前回のローカルユーザーアカウントに引き続いて、今回はローカルグループについて解説する。なお、これは「ローカルコンピュータが情報を管理しているグループ」という意味で、Active Directoryでいうところの「ドメインローカルグループ」とは別物である。
過去の回でも述べたように、アクセス権の管理を行う際には、個別のユーザーアカウントに対して設定を行うよりも、グループに対して設定を行う方が効率的だ。そうすることで、グループのメンバーを「出し入れ」するだけでアクセス権のコントロールが可能になるからだ。そこで、グループそのものの作成・削除に加えて、メンバーの追加・削除について解説する。
グループの作成
ローカルアカウントのグループは「セキュリティグループ」だけで、Active Directoryでいうところの「配布グループ」に対応するものは存在しない。まず、そのグループの作成手順について解説する。
[スタート]画面の[管理ツール]以下にある[コンピューターの管理]をクリックする。
[コンピューターの管理]管理ツール左側のツリー画面で、[コンピューターの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]とツリーを展開して選択する。
この状態で画面中央には、ローカルグループの一覧を表示している。そこで[操作]-[新しいグループ]、あるいは画面中央の一覧で右クリックして[新しいグループ]を選択する。
- 続いて表示するダイアログで、グループ名と説明を指定する。説明は必須ではないが、何の目的で作成したグループなのかが後で分からなくなると困るので、説明を記述しておく方が望ましい。
ここで[追加]をクリックすると、その場でグループのメンバーとなるユーザーアカウントを追加できるが、これは必須ではない。使用するダイアログは、アクセス権設定ダイアログでユーザーアカウント/グループを一覧に追加する際に使用するものと同じだ。
グループの作成と、(必要なら)メンバーの追加を行ったら、[作成]をクリックする。これでグループの作成が完了する。
作成後もダイアログはそのままなので、引き続き別のグループを作成できる。作成がすべて終わった場合、あるいはグループの作成を中止する場合には、[閉じる]をクリックする。
グループのメンバ変更
グループのメンバーを追加、あるいは削除するには、2種類の方法がある。
ひとつは、グループのプロパティ画面で「グループのメンバー」を追加、あるいは削除する方法だ。ひとつのグループに対して、連続してユーザーアカウントの追加/削除を行う場面では、この方法が効率的だ。
もうひとつの方法は、ユーザーアカウントのプロパティ画面で「所属するグループ」を指定する方法だ。特定のユーザーアカウントについて、連続して異なる複数のグループに対して追加/削除を行うときには、この方法が効率的だ。
なお、Active Directoryと異なり、ローカルアカウントのグループでは、グループ同士の入れ子は行えない。
まず、前者の方法について解説する。
[スタート]画面の[管理ツール]以下にある[コンピューターの管理]をクリックする。
[コンピューターの管理]管理ツール左側のツリー画面で、[コンピューターの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]とツリーを展開して選択する。
この状態で画面中央には、ローカルグループの一覧を表示している。そこで目的の当該グループを選択して、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。
すると、グループのプロパティ画面を表示する。その状態で[追加]をクリックすると、例のユーザーアカウント選択/検索ダイアログを表示するので、それを使ってグループに追加したいユーザーアカウントを指定する。
グループからユーザーアカウントを削除したいときには、メンバー一覧の中から削除したいユーザーアカウントを選択して、[削除]をクリックする。
「4.」~「5.」の操作を繰り返してメンバーの追加/削除を行い、意図した状態にする。最後に[OK]をクリックすると、変更結果が確定する。
一方、ユーザーアカウントのプロパティ画面で所属するグループを指定するには、前回に解説した方法でユーザーアカウントのプロパティ画面を表示させて、[所属するグループ]タブに移動して行う。
この画面では、その時点で当該ユーザーアカウントが所属しているグループの一覧を表示している。そこで [追加]をクリックすると、例のユーザーアカウント選択/検索ダイアログを表示するので、それを使ってユーザーアカウントを所属させたいグループを指定する。逆に所属するグループを削除したいときには、グループ一覧の中から削除したいグループを選択して、[削除]をクリックする。
最後に[OK]をクリックすると、変更結果が確定する。
このほか、[コンピューターの管理]管理ツール左側のツリー画面で、[コンピューターの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]を選択すると画面中央に現れるグループ一覧画面で、メンバーを変更したいグループを選択して[操作]-[グループに追加]、あるいは右クリックメニューで[グループに追加]を選択する方法でも、グループのプロパティ画面を表示してメンバーを変更できる。
グループの名前や説明の変更
先に、グループのメンバーを変更する手段として取り上げたグループのプロパティ画面では、メンバーの追加/削除だけでなく、グループの説明文を変更することもできる。しかし、グループ名は変更できない。
グループ名を変更するには、以下の手順を用いる。
[スタート]画面の[管理ツール]以下にある[コンピューターの管理]をクリックする。
[コンピューターの管理]管理ツール左側のツリー画面で、[コンピューターの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]とツリーを展開して選択する。
この状態で画面中央には、ローカルグループの一覧を表示している。そこで目的の当該グループを選択して、[操作]-[名前の変更]、あるいは右クリックして[名前の変更]を選択する。
グループ名を変更するときには[コンピュータの管理]管理ツールを使う。まず、[コンピュータの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]を選択してから、名前の変更を行いたいグループを選択して、[操作]-[名前の変更]、あるいは右クリックして[名前の変更]を選択する。
ビルトイングループの利用
Active Directoryと同様に、ローカルアカウントにもビルトイングループが存在する。ユーザーアカウントは、作成の時点で自動的に「Users」グループのメンバーになるので、ユーザー全員にアクセス権を設定するよう場面では、この「Users」グループを使うのが楽だ。
その他のグループでメンバーを変更する可能性が考えられるものとしては、管理者権限を与える際に使用する「Administrators」グループと、リモートデスクトップ接続を許可する際に使用する「Remote Desktop Users」グループが挙げられる。ビルトイングループだからといって操作手順が異なるわけではなく、グループのプロパティ画面、あるいはユーザーアカウントのプロパティ画面で、これらのグループのメンバーを変更すればよい。