連載
» 2001年05月29日 00時00分 公開

NT管理者のためのActive Directory入門(2):アカウントの登録と管理

[木村尚義,グローバル ナレッジ ネットワーク インク]

 前回は、Windows 2000の管理ツール「Active Directoryユーザーとコンピュータ」の設定項目を中心に、Active Directoryのアカウント管理の仕組みを紹介してきた。今回は実際に、このツールを利用して各種設定を行ってみる。

ユーザーアカウントの登録

 では、実際のユーザーアカウント登録作業を見てみよう。

ユーザーの新規追加

 「スタート」→「プログラム」→「管理ツール」→「Active Directoryユーザーとコンピュータ」を選択すると、「Active Directoryユーザーとコンピュータ」が起動する。左側のツリーの一覧から「Users」を選んで右クリックすると、新規作成サブメニューが表示されるので、「ユーザー」を選択する。

画面1 管理ツール「Active Directoryユーザーとコンピュータ」の起動画面(画面をクリックすると拡大表示します) 画面1 管理ツール「Active Directoryユーザーとコンピュータ」の起動画面(画面をクリックすると拡大表示します)

 「新しいオブジェクト-ユーザー」ダイアログボックスが開くので、姓、名、フルネーム、ユーザーログオン名を入力する。

画面2 画面1でユーザーの新規作成を行うと、上記のダイアログが表示される(画面をクリックすると拡大表示します) 画面2 画面1でユーザーの新規作成を行うと、上記のダイアログが表示される(画面をクリックすると拡大表示します)

 次にパスワードを入力する。

画面3 パスワードの入力画面。デフォルトでは、ユーザーは次回のログオン時にパスワードの変更が必要になるが、ここで設定を変更することもできる(画面をクリックすると拡大表示します) 画面3 パスワードの入力画面。デフォルトでは、ユーザーは次回のログオン時にパスワードの変更が必要になるが、ここで設定を変更することもできる(画面をクリックすると拡大表示します)

 最後に確認画面が表示される。

画面4 登録内容の確認画面(画面をクリックすると拡大表示します) 画面4 登録内容の確認画面(画面をクリックすると拡大表示します)

組織単位(OU)の登録

 ユーザーアカウント登録と同じ手順で新規作成メニューから組織単位(OU)を選び、名前を入力するだけで作成できる。

登録したユーザーの検索

 Windows 2000では、登録したアカウントを検索することも簡単になった。

 例えば、今作成したユーザーアカウントが、いったいどこにあるのか探す場面も多いと思う。Windows NTの「ドメインユーザーマネージャ」でユーザーを検索する場合は、ユーザー名かフルネームでソートしたあと、スクロールバーでユーザーを探すか、キーボードからすばやく目的のユーザーアカウント名を入力する必要があった。

 Windows 2000の「Active Directoryユーザーとコンピュータ」では、このようなときにこそ検索機能を利用する。手順は以下のとおりである。

 検索する場合は、OUもしくはドメインで右クリックで検索を選ぶ。

画面5 検索を行うには、右クリックメニューで「検索」を選択する 画面5 検索を行うには、右クリックメニューで「検索」を選択する

 「ユーザー、連絡先およびグループを検索します」ダイアログボックスが表示されるので、名前を入力する。

画面6 検索の成功例。この場合は、「木村」という名前をキーワードに検索している(画面をクリックすると拡大表示します) 画面6 検索の成功例。この場合は、「木村」という名前をキーワードに検索している(画面をクリックすると拡大表示します)

 検索されたユーザーをダブルクリックすると(マウスの右クリックで表示されるメニューで「プロパティ」を選択してもよい)、ユーザーアカウントのプロパティが表示されるので、変更したい項目があれば入力する。

画面7 検索したユーザーのプロパティをそのまま変更することも可能だ(画面をクリックすると拡大表示します) 画面7 検索したユーザーのプロパティをそのまま変更することも可能だ(画面をクリックすると拡大表示します)

 検索したユーザーアカウントは、右クリックメニューでOUに移動ができる。複数のユーザーを選択したい場合は、「Shift」+「Ctrl」とマウスの左クリックを組み合わせて選択する。選択したあとに右クリックすれば「移動」サブメニューが表示されるので、検索対象のアカウントを一度に移動することが可能である。

 また、検索の際に複数の条件で絞り込むこともできる。会社の部署とは無関係に、「東京に住まいを持つ」ユーザーだけを表示させることも可能だ。表示されたユーザーやグループは、まとめてOUに移動することができるため、たいへん便利だ。

その他のリソースの登録

グループの登録

 グループには、連載の第1回目で紹介したように「セキュリティグループ」と「配布グループ」とがある。混在モードの場合は、ユニバーサルグループを除き、「セキュリティグループ」にすることができる。

