前回のローカルユーザーアカウントに引き続いて、今回はローカルグループについて解説する。なお、これは「ローカルコンピュータが情報を管理しているグループ」という意味で、Active Directoryでいうところの「ドメインローカルグループ」とは別物である。

過去の回でも述べたように、アクセス権の管理を行う際には、個別のユーザーアカウントに対して設定を行うよりも、グループに対して設定を行う方が効率的だ。そうすることで、グループのメンバーを「出し入れ」するだけでアクセス権のコントロールが可能になるからだ。そこで、グループそのものの作成・削除に加えて、メンバーの追加・削除について解説する。

グループの作成

ローカルアカウントのグループは「セキュリティグループ」だけで、Active Directoryでいうところの「配布グループ」に対応するものは存在しない。まず、そのグループの作成手順について解説する。

  1. [スタート]画面の[管理ツール]以下にある[コンピューターの管理]をクリックする。

  2. [コンピューターの管理]管理ツール左側のツリー画面で、[コンピューターの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]とツリーを展開して選択する。

  3. この状態で画面中央には、ローカルグループの一覧を表示している。そこで[操作]-[新しいグループ]、あるいは画面中央の一覧で右クリックして[新しいグループ]を選択する。

  4. [コンピューターの管理]管理ツールで、新しいグループの作成を指示する

  5. 続いて表示するダイアログで、グループ名と説明を指定する。説明は必須ではないが、何の目的で作成したグループなのかが後で分からなくなると困るので、説明を記述しておく方が望ましい。

グループ名だけ指定すれば、とりあえずグループの作成は可能。しかし、用途・目的が分かるように、説明も指定しておきたい

  • ここで[追加]をクリックすると、その場でグループのメンバーとなるユーザーアカウントを追加できるが、これは必須ではない。使用するダイアログは、アクセス権設定ダイアログでユーザーアカウント/グループを一覧に追加する際に使用するものと同じだ。

  • グループの作成と、(必要なら)メンバーの追加を行ったら、[作成]をクリックする。これでグループの作成が完了する。

  • 作成後もダイアログはそのままなので、引き続き別のグループを作成できる。作成がすべて終わった場合、あるいはグループの作成を中止する場合には、[閉じる]をクリックする。

  • グループのメンバ変更

    グループのメンバーを追加、あるいは削除するには、2種類の方法がある。

    ひとつは、グループのプロパティ画面で「グループのメンバー」を追加、あるいは削除する方法だ。ひとつのグループに対して、連続してユーザーアカウントの追加/削除を行う場面では、この方法が効率的だ。

    もうひとつの方法は、ユーザーアカウントのプロパティ画面で「所属するグループ」を指定する方法だ。特定のユーザーアカウントについて、連続して異なる複数のグループに対して追加/削除を行うときには、この方法が効率的だ。

    なお、Active Directoryと異なり、ローカルアカウントのグループでは、グループ同士の入れ子は行えない。

    まず、前者の方法について解説する。

    1. [スタート]画面の[管理ツール]以下にある[コンピューターの管理]をクリックする。

    2. [コンピューターの管理]管理ツール左側のツリー画面で、[コンピューターの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]とツリーを展開して選択する。

    3. この状態で画面中央には、ローカルグループの一覧を表示している。そこで目的の当該グループを選択して、[操作]-[プロパティ]、あるいは右クリックして[プロパティ]を選択する。

    4. すると、グループのプロパティ画面を表示する。その状態で[追加]をクリックすると、例のユーザーアカウント選択/検索ダイアログを表示するので、それを使ってグループに追加したいユーザーアカウントを指定する。

    5. グループのプロパティ画面で[追加]をクリックして、ユーザーアカウントをメンバー一覧に追加できる。逆に、メンバー一覧で選択して[削除]をクリックすると、選択したユーザーアカウントをメンバーから除く

    6. グループからユーザーアカウントを削除したいときには、メンバー一覧の中から削除したいユーザーアカウントを選択して、[削除]をクリックする。

    7. 「4.」~「5.」の操作を繰り返してメンバーの追加/削除を行い、意図した状態にする。最後に[OK]をクリックすると、変更結果が確定する。

    一方、ユーザーアカウントのプロパティ画面で所属するグループを指定するには、前回に解説した方法でユーザーアカウントのプロパティ画面を表示させて、[所属するグループ]タブに移動して行う。

    この画面では、その時点で当該ユーザーアカウントが所属しているグループの一覧を表示している。そこで [追加]をクリックすると、例のユーザーアカウント選択/検索ダイアログを表示するので、それを使ってユーザーアカウントを所属させたいグループを指定する。逆に所属するグループを削除したいときには、グループ一覧の中から削除したいグループを選択して、[削除]をクリックする。

    ユーザーアカウントのプロパティ画面で[所属するグループ]タブに移動すると、所属するグループの追加、あるいは削除が可能

    最後に[OK]をクリックすると、変更結果が確定する。

    このほか、[コンピューターの管理]管理ツール左側のツリー画面で、[コンピューターの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]を選択すると画面中央に現れるグループ一覧画面で、メンバーを変更したいグループを選択して[操作]-[グループに追加]、あるいは右クリックメニューで[グループに追加]を選択する方法でも、グループのプロパティ画面を表示してメンバーを変更できる。

    グループ一覧で目的のグループを選択して、右クリックメニューの[グループに追加]を選択する方法でも、グループのメンバーを変更できる

    グループの名前や説明の変更

    先に、グループのメンバーを変更する手段として取り上げたグループのプロパティ画面では、メンバーの追加/削除だけでなく、グループの説明文を変更することもできる。しかし、グループ名は変更できない。

    グループ名を変更するには、以下の手順を用いる。

    1. [スタート]画面の[管理ツール]以下にある[コンピューターの管理]をクリックする。

    2. [コンピューターの管理]管理ツール左側のツリー画面で、[コンピューターの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]とツリーを展開して選択する。

    3. この状態で画面中央には、ローカルグループの一覧を表示している。そこで目的の当該グループを選択して、[操作]-[名前の変更]、あるいは右クリックして[名前の変更]を選択する。

    グループ名を変更するときには[コンピュータの管理]管理ツールを使う。まず、[コンピュータの管理(ローカル)]-[システムツール]-[ローカルユーザーとグループ]-[グループ]を選択してから、名前の変更を行いたいグループを選択して、[操作]-[名前の変更]、あるいは右クリックして[名前の変更]を選択する。

    グループ名の変更は、プロパティ画面ではなくグループ一覧で行う

    ビルトイングループの利用

    Active Directoryと同様に、ローカルアカウントにもビルトイングループが存在する。ユーザーアカウントは、作成の時点で自動的に「Users」グループのメンバーになるので、ユーザー全員にアクセス権を設定するよう場面では、この「Users」グループを使うのが楽だ。

    その他のグループでメンバーを変更する可能性が考えられるものとしては、管理者権限を与える際に使用する「Administrators」グループと、リモートデスクトップ接続を許可する際に使用する「Remote Desktop Users」グループが挙げられる。ビルトイングループだからといって操作手順が異なるわけではなく、グループのプロパティ画面、あるいはユーザーアカウントのプロパティ画面で、これらのグループのメンバーを変更すればよい。