2. ユーザ管理とWindowsネットワーク
2.1. Windowsのユーザ管理
2.1.1. ユーザの種類
ローカルユーザ
ローカルユーザはサーバやコンピュータ上に作成されるアカウントのこと。 権限の範囲内でコンピュータの機能を利用できる。
通常のユーザはアクセス制限が与えられることが一般的となる。 最初のサイン時にユーザプロファイルが生成されるため作業環境が用意される。
管理者
管理者はすべての権限とアクセス権を持つ。
2.1.2. ローカルグループ
ローカルグループはローカルユーザが所属するグループで、同じ権限やアクセス許可を複数のユーザに設定する際に使用される。
2.1.3. ローカルユーザの種類
Administrator
サーバに対しフルの制御権を持つユーザアカウントでユーザやグループに権限を割り当てることが可能。
通常、サーバの構築時に作成されるローカルユーザとなる。
Guest
Guestはサーバ上にアカウントを持たないユーザや無効になっているユーザが一時的にサーバにサインインする際に存在するユーザ。 Guestは通常使用しないことが推奨されている。
2.1.4. ローカルグループの種類
Administrators
サーバに対しフルの制御権を持つグループ。
Users
一般的なサーバの機能を使用できる権限を持つグループ。 特徴は以下の通り。
- アプリケーションの実行が可能
- レジストリ変更やシステム/システムファイル変更はできない
- サーバのシャットダウンができない
- ローカルユーザ/ローカルグループの作成ができない
Guests
一次的なローカルユーザが所属するグループ ユーザプロファイルが保存されない特徴を持つ。
2.1.4. グループポリシー
ポリシーは新しく作成するローカルユーザ/ローカルグループに対して任意の権限を与えることができる権限のこと。
ローカルセキュリティポリシー
ローカルセキュリティポリシーはコンピュータのセキュリティに関する事項を設定する機能。 コンピュータの操作権限の制限やローカルユーザのアカウントの有効期限、パスワード長を指定できる。
- パスワードポリシー
- パスワードの有効期限/必要文字数などを指定できる
- アカウントロックアウトポリシー
- アカウントロックまでのサインイン失敗回数の設定ができる
- 監査ポリシー
- フォルダやファイルへのアクセスログ取得の有効/無効の設定が可能
- サーバへのサインインログ取得の有効/無効の設定が可能
- ユーザ権利の割り当て
- サーバへのサインインの許可設定
- システム時刻の変更許可
- システムのシャットダウンの許可
- セキュリティオプション
- Guestアカウントの使用許可
- パスワードの有効期限の事前警告表示
ローカルグループポリシーオブジェクト(LGPO)
ローカルグループポリシーオブジェクトは設定したローカルグループポリシーのこと。 ローカルグループポリシーはローカルセキュリティポリシーの一部。
ローカルグループポリシーには多くの種類がある。
- グループポリシーオブジェクト(GPO)
- AD環境ではドメインに対しポリシを設定できる。ドメイン環境のポリシはグループポリシと呼ばれる
- 設定したグループポリシはGPOと呼ばれる
グループポリシを設定するメリットは「環境制限によるセキュリティ強化」ができる点にある。
またグループポリシの適用順序は以下のように決まっている。
ローカルポリシー => サイトポリシー => ドメインポリシー => 親OU => 子OU
2.2. Windowsネットワーク
Windowsにおけるクライアントコンピュータとユーザ管理は「ワークグループによる分散管理」と「ドメインによる集中管理」の2種類存在する。
2.2.1. ワークグループ
ワークグループは同一ネットワーク上にあるWindowsコンピュータのグループ単位のこと。 メンバーとなる各Windowsコンピュータに同名称のワークグループを設定することでワークグループに参加できる。
ワークグループでのネットワークアクセス
ワークグループにおいてユーザのパスワードやユーザ名などのユーザ情報は各コンピュータ上でそれぞれ管理している。 この状態は分散管理と呼ばれる。
2.2.2. ドメイン
Windowsにおけるドメインは同一ネットワーク上に存在するコンピュータや利用ユーザを一元管理する機能のこと。 ドメイン上にはドメインコントローラと呼ばれる管理サーバが少なくとも1台存在する。
ドメインネットワークはこのドメインコントローラにより管理される範囲のことを指す。
ドメインの参加には以下の方法がある。
- ドメインコントローラ上でコンピュータを登録する方法
- 参加するコンピュータかたドメインコントローラにアクセスして認証する方法
またドメインの使用するメリットは以下の通り。
- 一元的なユーザの管理
- 認証/承認の管理
- セキュリティポリシーの一括管理
- セキュリティ更新プログラムの配布
ドメインコントローラ
ドメインコントローラはドメインを管理するためのサーバのこと。 ドメイン内のユーザのログオン認証を行う。
ドメイン内にドメインコントローラが1つ以上存在することで機能を実現する。 ユーザアカウント/グループはドメインコントローラに登録されユーザはドメインコントローラにユーザ名とパスワードを送り認証する。 なお冗長化のためにドメインコントローラは複数用意できる。
ドメインでのネットワークアクセス
ドメインではすべてのユーザ情報はドメインコントローラ上のデータベースに登録され管理される。 この状態は集中管理と呼ばれる。
ドメインネットワークでは認証プロセスと承認プロセスがドメインコントローラ上で実行され、一元管理されたユーザ情報に基づきアクセスが可能になる。 シングルサインオン(SSO)でアクセスできる特徴がドメインネットワークにはある。
2.2.3. ドメインとワークグループの比較
一般的には少人数のユーザ環境で導入コストが低い場合はワークグループを、ユーザ数が多くユーザ管理を頻繁に行う環境ではドメインを利用することを検討するのが一般的となる。
項目 | ワークグループ | ドメイン |
---|---|---|
導入コスト | 特別な準備は不要 | ドメインコントローラを用意する必要がある |
ユーザ管理 | ユーザ登録変更はすべてのコンピュータで行う必要がある | ドメインコントローラにて集中管理を行う |
セキュリティ | リソースへのアクセス権はそのコンピュータ上のみを対象とする | ドメインネットワーク全体から一部までリソースへのアクセス権を設定できる |