画面8 Active Directory混在モードでは、ユニバーサル以外のグループを「セキュリティグループ」にすることができる(画面をクリックすると拡大表示します) 画面8 Active Directory混在モードでは、ユニバーサル以外のグループを「セキュリティグループ」にすることができる(画面をクリックすると拡大表示します)

 グループを作成したあとは、プロパティを登録する。セキュリティグループは配布グループの機能を包括しているため、グループの電子メールアドレスが登録できる。

画面9 セキュリティグループには、グループの電子メールアドレスを設定することもできる(画面をクリックすると拡大表示します) 画面9 セキュリティグループには、グループの電子メールアドレスを設定することもできる(画面をクリックすると拡大表示します)

コンピュータの登録

 該当するPCを登録したいOUを選択。右クリックして表示されるメニューから「新規作成」→「コンピュータ」を選ぶ。

画面10 「コンピュータの登録」画面(画面をクリックすると拡大表示します) 画面10 「コンピュータの登録」画面(画面をクリックすると拡大表示します)

 あるPCをActive Directoryドメインに参加させるには、Windows NTのときと同様に、クライアント側でもドメインに参加させる作業が必要である。この場合、ドメインに参加させたいクライアントで操作する手順は次のとおりである。

 デスクトップ上(もしくは、エクスプローラなど)のマイコンピュータを選択。右クリックで表示されるメニューから「プロパティ」を選ぶ。「システムのプロパティ」が表示されるので、「プロパティ」ボタンを押す。「識別の変更」ダイアログボックスが表示されたら、「次のメンバ」の欄にある「ドメイン」を選択し、参加したいドメイン名を入力する。

画面11 ドメインに参加するPC上でも登録作業が必要だ。先ほどの画面10の作業は、クライアント上だけで済ますことも可能(画面をクリックすると拡大表示します) 画面11 ドメインに参加するPC上でも登録作業が必要だ。先ほどの画面10の作業は、クライアント上だけで済ますことも可能(画面をクリックすると拡大表示します)

 この「コンピュータの登録」は、ドメイン管理者のIDとパスワードさえ使えば、すべてクライアント側で作業を済ませることも可能だ。

 また、このようにしてドメインに参加したコンピュータは、リモートからでも共有フォルダの設定ができるようになる。

画面12 ドメインに参加したPCは、リモートからでも共有フォルダの設定が可能となる(画面をクリックすると拡大表示します) 画面12 ドメインに参加したPCは、リモートからでも共有フォルダの設定が可能となる(画面をクリックすると拡大表示します)

プリンタの登録

 出張で訪問されることの多い本社のネットワーク管理者など、ユーザーから毎度毎度「この場所で印刷できるプリンタ名は何か?」と聞かれてうんざりすることはないだろうか? このように、さまざまな地区から頻繁にユーザーが集まる事業所の管理者にとって朗報ともいえる機能が、Windows 2000には搭載されている。プリンタの設置場所、モデル、説明などを、管理者があらかじめ入力しておくことで、ユーザーが自らプリンタを検索することができるのだ。

 この検索では、登録時のドライバ情報から「カラープリンタかどうか」「ホチキス止めができるか」「両面印刷ができるかどうか」「印字速度」「最高解像度」などの機能についても知ることができる。ただし、検索したプリンタに適切なアクセス権がなければ、印刷することはできない。

 また、何らかの事情でどうしても検索されたくないプリンタがあるなら、Active Directoryに登録しなければ検索対象にはならない。

画面13 プリンタの機能を条件に検索することもできる(画面をクリックすると拡大表示します) 画面13 プリンタの機能を条件に検索することもできる(画面をクリックすると拡大表示します)

 プリンタは、プリンタの接続されたPC上で追加作業を行うと、自動的にActive Directoryに登録される。もしここで、Active Directoryに登録したくない場合は、「Directoryの一覧に追加する」のチェックを外し、Active Directoryから削除する。

画面14 インストールしたプリンタは、自動的にActive Directoryに追加される。もし、検索対象から外したい場合などは、上記の「Directoryの一覧に追加する」チェックボックスを外して、Active Directoryの一覧から削除する(画面をクリックすると拡大表示します) 画面14 インストールしたプリンタは、自動的にActive Directoryに追加される。もし、検索対象から外したい場合などは、上記の「Directoryの一覧に追加する」チェックボックスを外して、Active Directoryの一覧から削除する(画面をクリックすると拡大表示します)

 ここで、目的のプリンタを検索するのは簡単だが、ネットワーク上に存在するプリンタの一覧を表示させるのは少々複雑なので、手順を示しておこう。「Active Directory ユーザーとコンピュータ」で「表示」メニューを選び、「コンテナとしてのユーザー、グループおよびコンピュータ」を選択する。

