第2回　WindowsファイルサーバをNASで断捨離する際のチェックポイント：今どきのNASでWindowsファイルサーバは断捨離できるか！？（3/3 ページ）

NASのユーザー管理は？

　結論：NASごとのローカル管理とActive Directoryを使った集中管理が利用可能

　Windowsファイルサーバを利用する場合、ユーザーごとに個別のフォルダを作成して、適切な「アクセス権（ACL：Access Control List）」を設定して利用するのが一般的である。さもないと、閲覧や操作の権限を持たないユーザーがファイルを読み出したり、誤って削除や更新をしてしまったりする可能性があるからだ。そのため、ユーザーアカウントを適切に管理する必要がある。

　Windowsファイルサーバでユーザー管理を行う場合、ユーザーアカウントをどうやって管理するかによって、2通りの方法がある。1つはPCやファイルサーバごとにユーザーアカウント（とパスワード）を作成しておく「ワークグループネットワーク」と呼ばれる形態である。

　この方式では、例えばローカルのPCとファイルサーバの両方に「user01」というアカウントを作成してサインインして利用する。パスワードも同じものを設定しておくと、ローカルのPCからファイルサーバにアクセスしても、パスワード入力なしでそのまま利用できる（パスワードが異なっていると、いちいちアカウントの入力画面が表示され、面倒だ）。

　だがこの方法では、あちらこちらのシステムに同じ名前のアカウントを作成しなければならないので煩わしい（ユーザーアカウントの追加や削除を全てのシステムで行わなければならない）。この手間を軽減するために使われるのがActive Directoryを使ったユーザーアカウントの集中管理機能である。アカウントはドメインコントローラーで一括管理されているので、最初に一度作成しておけば、ドメインに参加しているどのPC上でも、いちいちローカルアカウントを作成することなく、簡単に利用できるようになる。

　NASでは、このいずれの方式でも利用できるようになっている。家庭やActive DirectoryのないSOHO、Active Directoryを使わない部門サーバなどでは、PCのユーザー名と同じユーザーアカウントをNAS上にも作成しておいて、利用すればよいだろう。

NASのユーザー管理画面
家庭やSOHOなど、小規模なネットワークでは、NAS上にローカルにアカウントを作成して利用する。だがユーザーが増えるたびに、各ファイルサーバでユーザー登録をするなどの必要があるので、管理は面倒である。

　デフォルトではグループアカウントは次のようになっている。グループの追加も可能だ。

NASのグループ管理画面
Windows OSと比較すると非常にシンプルで、デフォルトでは3グループしか定義されていない。新しくユーザーアカウントを作成した場合は、administratorsかusersのいずれかに所属させることになるだろう。

　ただしWindows OSのように、ローカルグループにActive Directoryのドメインメンバーを追加するといったことはできないようなので、共有リソースなどにアクセス権を設定する場合は、少し勝手が異なる（詳細は後述）。

　Active Directoryを利用している場合は、認証を既存のActive Directoryのドメインコントローラーに委譲するように設定しておけばよい。

Active Directoryドメインに参加する
Active Directoryを利用している場合は、ドメインコントローラーでユーザー認証を行うように設定しておくと、NAS側でユーザー管理を行う必要がなくなる。

NASのアクセス権の管理は？

　結論：Windowsファイルサーバのアクセス権機能とほぼ同じ機能を持つ

　NASではEXT4やBtrfsといったファイルシステムを使っているが、これらが持つアクセス制御機能は、Windowsファイルサーバのもの（NTFSのアクセス制御機能）とは異なっている。だがSambaではNTFSのアクセス制御機能をエミュレートして、可能な限り同じように使えるようにしている。そのためNASのクライアントから見れば、ほぼ同じように使える。

　アクセス権の管理にはエクスプローラーのプロパティ画面やcaclsなどのコマンド、PowerShellのコマンドレットなどが利用できるが、ほとんどの場合は同じように操作できるはずである。

