今週はローカルアカウント管理のうち、パスワード管理について取り上げよう。実のところ、ユーザーアカウントを集中管理できるActive Directoryよりもワークグループ環境の方が、パスワード情報の管理・保守には神経を使わなければならない。

ユーザーアカウントのパスワード管理

セキュリティの見地からすると、ずっと同じパスワードを使い続けるのはリスクが大きい。しかし、ユーザーアカウント情報を集中管理できるActive Directoryであれば、ドメインアカウントのパスワードを変えるだけで済むのに対して、ワークグループ環境ではすべてのコンピュータで個別にパスワード変更作業を行わなければならない。その分だけ、パスワード変更時の設定ミスによって食い違いが生じるリスクも増すと考えられる。

それだけでもActive Directoryにする価値があると思うのだが、そうはいっても諸般の事情により、ワークグループ環境で運用しなければならない場合もあるだろう。そこで、設定ミスが発生してコンピュータごとにパスワードが食い違ってしまい、接続時に認証がらみのトラブルが発生した場合の対応について考えてみよう。

操作ミスによって食い違いが生じた場合、どのコンピュータでどんなパスワードを設定したか、ユーザー本人が把握していない可能性が高い。そのため、「パスワードが食い違っているのであれば、正しいパスワードに変更し直してください」と管理者が指示しても、ラチがあかないだろう。

そのため、この手のトラブルが発生したときには、管理者がすべてのコンピュータについて個別に、当該ユーザーアカウントに対して新しいパスワードを再設定した上で、それをユーザー本人に知らせる必要がある。

ユーザーによるパスワード変更

自分のユーザーアカウントを使ってログオンしているユーザーは、プロパティ設定で禁止していない限り、いつでも自分でパスワードを変更できる。実は、パスワードの変更手順はActive Directoryでもワークグループでも、あるいはWindowsサーバでもクライアント用Windowsでも同じだ。ただし、ワークグループ環境ならではの注意点もあるので、改めて手順を確認しておこう。

　1. まず、パスワードを変更するユーザーアカウントがあるコンピュータで、自分のユーザーアカウントを使ってログオンする。

　2. ログオンした状態で[Ctrl]+[Alt]+[Del]キーを押すと、以下のような画面を表示する。

　3. 画面に並んでいる一連のアイテムのうち、[パスワードの変更]をクリックすると、パスワードの変更画面を表示する。この画面では、ユーザー名に加えてパスワードを入力するテキストボックスが3個ある。

　4. ユーザー名は、ログオン中のユーザーに対応するものを表示しているので、それが正しいかどうかを最初に確認する。

　5. 一方、パスワード入力ボックスのうち最初の1個は現在のパスワードを入力するもので、残り2個は新しいパスワードを指定するためのものだ。確認のために、新しいパスワードとして同じ内容を2回入力するようになっていることから、後者については2個必要になっている。ユーザー名が正しいことを確認してから、現在のパスワードと、新しいパスワードを2度、それぞれ入力して[Enter]キーを押す。

　6. これで、ログオン中のコンピュータについてはパスワードの変更が完了する。同じ操作を、すべてのコンピュータについて繰り返す。

管理者によるパスワード再設定

ユーザーがパスワードを忘れてしまった、あるいはパスワード変更時の操作ミスが原因でログオンできなくなった、といった場面では、管理者が新たにパスワードを再設定して対処する。

　1. [スタート]-[管理ツール]-[コンピュータの管理]をクリックして、[コンピュータの管理]管理ツールを起動する。(Windows Server 2008の場合、デスクトップや[スタート]メニュー以下の[コンピュータ]で右クリックして[管理]を選択すると、[サーバーマネージャ]が起動してしまう点に注意)

　2. 左側のツリー画面で、[コンピュータの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[ユーザー]を選択する。

　3. 画面にユーザーアカウントの一覧が現れる。そこでパスワードを再設定するユーザーアカウントを選択してから、[操作]-[パスワードの設定]、あるいは右クリックして[パスワードの設定]を選択する。

　4. 警告メッセージを表示するので、[続行]をクリックする。

　5. 続いて表示するダイアログで、新しく使用するパスワードを入力する。テキストボックスは2個あり、いずれも同じものを入力する。最後に[OK]をクリックすると変更が有効になる。

　6. パスワードを再設定したら、新しいパスワードをユーザー本人に伝える。

なお、「5.」のダイアログでも警告のために表示しているが、この方法でパスワードを変更すると、暗号化ファイルシステムによって暗号化したファイル、セキュリティ証明書などへのアクセスが不可能になる点に注意したい。

また、セキュリティ上の理由からサーバに対してユーザーのローカルログオンを認めないように設定している場合には、ユーザーが自らログオンしてパスワードを変更することができない。その場合、管理者がログオンしてパスワードの再設定操作を行い、パスワードを入力するところだけユーザー本人にやってもらうのが、もっとも現実的な対応だろう。

ただし、前述したようにアクセス不可能になる情報が発生するため、暗号化ファイルシステムやセキュリティ証明書の機能を利用していないことが前提になる。

ユーザーアカウントのプロパティ変更

最後に、ユーザーアカウントのプロパティ情報について簡単に触れておこう。[コンピュータの管理]管理ツールでユーザー一覧を表示させて、ユーザーアカウントをダブルクリックするか、あるいは[操作]-[プロパティ]や右クリックメニューの[プロパティ]を選択すると、設定の確認・変更が可能になる。

Active Directoryと異なり、ローカルアカウントで設定できるプロパティ情報は比較的少ない。Windows Server 2008では全部で9枚のタブがあるが、仕様頻度が高いのは以下のタブだろう。いずれのタブでも、情報の入力、あるいは変更を行ってから[OK]をクリックしてダイアログを閉じると、設定変更が反映される。

全般

ユーザーアカウントを作成する際に設定した、ユーザー名、フルネーム、説明文、パスワード関連項目の設定変更が可能だ。ここで[アカウントを無効にする]チェックボックスをオンにすると、当該ユーザーアカウントは無効になり、ログオンや認証が不可能になる。なお、Active Directoryと違い、アカウントの期限を指定することはできない。

ここでユーザーログオン名やフルネームを変更しても、内部的にはSID(Security Identifier)という独自の通し番号で管理しているため、同じユーザーとみなされ、アクセス権の設定も保持される。改姓によって名前とログオン名の整合性がとれなくなったときなどに、ログオン名を変更する必要が生じるだろう。

所属するグループ

ユーザーアカウントが所属しているグループの指定を行う。グループについては次回に解説するので、ここでは解説を割愛する。

ダイヤルイン

ダイヤルアップ接続、あるいはVPN(Virtual Private Network)によって、外部からLANに接続する、いわゆるリモートアクセスを行う際に、このタブの設定項目[リモートアクセス許可]が影響する。既定値ではセキュリティ上の配慮から[アクセスを拒否]になっているが、これを[アクセスを許可]に変更すると、着信が可能になる。いいかえれば、ダイヤルアップ接続やVPNを利用しない限りは、出番のないタブといえる。