連載
» 2001年03月10日 00時00分 公開

常時接続時代のSOHOネットワーク構築術(4):Windows 2000 Professionalを簡易サーバとして利用する

[清水理史,@IT]

 前回は、Windows Me同士を中心としたピア・ツー・ピアのネットワークを構築した。しかし、このようなピア・ツー・ピアのネットワークは、接続するPCの台数が少ない分には問題ないが、台数が増えてくるとパフォーマンスやセキュリティ、管理の面でいろいろと不都合が出てくる。そこで、今回は、前回構築したネットワークにサーバを追加してクライアント/サーバ型のネットワークに変更する方法を説明する。

ピア・ツー・ピア・ネットワークの限界

 手軽にファイルやプリンタを共有するという点においては、構築が簡単なピア・ツー・ピアのネットワークを利用するメリットは大きい。しかし、このようなネットワークは、あくまでもネットワークに接続するPCの台数が少ない場合のみに利用すべきだ。なぜなら、台数が増えてくると、パフォーマンスが低下する傾向が強く、セキュリティの確保が難しくなるからだ。

 まず、パフォーマンスに関してだが、これは共有ファイルや共有プリンタがユーザーの利用するPC上にある点に問題がある。例えば、自分のPCのフォルダを共有し、そのフォルダをほかのユーザーも使えるようにしたとする。この場合、そのPCは所有者が利用する以外に、ネットワーク上のほかのユーザーからのアクセス要求にもこたえなければならない。ネットワーク上のほかのユーザーが1〜2人程度なら、このようなアクセス要求にこたえても著しくパフォーマンスが低下することはないが、5〜10人のユーザーが常にアクセスするとなればパフォーマンスの低下は深刻な問題となる。

 一方、セキュリティに関してだが、これはWindows Meを利用する点に問題がある。Windows Meでは、ネットワークでファイルやプリンタを共有する機能は備えていても、これらの共有資源のセキュリティを確保する機能が貧弱となる。単にパスワードを設定できるだけなので、ユーザーごとにアクセス制限を設けたり、アクセスの種類を細かく制御したりすることはできない。

 もちろん、ピア・ツー・ピアのネットワークでも各PCのOSにWindows 2000 Professionalを利用すれば、ある程度のセキュリティは確保できる。しかし、Windows 2000 Professionalをピア・ツー・ピアのネットワークで利用すると、ユーザーの管理が煩雑になるという新たな不都合が発生する。Windows 2000はユーザーごとに共有資源のアクセス権を制御するため、ネットワーク上のユーザーを各PCに登録しなければならないからだ。この手間は、ネットワークに接続するPCの台数が多くなればなるほど煩雑になり、ネットワーク上のユーザーのだれか1人がユーザー名やパスワードを変更しただけでも、ネットワーク上のすべてのPCでユーザー設定を変更しなければならないことになる。

 では、このような不都合をどのように解消すればよいのだろうか。この答えは簡単だ。ピア・ツー・ピアのネットワークから、クライアント/サーバのネットワークに移行すればよいのだ。

サーバを用意するメリット

 クライアント/サーバのネットワークの特徴は、ファイルやプリンタの共有というサービスを提供する側のPC(サーバ)とサービスを利用する側のPC(クライアント)の役割がはっきりと分かれている点だ。ユーザーが普段利用するPCはクライアントとしてのみ動作し、ファイルやプリンタの共有は行わないようにする。その代わり、ネットワーク上にサーバとして動作する専用のPCを用意し、このPCでファイルやプリンタを共有することになる。

 こうしておけば、ネットワーク上のユーザーが多くなったとしてもサーバに対する負荷が高くなるだけで、ユーザーが利用しているPCには余計な負荷がかからない。また、サーバとして利用するPCにWindows 2000を利用すれば、アカウントごとに細かくセキュリティの設定をすることが可能となるうえ、ユーザーアカウントの管理をサーバに集中させることも可能となる。これなら、新たにアカウントやセキュリティの設定をする場合や既存の設定を変更する場合でも基本的にサーバ側のみ設定を変更するだけで済む。企業の各部門やSOHOなどといった5〜10人のユーザーが存在するネットワークでは、このようなクライアント/サーバのネットワークを利用した方が、パフォーマンス、セキュリティ、管理のどの点をとっても大幅な向上が見込めるわけだ。