　Windowsサーバの共有リソースでアクセス権を設定する場合、ドメイングループのアカウントを使って、Domain AdminsやDomain Usersにフルコントロールなどを付けることが多いが、NASでも同じように設定すればよい。

共有リソースのアクセス権設定
個別のユーザーアカウントごとにアクセス権を付けると大変なので、通常はこのようにグループアカウントを使ってアクセス権を設定する。これはWindows OSの共有設定におけるアクセス権設定と同じだ。

　Windoww Server OSの場合、リソース管理用のローカルグループを用意して、そこにドメインのアカウントなどを追加し、そのローカルグループを共有のアクセス権設定に使うことがある。この方法だと、アクセスを許可するメンバーの設定を、共有リソースの共有設定ではなく、ユーザー／グループ管理ツールで行える（メンバーの追加や変更などがよくある場合に便利）。だが前述したように、NASのローカルグループにドメインアカウントを追加できない。そのため上の画面のように、アクセスを許可をしたいメンバーを個別に追加する。

　設定されたアクセス権をWindows OSのエクスプローラーから見ると次のようになる。上記ではNAS側でアクセス権を設定したが、Windows OSのエクスプローラーからでもアクセス権は変更できる。

WindowsからNASのアクセス権リストを見る
Windows 10のエクスプローラーでNASへ接続し、ファイルのプロパティ画面でACLを確認しているところ。Windowsファイルサーバに接続している場合と同じように見えるし、操作も可能だ。

NASはActive Directoryのコントローラーになれる？

　結論：機種によってはActive Directory Serviceを利用できるが、完全な互換性はない

　NASをActive Directoryに参加させて（正確には、Active Directoryのドメインコントローラーに認証を委任して）、ユーザー管理をActive Directoryで行えることは分かったが、ではActive Directoryのドメインコントローラーがない環境ではどうすればよいのだろうか？

　今回使用している機種（DS218j）では使えないが、Synology社のNASのラインアップには、Active Directoryのドメインコントローラーの機能を提供できる機種もある。Turbo NAS（QNAP Systems）の一部モデルなどでもドメインコントローラー機能を提供するものがある。今どきのNASの上位モデルでは、ドメインコントローラー機能をサポートするものが増えてきているようだ。

　このパッケージを導入すると、Active Directoryのドメインコントローラーの機能がNAS上で実現され、ユーザーやグループの管理をNAS上で集中して行えるようになる。

　ただし、Windows Server OSが提供する本物のActive Directoryドメインコントローラーと違って、機能に制約があるし、Windows Server OSのActive Directoryドメインコントローラーを代替したり、バックアップ用のドメインコントローラとして機能したりするようなものでもない。だがそれらを理解した上で使うなら、有用だと思われる。

　このNASのサポートするActive Directoryのドメインコントローラ機能（実際にはSambaのActive Directory機能）で何ができて、何がサポートされていないかなどについては、SambaのFAQを参照していただきたい。

　すでにActive Directoryのドメインがある環境なら、このパッケージを使う必要はない。だがActive Directoryドメインがない、もしくはワークグループでしか運用していないなら、このパッケージを使ってユーザーアカウントを集中管理するのもよい。

　本来のWindows Server OSのActive Directoryを利用する場合、ドメインに参加するWindows PCごとにクライアントアクセスライセンス（CAL）も必要となるが、NAS＋Active Directory ServerパッケージならCALなしで利用できるので、コスト的にもメリットが大きい。

サポートされているSMBプロトコルのバージョンは？

　結論：デフォルトではSMB1／SMB2だが、SMB3も選択可能

　Windowsネットワークのファイル共有プロトコルSMBにはバージョンが幾つかあるが、このNASでは、デフォルトでSMB1とSMB2が選択されていた。

　SMB3では、マルチチャネルサポート（複数のネットワークインタフェースを同時に使って高速化する手法。複数インタフェースを持つ上位機種では有効）やオフロードデータ転送（ファイルサーバ上でのファイルコピーを、ネットワークを経由せずにローカルだけで行う機能）など、幾つか機能が強化されている。またWindows OSのSMB1の実装には脆弱（ぜいじゃく）性が見つかっており、現在では使用は推奨されていない。