画面15 プリンタの一覧を表示するには、まずメニューから「表示」→「コンテナとしてのユーザー、グループおよびコンピュータ」の順に選択する(画面をクリックすると拡大表示します) 画面15 プリンタの一覧を表示するには、まずメニューから「表示」→「コンテナとしてのユーザー、グループおよびコンピュータ」の順に選択する(画面をクリックすると拡大表示します)

 OUを展開し、リソースのあるPC(サーバ)をクリックすると、右側の枠(右ペインと呼ぶ)にプリンタが表示される。

画面16 該当するサーバを選択すれば、右側のメニューにプリンタの一覧が表示される(画面をクリックすると拡大表示します) 画面16 該当するサーバを選択すれば、右側のメニューにプリンタの一覧が表示される(画面をクリックすると拡大表示します)

共有フォルダ

 プリンタと並んで、「目的の文書ファイルがどこにあるのか?」と管理者に対する問い合わせが多いリソースの1つだろう。従来であれば、リソースのあるコンピュータと共有フォルダ名を組み合わせて覚えておかなければならなかった。ユーザーも文書ファイルを見つけるのが面倒なので、デスクトップに共有フォルダのショートカットをいくつも登録しておいたり、といった工夫をする。それでも、ショートカットのタイトルで内容を推測したり、同じ共有フォルダにさまざまな名前を付けたショートカットを作ったり、といった苦労があった。

 Active Directoryでは、共有フォルダに複数のキーワードを登録することができるので、たいへん便利になった。例えば、出張旅費清算や仮払いの精算などは、「精算」というキーワードを登録しておけば検索ができる。

画面17 共有時にキーワードを登録しておけば、検索時にそのキーワードをもとに検索することが可能(画面をクリックすると拡大表示します) 画面17 共有時にキーワードを登録しておけば、検索時にそのキーワードをもとに検索することが可能(画面をクリックすると拡大表示します)

 共有フォルダはプリンタと違い、自動的にActive Directoryに登録されることはない。

画面18 共有フォルダの場合、Active Directoryへの登録は手動で行う。その際に、複数のキーワードを設定しておくことで、目的のフォルダの検索が容易になる(画面をクリックすると拡大表示します) 画面18 共有フォルダの場合、Active Directoryへの登録は手動で行う。その際に、複数のキーワードを設定しておくことで、目的のフォルダの検索が容易になる(画面をクリックすると拡大表示します)

ドメインコントローラへのローカルログオン

 最後に、DC(ドメインコントローラ)に対するローカルログオンを見てみよう。DCはアカウントが登録されている重要なコンピュータなので、デフォルトではAdministratorやBackup Operatorなど、ドメインコントローラ管理者以外のユーザーはログオンできない。

 Windows NTのPDCの場合は、「ドメインユーザーマネージャ」から「原則」→「ユーザーの権利」でローカルログオンさせたいグループを登録していた。

 Windows 2000では、「Active Directoryユーザーとコンピュータ」のDomain Controllers(OU)のグループポリシーオブジェクト(GPO)で設定する。GPOを設定するのが、ユーザーアカウントが登録されているOUではなくDomain Controllers OUなのは、ローカルログオンしたい対象がDCだからだ。

 設定手順は次のとおり。まず、「Active Directory ユーザーとコンピュータ」を起動する。Domain Controllers OUを選択、右クリックで表示されるメニューから「プロパティ」を選ぶ。「Domain Controllersのプロパティ」ダイアログボックスが表示されるので、「グループポリシー」タブを選ぶ。

画面19 DCへのローカルログオンを設定するには、「Domain Controllers OU」のグループポリシーを変更する(画面をクリックすると拡大表示します) 画面19 DCへのローカルログオンを設定するには、「Domain Controllers OU」のグループポリシーを変更する(画面をクリックすると拡大表示します)

 「Default Domain Controllers Policy」が選択されている状態で「編集」ボタンを押す。ローカルログオンはコンピュータに対するポリシーなので、「コンピュータの構成」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「ユーザー権利の割り当て」の順で展開する。右ペインにポリシー一覧が表示されるので、ローカルログオンをダブルクリックする。

画面20 画面19で「編集」ボタンを押して、グループポリシーを設定する(画面をクリックすると拡大表示します) 画面20 画面19で「編集」ボタンを押して、グループポリシーを設定する(画面をクリックすると拡大表示します)

 上の画面でローカルログオンさせたいグループを追加すれば完了だ。

第1回、第2回のポイント

  • あらかじめアカウントを登録しなければリソースを使うことができない
  • アカウントを登録、管理するツールはそれぞれ以下のとおり
Windows NTの場合
ユーザーとグループ ドメインユーザーマネージャ
コンピュータ サーバーマネージャ
保存される場所 PDC(BDC)のSAMファイル

Windows 2000の場合
アカウントおよびリソースの登録 Active Directoryユーザーとコンピュータ
保存される場所 DCの「NTDS.dit」ファイル



Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。