図1 クライアント/サーバ型のネットワークに移行することで、パフォーマンスの向上、アカウントの集中管理が可能になるほか、ユーザー単位でのアクセス制御が可能になる。例えば、ユーザーAとユーザーBはサーバ側で登録されているため、共有フォルダやプリンタにアクセスできるが、ユーザーCは登録されていないため、アクセスを拒否される 図1 クライアント/サーバ型のネットワークに移行することで、パフォーマンスの向上、アカウントの集中管理が可能になるほか、ユーザー単位でのアクセス制御が可能になる。例えば、ユーザーAとユーザーBはサーバ側で登録されているため、共有フォルダやプリンタにアクセスできるが、ユーザーCは登録されていないため、アクセスを拒否される

 このように説明すると、クライアント/サーバのネットワークを構築するためにサーバ用のOSが必要になるのではないかと思うユーザーも少なくないだろう。しかし、実際にはサーバOSを利用しなくてもクライアント/サーバのネットワークを構築することはできる。ユーザー数が10人程度までであれば、Windows 2000 ServerのようなサーバOSを利用する代わりにWindows 2000 Professionalを利用すればよいのだ。

 確かに、Windows 2000 Serverを利用すれば、Active Directoryを利用してユーザーを効率的に管理できるうえ、ファイルやプリンタを共有した場合のパフォーマンスも高いなどの数々のメリットがある。しかし、10人程度のユーザー数のネットワークに10万円前後もするOSはやはり高価だ。まずは、Windows 2000 Professionalをサーバとして利用し、後々、管理やパフォーマンスの面で不都合が出てきた場合にWindows 2000 Serverに乗り換えればよいだろう。

 ちなみに、Windows 2000 Professionalでもマイコンピュータのプロパティから「詳細」タブを開き、「パフォーマンスオプション」で「バックグラウンドサービス」を選択することで、ある程度ファイル共有のパフォーマンスを向上させることができるので、小規模なネットワークなら十分にサーバとして利用することができる。

Windows 2000 Professionalをサーバとして設定する

 それでは、具体的にWindows 2000 Professionalをサーバとして利用する方法を説明していこう。

 まずは、Windows 2000 ProfessionalをインストールしたPCを1台用意する。インストールする方法は、通常のクライアントとして利用する場合とまったく同じで構わないが、1つ注意しておくとすればHDDのパーティショニングだ。できればPCに2台のHDDを装着し、1台目のディスクにはWindows 2000 Professionalのシステムのみをインストールし、2台目のディスクには共有するデータを保管するようにした方がよい。このようにシステム領域とデータ領域を分割しておけば、サーバとしてのパフォーマンスを向上させることができるうえ、障害時の対策もしやすい。HDDの物理的な障害などに対応するためにも、このような構成をとっておいた方が無難だろう。

図2 あらかじめ2つのHDDを用意しておき、システム領域とデータ領域を分けておけば、いざ障害の際の対策が容易になる 図2 あらかじめ2つのHDDを用意しておき、システム領域とデータ領域を分けておけば、いざ障害の際の対策が容易になる

 Windows 2000 ProfessionalをインストールしたサーバPCが用意できたら、具体的な設定作業に入る。まずは、ネットワークの設定からだが、これは前回紹介したピア・ツー・ピアのネットワークを構築する場合とまったく同じだ。クライアント、サーバともにコンピュータ名を設定し、ワークグループ名を同じに設定しておけばよい。

 ネットワークが利用できるようになったら、次にサーバにユーザーを登録する。前回も説明したとおり、Windows 2000ではシステムに登録されているユーザー以外のアクセスは拒否される。このため、ネットワーク上のクライアントで利用しているユーザー名とパスワードをサーバにも登録しておく必要がある。