　このような事情があるため、SMB1は無効にして、SMB2以上を利用するように設定しておくとよいだろう。

SMBのバージョンの選択
利用するSMBバージョンは、「コントロールパネル」にある「ファイルサービス」の設定画面で変更できる。SMB1は脆弱性があるので、Windows PCでもNASでも利用しない方が望ましい。そこで、SMB2〜SMB3に設定しておこう。

NASではC$やD$のような管理共有は利用できる？

　結論：管理共有はない

　Windows OSでファイル共有を有効にしていると、デフォルトでは「C$」や「D$」のような隠し共有名が有効になっている。共有名が分からない場合でも、「\\server\c$」のように指定すればC:ドライブの内容へアクセスできるので、（場合によっては）便利なのだが、NASの場合は、このような管理共有が利用できない。NASのファイルへアクセスしたい場合は、あらかじめ管理画面で共有リソースを作成しておく必要がある。

管理共有名を使ったファイル共有
NASには「C$」や「D$」のような管理共有はない（そもそもベースOSがLinuxなので、C:やD:といったドライブの概念がない）。

NASのアクセス速度は？

　結論：小型のNASだからといって、特に遅いということはない

　今回使用した製品は家庭／SOHO向けのNASだが、だからといって利用していて特に遅いと感じることはなかった。以下にベンチマークテストの実行例を示しておくが、シーケンシャルアクセスでは、ギガビットイーサネットの帯域いっぱいの性能は出ているようである。複数のPCから同時に接続してテストしてみても、特に大幅な速度低下もなく利用できた（複数同時アクセスすると、急に止まったようになるひどいNAS製品も昔はあったが）。

NASベンチマークの結果
Windows 10のPCからNASに接続して、「CrystalDiskMark」を使ってアクセス速度をテストした。シーケンシャルの読み書きなら、イーサネットのほぼ帯域いっぱいまで速度が出ている。Readがやや遅いのはNASのCPU性能が低いせいかもしれない。もっと性能が欲しければ、CPU性能が高く、もっと搭載メモリ量が多い機種を選択するとよい。機種によっては後からメモリを増設できるものもある。

NASでも不要なサービスやコンポーネントを削除できる？

　結論：できる

　第1回で説明したように最近のNASは、ファイル共有とは直接関係のないサービスもサポートしている。例えばDS218jの場合、デフォルトの指示に従ってセットアップすると、マルチメディアストリーミングのためのサービスなどもインストールされるようになっている。

　これらがインストールされていると、例えば画像ファイルを大量に保存した時に、そのサムネイルを作成するために、バックグラウンドでいくらかのCPUリソースを消費することになる。家庭用ならともかく、会社などで利用する場合、そのようなサービスは不要なので、インストールしなくてもよいだろう。

　こうしたコンポーネントは最初からインストールしないでおくこともできるし、後から削除することも可能だ。

インストールが推奨されている追加パッケージ
これはNASの初期セットアップの途中で表示される、追加パッケージのインストール画面。単にWindowsファイルサーバの代替として利用するなら、特に追加しなくても問題ないだろう。スキップして無駄なCPUやメモリリソースの消費を避けよう。

　今回はSynologyのDS218jというNASを例に、Windowsファイルサーバを置き換えることが可能か、何か問題点はないか、などについて見てきた。ディスクボリュームの管理や共有リソースのセットアップなどはWebブラウザを使って操作するため、Windows OS上で操作するのとはかなり使い勝手が異なる。特にアクセス権の設定などが面倒だ。

　だが、いったん設定が完了すれば、クライアントPCから見た機能や使い方はほとんど同じなので、ユーザーはそう戸惑うこともなく、NASを利用できると思われる。

　次回はNASの紹介の最後として、Windowsファイルサーバを「今どきNAS」に置き換えると便利になることなどを紹介していく。