対策は十分ではない。 / リモート・アクセスのアカウント・ロックアウトを設定することで、一定回数以上パスワード認証を間違えたら、一定時間、アカウントをロックアウト(無効化)させることができる。
ドメインにログオンしていないクライアントから共有資源にアクセスする
通常、ドメイン環境で提供されている共有資源にアクセスするには、ドメインにログオンする必要がある。 / しかし、クライアントがWindows NT/2000/XPなら、ローカル・アカウントでログオンしていても、接続時にユーザー名を別途指定することで、ドメイン上のユーザー・アカウントの資格情報で共有資源に接続できる。
ユーザー・アカウントのロックアウトを解除する
辞書攻撃などを悪用した不正侵入からシステムを守るには、一定回数以上ログオンに失敗したユーザーのアカウントをロックアウトする設定にしておく。 / しかし不正アクセスではない正規のユーザーでも、繰り返しログオンに失敗する場合がある。一度アカウントがロックアウトされてしまうと、その後正しいパスワードを入力してもログオンできず、ユーザーにはその原因が分からない。 / この場合には、管理者がユーザーのロックアウトを解除する必要がある。
ドメインのユーザー・パスワードを変更する
パスワードの安全性を高めるには、定期的にパスワード文字列を変更するのがよい。 / ユーザーが自発的にドメインのパスワードを変更する方法を説明する。
Active DirectoryのUsers/Computersコンテナをリダイレクトする
ユーザーやコンピュータ・オブジェクトは、デフォルトではUsersやComputersコンテナの中に作成される。 / コンテナにはグループ・ポリシーを適用できないため、UsersやComputersコンテナのオブジェクトだけに適用させるのは簡単ではない。 / リダイレクト機能を利用すると、UsersとComputersコンテナを任意の組織単位に割り当て、グループ・ポリシーを適用させることができる。
現在ログオン中のユーザー名を調べる
トラブルシューティングなどでは、現在ログオン中のユーザー名を調べる必要がある。 / ユーザー名を調べるには、Windowsセキュリティ・ダイアログを見るのが簡単でよい。 / whoamiコマンドや環境変数を使う方法もある。 / Telnetのセッションはtlntadmnコマンドで調べる。
キャッシュされたログオンを無効にする
Windows OSには「キャッシュされたログオン」機能があり、ネットワークに接続されていなくても、以前のドメイン・ログオン資格情報を使ってコンピュータにログオンすることができる。 / キャッシュされたログオン状態ときでも暗号化されたファイルにもアクセスできるため、場合によってはセキュリティ的に問題がある。 / キャッシュされたログオンを無効にするには、レジストリを変更する。 / ただしノートPCでこの設定を行うと、オフライン時にはドメイン・ユーザー・アカウントではログオンできなくなる。
アカウントを指定してIPC$共有リソースへ接続する
ファイル共有サービスへ接続する場合は、最初にIPC$という共有リソースへの接続が行われる。 / IPC$への接続時にユーザー名を指定することにより、任意のアカウント情報を使ってリソースへ接続することができる。
安全性の高いランダムなパスワードを生成し、パスワードを変更する
パスワードは、簡単に類推できない、できるだけランダム性の高い文字列の方が安全性が高い。しかしランダムな文字列を考えるのは苦痛である。/「net user」コマンドの隠しオプションである「/random」を使えば、ランダムなパスワードを生成し、これを割り当てることが可能である。
Windows XPにネットワーク接続できない
デフォルト状態のWindows XPでは、空のパスワードのアカウントであっても、コンソールからのログオンは可能である。しかし、ネットワーク経由での各種のサービス(ファイル共有、リモート・デスクトップ接続、telnet接続など)は不可能となっている。これを可能にするには、ローカル・セキュリティ・ポリシーを変更する。
リモート・コンピュータの使用者を特定する
あるコンピュータの使用者を特定するには、リモートから接続して、ユーザー・プロファイル・フォルダの名前を調べるという方法がある。 / ユーザー・プロファイル・フォルダへは、\\コンピュータ名\C$\Documents and Settingsというパス表記を使ってアクセスすることができる。
不要になったユーザー・プロファイルを削除する
ユーザー・プロファイルには、ユーザーごとのレジストリ情報やデスクトップ設定、ユーザー・ドキュメントなどが格納されている。 / ユーザー・プロファイルは、ユーザーが最初にログオンしたときに作成されるが、自動的に削除されることはない。 / 不要になったプロファイルを削除すれば、ディスクの空き領域を増やし、フラグメントなどを軽減することができる。


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間