 この手順は、Windows 2000 Professionalを利用したことがあるユーザーであれば、それほど難しくない。ローカルにユーザーを登録する手順と同様に、「マイコンピュータ」を右クリックして「管理」を起動し、「ローカルユーザーとグループ」の「ユーザー」にアカウントを追加すればよい。ちなみに、前回の連載「Guest」アカウントを有効にした場合は、ここで再び無効に設定しておこう。

 ただし、登録するユーザー名とパスワードは、ネットワーク上のユーザーがローカルで利用しているものと完全に一致させておく必要がある。クライアントにログオンするときに入力しているユーザー名とパスワードをほかのユーザーから教えてもらい、それとまったく同じものをサーバに登録しておこう。

画面1 ユーザーの追加、削除、変更は、「マイコンピュータ」を右クリック→「管理」で表示されるウィンドウで行える(画面をクリックすると拡大表示します) 画面1 ユーザーの追加、削除、変更は、「マイコンピュータ」を右クリック→「管理」で表示されるウィンドウで行える(画面をクリックすると拡大表示します

 これは、Windows 2000 Serverと異なり、Windows 2000 Professionalでは、真の意味でアカウントを集中管理することができないためだ。Windows 2000 Professionalでは、見かけ上サーバでアカウントを集中管理しているように見えるが、実際はサーバ側とクライアント側で個別にアカウントが管理される。具体的に説明すると、クライアントのローカルのアカウント情報をもとにユーザーがログオンし、そのアカウントとパスワードを使ってネットワーク経由でサーバにアクセス、このときにサーバがネットワーク上のユーザー名とパスワードとサーバのローカルに登録されているアカウントをチェックし、それをもとにアクセス制御するという仕組みだ。

 つまり、サーバのローカルとクライアントのローカルに、同一のアカウントが登録されていない限りアクセスできないことになる。要注意なのは、パスワードを定期的に変更しているような場合で、このときはクライアント側でパスワードを変更した後、それと同じものをサーバにも登録しなければならない。

図3 Windows 2000 Professionalをサーバに見立てたネットワーク上で管理されるアカウントは、実際にはクライアント側でも同一のアカウントが登録されている 図3 Windows 2000 Professionalをサーバに見立てたネットワーク上で管理されるアカウントは、実際にはクライアント側でも同一のアカウントが登録されている

共有フォルダにセキュリティを設定する

 サーバにアカウントを作成し、クライアントからアクセス可能になったら、具体的にファイルやプリンタを共有し、セキュリティを設定していこう。

 まずは、共有フォルダの作成方法だが、これはピア・ツー・ピアのときと同じだ。HDD上に任意のフォルダを作成し、右クリックして「共有」すればいい。

 続いて、セキュリティを設定していこう。サーバPCとしてWindows Meではなく、Windows 2000 Professionalを利用したメリットの1つはこの点にある。Windows Meでは、共有フォルダに対して、パスワードベースでしかセキュリティを設定できないため、「パスワードを知っている人」と「パスワードを知らない人」という大まかな分類でしかアクセスを制御することができないが、Windows 2000 Professionalでは、システムに登録したユーザー単位、もしくはグループ単位でアクセスを制御することができる。これを利用すれば、特定のユーザーやグループだけがアクセスできる共有フォルダを作成可能となり、企業などの組織単位に沿ったアクセス制御ができるようになるわけだ。

 具体的な設定方法としては、共有フォルダのプロパティから「セキュリティ」タブを開いて設定していく。ここでのポイントは、「共有」タブの「アクセス許可」ではなく、「セキュリティ」タブから設定することだ。Windows 2000では共有フォルダに対してセキュリティを設定する方法が、共有フォルダのセキュリティとNTFSのセキュリティの2通りあるが、どちらを利用するかによってセキュリティレベルが大きく変わってくる。

