今週は、グループを使ったユーザー管理について解説する。
すでに第14回で言及しているように、アクセス権の管理を行う際には、個別のユーザーアカウントに対して設定を行うよりも、グループに対して設定を行う方が効率的だ。そうすることで、グループのメンバーを「出し入れ」するだけでアクセス権のコントロールが可能になるからだ。そこで、その「出し入れ」について解説する。
グループの作成
ローカルアカウントのグループは「セキュリティグループ」だけで、Active Directoryでいうところの「配布グループ」に対応するものは存在しない。その分だけ話は簡単になる。
まず、グループの作成手順について解説する。
1. [スタート]-[管理ツール]-[コンピュータの管理]をクリックして、[コンピュータの管理]管理ツールを起動する。(Windows Server 2008の場合、デスクトップや[スタート]メニュー以下の[コンピュータ]で右クリックして[管理]を選択すると、[サーバーマネージャ]が起動してしまう点に注意)
2. 左側のツリー画面で、[コンピュータの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]を選択する。
3. [操作]-[新しいグループ]、あるいは右側の一覧で右クリックして[新しいグループ]を選択する。
4. 続いて表示するダイアログで、グループ名と説明を指定する。説明は必須ではないが、何の目的で作成したグループなのかが後で分からなくなると困るので、説明を記述しておく方が望ましい。
 |
|
グループ名だけ指定すれば、とりあえずグループの作成は可能。しかし、何の目的で作成するグループなのかが分かるように、説明も書いておく方が望ましい |
5. さらに[追加]をクリックすると、その場でグループのメンバーとなるユーザーアカウントを追加することができる(必須ではない)。その際に使用するダイアログは、アクセス権設定ダイアログでユーザーアカウント/グループを一覧に追加する際に使用するものと同じだ。使い方については本連載の第11回を参照していただきたい。
6. グループの作成と、(必要なら)メンバーの追加を行ったら、[作成]をクリックする。これでグループの作成が完了する。
7. 作成後もダイアログはそのままなので、引き続き別のグループを作成できる。作成がすべて終わった場合、あるいはグループの作成を中止する場合には、[閉じる]をクリックする。
グループのメンバ変更
グループのメンバーを追加、あるいは削除するには、2種類の方法がある。
ひとつは、グループのプロパティ画面でメンバーの追加/削除を指示する方法だ。ひとつのグループに対して、連続してユーザーアカウントの追加/削除を行う場面では、この方法が効率的だ。
もうひとつの方法は、ユーザーアカウントのプロパティ画面で、所属するグループを指定する方法だ。特定のユーザーアカウントについて、連続して異なる複数のグループに対して追加/削除を行うときには、この方法が効率的だ。
まず、前者の方法について解説する。[コンピュータの管理]管理ツールで[コンピュータの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]を選択した状態で行う。
1. メンバーの追加/削除を行いたいグループをダブルクリックする。当該グループを選択した状態で、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する方法もある。
2. グループのプロパティ画面を表示する。その状態で[追加]をクリックすると、例のユーザーアカウント選択/検索ダイアログを表示するので、それを使ってグループに追加したいユーザーアカウントを指定する。
 |
|
グループのプロパティ画面で[追加]をクリックして、ユーザーアカウントをメンバー一覧に追加できる |
3. グループからユーザーアカウントを削除したいときには、メンバー一覧の中から削除したいユーザーアカウントを選択して、[削除]をクリックする。
 |
|
逆に、メンバー一覧で選択して[削除]をクリックすると、選択したユーザーアカウントをメンバーから除く操作になる |
4. 「2.」~「3.」の操作を繰り返してメンバーの追加/削除を行い、意図した状態にする。最後に[OK]をクリックすると、変更結果が確定する。
一方、ユーザーアカウントのプロパティ画面で所属するグループを指定するには、[コンピュータの管理]管理ツールで[コンピュータの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[ユーザー]を選択した状態で行う。
1. 所属するグループの追加/削除を行いたいユーザーアカウントをダブルクリックする。当該グループを選択した状態で、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する方法もある。
2. ユーザーアカウントのプロパティ画面を表示するので、[所属するグループ]タブに移動する。すると、その時点で当該ユーザーアカウントが所属しているグループの一覧を表示している。
3. [追加]をクリックすると、例のユーザーアカウント選択/検索ダイアログを表示するので、それを使ってユーザーアカウントを所属させたいグループを指定する。
 |
|
ユーザーアカウントのプロパティ画面で[所属するグループ]タブに移動すると、[追加]をクリックすることで、そのユーザーアカウントが所属するグループを指定できる。逆に、[所属するグループ]で選択して[削除]をクリックしたグループのメンバーからは外れることになる |
4. 所属するグループを削除したいときには、グループ一覧の中から削除したいグループを選択して、[削除]をクリックする。
5. 「3.」~「4.」の操作を繰り返して、所属するグループの追加/削除を行い、意図した状態にする。最後に[OK]をクリックすると、変更結果が確定する。
グループの名前や説明の変更
先に取り上げたグループのプロパティ画面では、メンバーの追加/削除だけでなく、グループの説明文を変更することもできる。ただし名前の変更は行えない。
グループ名を変更するときには[コンピュータの管理]管理ツールを使う。まず、[コンピュータの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]を選択してから、名前の変更を行いたいグループを選択して、[操作]-[名前の変更]、あるいは右クリックして[名前の変更]を選択すればよい。
 |
|
グループ名の変更は、プロパティ画面ではなくグループ一覧で行う |
なお、Active Directoryのグループでは(条件付きだが)グループ同士の入れ子を行える。しかし、ローカルアカウントのグループでは、グループ同士の入れ子は行えない。このことは、グループのメンバーを追加する場面で検索ダイアログを詳細設定モードにして、何も条件を指定せずに[検索]をクリックすると表示する一覧を見ると理解できる。
ビルトイングループの利用
Active Directoryと同様に、ローカルアカウントでもビルトイングループが存在する。その数と種類はActive Directoryより少ない。
なお、すべてのユーザーアカウントは作成した時点で、自動的に「Users」グループのメンバーになっているので、ユーザー全員にアクセス権を設定するよう場面では、この「Users」グループを使うのが楽だ。
その他のグループでメンバーを変更する可能性が考えられるものとしては、管理者権限を与える際に使用する「Administrators」グループと、リモートデスクトップ接続を許可する際に使用する「Remote Desktop Users」グループが挙げられる。ビルトイングループだからといって操作手順が異なるわけではなく、グループのプロパティ画面、あるいはユーザーアカウントのプロパティ画面で、これらのグループに対する所属を指示できる。
建造中の北極海研究船「みらいII」を見てきた、砕氷船ならではの特徴とは