話がいささか前後するが、今回から3回に分けて、ユーザーアカウントの管理について解説していこう。

Active Directoryでは、ユーザーアカウントの情報はドメインコントローラが集中管理するため、Active Directory用の管理ツール(Active Directoryユーザーとコンピュータ)を用いて作成・設定変更・削除などの操作を行えば、それで全体を管理することになる。しかし、Active Directoryを使用しない、いわゆるワークグループ環境では、個々のサーバやクライアントPCごとに、ユーザーアカウントの管理を行わなければならない。

以下で解説する内容はWindows Server 2008を前提としているが、他のWindowsサーバ、あるいはクライアント用のWindowsでも、同じ要領で作業を行える場合が多い。ただしエディションによっては[コンピュータの管理]管理ツールに[ローカルユーザーとグループ]が存在しない場合があり、その場合にはNET LOCALGROUPコマンドによる操作が必要になってしまう。このコマンドについては別途、他のユーザー管理系のコマンドと併せて取り上げることとしたい。

アクセス権はグループに対して設定する

共有アクセス権でもNTFSアクセス権でも、アクセス権を設定する対象としては、「ユーザー」と「グループ」の2種類がある。グループとは複数のユーザーアカウントをまとめた単位だ。そして、ここで「継承」のルールが関わってくる。

つまり、グループに対してアクセス権を設定すると、それはグループのメンバーになっているユーザーアカウントも継承する、という意味になる。だから、たとえばユーザーA・B・Cの3名に対して個別にアクセス権の設定を行っても、その3ユーザーが所属するグループDに対してアクセス権を行っても、結果は同じになる。

そして、グループDに対してユーザーEを追加すれば、メンバーに加わったユーザーEにも、グループDに割り当てたものと同じアクセス権が適用される。逆に、グループDからユーザーEを削除すれば、ユーザーEはアクセス権の適用対象からも除外される。

ということは、個別のユーザーアカウントに対してアクセス権を設定するよりも、グループに対してアクセス権を設定して、グループのメンバーを追加、あるいは削除する方法でアクセス権をコントロールする方が効率的で、しかも間違いが少ない。

もちろん、設定するアクセス権の内容に複数の種類があるときには、それぞれに対応して複数のグループを用意しなければならないが、それでもユーザーアカウントごとにアクセス権を設定するよりは楽だ。

ユーザーアカウントの作成

とはいえ、まずユーザーアカウントが存在しないことにはグループのメンバーも存在しないことになるので、先にユーザーアカウントの作成手順について解説する。

Windows XP/Vista/7では、コントロールパネルにユーザーアカウント管理用の機能があり、アカウントの追加や削除を簡単に行える。しかし、これを使用するとグループの管理が行えないので、本稿では[コンピュータの管理]管理ツールを使用する方法について解説する。

 1. [スタート]-[管理ツール]-[コンピュータの管理]をクリックして、[コンピュータの管理]管理ツールを起動する。(Windows Server 2008の場合、デスクトップや[スタート]メニュー以下の[コンピュータ]で右クリックして[管理]を選択すると、[サーバーマネージャ]が起動してしまう点に注意)

 2. 左側のツリー画面で、[コンピュータの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[ユーザー]を選択する。

 3. [操作]-[新しいユーザー]、あるいは右側の一覧で右クリックして[新しいユーザー]を選択する。

 4. 続いて表示するダイアログで、以下の情報を指定する。

  • ユーザー名(ログオン名)
  • フルネーム(表示用の名前)
  • 説明
  • パスワード
  • ユーザーは次回ログオン時にパスワード変更が必要 (既定値でオン)
  • ユーザーはパスワードを変更できない
  • パスワードを無期限にする
  • アカウントを無効にする

ユーザーのログオン名、表示名、パスワードなどを指定する。Active Directoryと比較すると、設定可能な項目は少ない

 5. [ユーザーは次回ログオン時にパスワード変更が必要]をオンにすると、そのユーザーアカウントを使って最初にログオンした直後に、パスワードを変更するよう求めてくる。これは初期設定したパスワードをそのまま使い続ける事態を強制的に回避するための設定だが、ユーザー情報を集中管理できるActive Directoryと異なり、個々のコンピュータごとにパスワード情報を保守しなければならないワークグループ環境では混乱の原因になりやすい。オフにしておく方が無難だろう。

 6. [ユーザーは次回ログオン時にパスワード変更が必要]をオフにすると、その下にある[ユーザーはパスワードを変更できない]と[パスワードを無期限にする]のオン/オフが変更可能になる。[ユーザーはパスワードを変更できない]をオンにしておくと、パスワードを変更できるのは管理者だけになる。

 7. 設定した内容に問題がなければ、[作成]をクリックする。これでユーザーアカウントを作成できる。

 8. 作成後もダイアログはそのままなので、引き続き別のユーザーアカウントを追加できる。追加がすべて終わった場合、あるいはユーザーアカウントの作成を中止する場合には、[閉じる]をクリックする。

ローカルアカウントでは、Active Directoryと違ってOU(Organizational Unit, 組織単位)という仕組みが存在しないので、アカウントを作成する場所という概念は存在しない。すべて同じ場所に並ぶことになる。

ユーザーアカウントの削除

作成したユーザーアカウントは、以下の手順で削除できる。

 1. [スタート]-[管理ツール]-[コンピュータの管理]をクリックして、[コンピュータの管理]管理ツールを起動する。(Windows Server 2008の場合、デスクトップや[スタート]メニュー以下の[コンピュータ]で右クリックして[管理]を選択すると、[サーバーマネージャ]が起動してしまう点に注意)

 2. 左側のツリー画面で、[コンピュータの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[ユーザー]を選択する。

 3. 画面にユーザーアカウントの一覧が現れる。そこで削除するユーザーアカウントを選択してから、[操作]-[削除]、あるいは右クリックして[削除]を選択する。

不要になったユーザーアカウントを選択して削除を指示すると、確認メッセージの表示に続いて削除を行う

 4. 続いて表示する確認メッセージで[はい]をクリックすると、削除が行われる。ファイルの削除と異なり、「ゴミ箱」がない点に注意したい。

ローカルアカウントでもActive Directoryの場合と同様に、個々のユーザーアカウントにはそれぞれ重複のないSID(Security Identifier)を割り当てる設計になっている。そのため、同一の名前を持つユーザーアカウントを再作成しても同じ結果にはならない。

だから、不要になったユーザーアカウントはとりあえず無効化しておき、後で削除する方が確実だ。ユーザーアカウントの無効化はプロパティの変更にも関わる問題なので、次回にまとめて解説する。