 この2つの違いは、適用を受ける範囲だ。共有フォルダのセキュリティは、ネットワークを介してアクセスしてきたユーザーにのみ適用されるセキュリティで、例えば特定のユーザーに対してアクセス拒否の設定を行ったとしても、実際にアクセスが拒否されるのはネットワーク経由でアクセスした場合のみで、そのユーザーがローカルログオンした場合には適用されないことになる。

図4 ユーザーAのみに共有フォルダへのアクセスを許可していても、ローカルからのアクセスにより他のユーザーでもアクセスが可能になってしまう。ここで、NTFSのセキュリティ機構を利用すれば、ローカルでのアクセスでもユーザーA以外はアクセス不可になる 図4 ユーザーAのみに共有フォルダへのアクセスを許可していても、ローカルからのアクセスにより他のユーザーでもアクセスが可能になってしまう。ここで、NTFSのセキュリティ機構を利用すれば、ローカルでのアクセスでもユーザーA以外はアクセス不可になる

 これに対して、NTFSのセキュリティはファイルシステム上でアクセスを制御するため、ユーザーがネットワーク経由でアクセスした場合だろうが、ローカルログオンしてアクセスした場合だろうが、設定したセキュリティが必ず適用される。つまり、NTFSのセキュリティを利用した方が、より強固なセキュリティを設定できるわけだ。特にWindows 2000 Professionalのように、システムに登録されたユーザーがローカルログオンできてしまうようなOSをサーバとして利用する場合は、NTFSでセキュリティを設定しておかないと事実上意味がないことになる。

 それでは、実際にNTFSのセキュリティを設定していこう。まず、「セキュリティ」タブを開き、画面下の「継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする」のチェックを外す。これは、標準で設定されているセキュリティを継承しないようにする設定だ。Windows 2000は、標準では親オブジェクト、つまりセキュリティを設定する上位のフォルダのセキュリティ設定が自動的に継承されるため、目的のフォルダに親オブジェクトとは異なる設定をしたい場合は、必ずこのチェックを外しておかなければならない。チェックを外すと、親オブジェクトの設定をコピーするか、削除するかという選択画面が表示されるが、削除するとシステムや管理者のアクセス権限なども削除されてしまうので、コピーを選んでおこう。

 続いて、標準で設定されている「Everyone」の設定を削除する。標準では、親オブジェクトから「Everyone」(すべてのユーザー)に対して、「フルコントロール」(すべてのアクセスを許可)の設定が継承されている。これを削除しておかないと、ユーザーごとにアクセス制限をかけたい場合に、思わぬ結果を生むことになりかねない。

 例えば、システムにA、B、Cという3人のユーザーが登録されていたときに、Aだけがアクセスできるセキュリティを設定したいとする。この場合、Aだけにアクセスを許可する設定をしたとしてもEveryoneにフルコントロール権限が設定されている限り、BやCなどシステムに登録されているすべてのユーザーが自由にアクセスできてしまう。もちろん、A以外のアクセスを拒否する設定にすれば、Everyoneにフルコントロールが与えられていても目的の設定にすることができるが、システムに多くのユーザーが登録されている場合は、そのユーザーすべてを登録しなければならないため設定が面倒となる。

図5 特定のユーザーにのみアクセス許可を施す場合には、「Everyone」を削除して、そのユーザーへのアクセス許可を記述するほうが効率的だ 図5 特定のユーザーにのみアクセス許可を施す場合には、「Everyone」を削除して、そのユーザーへのアクセス許可を記述するほうが効率的だ

 しかし、あらかじめEveryoneのフルコントロール設定を削除しておけば、単にAだけにアクセス許可を与えるだけで済む。セキュリティの設定は、なるべくシンプルにしておかないと思いどおりの設定ができないことが多いので、特定のユーザーだけにアクセス権を与えたい場合は、Everyoneの設定を削除しておこう。

画面2 フォルダへのアクセス許可/拒否を施すには、フォルダのプロパティを開き、セキュリティタブのメニューで設定を行う(画面をクリックすると拡大表示します) 画面2 フォルダへのアクセス許可/拒否を施すには、フォルダのプロパティを開き、セキュリティタブのメニューで設定を行う(画面をクリックすると拡大表示します

 ただし、これとは逆に特定のユーザーのアクセスだけ拒否したい場合は、Everyoneをうまく活用した方が効率的だ。例えば、ユーザーAだけがアクセスできないようにしたいのであれば、Everyoneにフルコントロール権限を与えたまま、ユーザーAにフルコントロール拒否の設定をすればよい。Windows 2000では、矛盾したセキュリティ設定がある場合に、より強い設定を優先するというルールがあるので、この特性をうまく活用するとよいだろう。

グループを活用して効率的にセキュリティを設定しよう

 ここまで準備ができれば、後は環境に合わせてセキュリティ設定をすればよい。「追加」ボタンを押し、アクセスを許可、または拒否したいユーザーを追加、そのユーザーに対してのアクセス権を設定すればよい。

 ただし、ユーザーに対してセキュリティを設定するのはあまりお勧めできない。ユーザーごとにセキュリティを設定すると、ユーザーが多い場合の設定が煩雑になるうえ、ユーザーが追加されるたびに複数のフォルダのセキュリティを変更する手間が発生するからだ。

 よって、より効率的にセキュリティを設定したいのであれば、グループを活用すべきだ。ユーザーを追加したときに利用した「コンピュータの管理」で、「グループ」を選び、そこに新規のグループを作成。作成したグループにユーザーを追加しておき、このグループに対してセキュリティを設定する。経理部や営業部など、部署単位ごとにグループを作成して、セキュリティを設定しておけば、会社の組織に合わせた設定が容易にできるうえ、後からユーザーが増えたとしてもグループにユーザーを追加するだけで、そのグループに設定されたセキュリティが自動的に適用されるようになる。

画面3 ユーザーごとにアクセス権限を設定するよりも、グループを作成して、グループごとにアクセス制御を行ったほうが管理が容易になる(画面をクリックすると拡大表示します) 画面3 ユーザーごとにアクセス権限を設定するよりも、グループを作成して、グループごとにアクセス制御を行ったほうが管理が容易になる(画面をクリックすると拡大表示します
画面4 グループを作成したら、そのグループに所属させたいユーザーを追加する(画面をクリックすると拡大表示します) 画面4 グループを作成したら、そのグループに所属させたいユーザーを追加する(画面をクリックすると拡大表示します
画面5 グループへのユーザーの追加が終わったら、こんどはグループに対してアクセス権限を設定する(画面をクリックすると拡大表示します) 画面5 グループへのユーザーの追加が終わったら、こんどはグループに対してアクセス権限を設定する(画面をクリックすると拡大表示します
図6 もし、新しいユーザーを追加することになっても、特定のグループに所属させるだけで、そのグループがもつセキュリティが自動的に適用される 図6 もし、新しいユーザーを追加することになっても、特定のグループに所属させるだけで、そのグループがもつセキュリティが自動的に適用される

 これなら、ユーザーが多数登録されていたとしてもセキュリティの設定はシンプルになるうえ、後からユーザーが増えた場合の手間もかからない。セキュリティを設定する場合は、グループを活用して、効率的に設定を行うとよいだろう。

 以上、Windows 2000 Professionalをサーバとして利用する方法を説明したが、1つ注意しておかなければならない点を付け加えておく。それはクライアントアクセスライセンスの問題だ。Windows 2000 Professionalをサーバとして利用する場合、同時にアクセスできるクライアントは、ライセンスの関係上、10台に制限される。このため、ネットワーク上に10台以上のPCがあり、これらのPCが同時にサーバにアクセスする状況などでは利用できないことになる。Windows 2000 Professionalをサーバとして利用できるのは、あくまでも小規模なオフィスの場合のみと考え、中規模、大規模なネットワークの場合はWindows 2000 Serverを利用すべきだろう。Windows 2000 Serverを利用したネットワークの構築については、次回以降で説明していく。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。