省略時の設定では, Windows NT および Tru64 UNIX のセキュリティの原則によって認証されてからでなければ,ユーザは共有へのアクセスを要求できません。したがって,共有にアクセスするユーザには,次のものが必要です。
ユーザが作成するドメイン・ユーザ・アカウント。 ASU サーバはこのアカウントを使用して,共有のために設定された Windows NT のセキュリティの原則をユーザが実行することを認証します。
ドメイン・ユーザ・アカウントを作成する場合に自動的に作成される Tru64 UNIX ユーザ・アカウント。 Tru64 UNIX オペレーティング・システム・ソフトウェアはこのアカウントを使用して,共有に関連付けられたファイル・システムまたはプリンタに対して設定された Tru64 UNIX のセキュリティの原則をユーザが実行することを認証します。
ドメイン・ユーザ・アカウントおよび Tru64 UNIX ユーザ・アカウントには,名前,パスワード,およびセキュリティ・システムがユーザ認証に使用する情報など,ユーザに関する情報が含まれています。
この章では,次の項目について説明しています。
ドメイン・ユーザ・アカウントおよびグループの作成については,『Advanced Server for UNIX インストレーション/管理ガイド』 を参照してください。
3.1 ドメイン・ユーザ・アカウント
ドメイン・ユーザ・アカウントには,Advanced Server ドメイン内に存在するユーザを定義する情報が含まれています。
表 3-1
は,ドメイン・ユーザ・アカウントの要素について説明しています。
表 3-1: ドメイン・ユーザ・アカウントの要素
アカウントの要素 | 説明 |
ユーザー名 |
ログオン時にユーザが入力する一意の名前。 |
フル ネーム |
ユーザのフル・ネーム。 |
説明 |
ユーザまたはユーザ・アカウントに関する説明 |
パスワード |
ユーザのパスワード。 パスワードのオプションの設定については,表 3-2 を参照。 |
ログオン時間 |
ユーザがドメインにログオンできる時間。ログオン時間の設定についての詳細は,3.1.1 項を参照。 ユーザのログオン時間が過ぎた場合に,ユーザが強制的にログオフさせられるかどうかは,ドメインのアカウントのセキュリティの原則の [ログオン時間を超過したリモート ユーザーを強制的に切断] オプションによって定義される。ドメインのアカウントの セキュリティの原則の設定についての詳細は,2.5.3.1 項を参照。 |
ログオンできるワークステーション |
ユーザがドメインにログインできるワークステーションのコンピュータ名。省略時の設定では,ユーザは任意のワークステーションにログインできる。 |
アカウントの有効期限 |
アカウントが自動的に無効になる日付。 臨時の従業員や学生のアカウントが,不必要に使用可能なままの状態にならないようにするには便利である。 |
ログオン スクリプト |
ユーザのログオン時に,自動的に実行されるバッチ・ファイルまたは実行可能ファイル。詳細については,3.1.2 項を参照。 |
ホーム ディレクトリ |
ユーザに固有なディレクトリ。詳細については,3.1.3 項を参照。 |
プロファイル |
プログラム・グループ,ネットワーク接続,および画面の色など,ユーザのデスクトップ環境を再現するための情報を含んだフォルダへのパス。詳細については3.1.4 項を参照。 |
アカウントの種類 |
アカウントの種類は,グローバルまたはローカルのいずれかである。ほとんどの場合,グローバル・アカウントを作成することになる。 |
表 3-2
は,ユーザのパスワードの管理に使用できるオプションを示しています。
表 3-2: ドメイン・ユーザ・アカウントのパスワードのオプション
オプション | 説明 |
ユーザーは次回ログオン時にパスワード変更が必要 |
チェック・ボックスがオンになっている場合,ユーザは,次回ドメインにログインする際にパスワードを変更しなければならない。 このオプションは,ドメイン・アカウントのセキュリティの原則にある [パスワードの変更禁止期間] オプションによって定義されている。ドメイン・アカウントのセキュリティの原則の設定についての詳細は,2.5.3.1 項を参照。 |
ユーザーはパスワードを変更できない |
チェック・ボックスがオンになっている場合,ユーザは,自分のパスワードを変更できない。この制限は,共有アカウントの場合に便利である。この制限は,管理者には適用されない。 |
パスワードを無期限にする |
チェック・ボックスがオンになっている場合,ユーザのパスワードの有効期間は無期限となる。このオプションは, |
アカウントを無効にする |
チェック・ボックスがオンになっている場合,アカウントは無効となり,このアカウントではログオンできなくなる。アカウントはディレクトリ・データベースから削除されないが,アカウントが有効になるまでユーザはそのドメインにログインできない。 |
ドメイン・ユーザ・アカウントには,そのアカウントを識別する一意の番号であるセキュリティ識別子 (SID) が含まれています。アカウントが作成されるときに,ネットワーク上のすべてのアカウントに対し一意の SID が発行されます。内部プロセスは,アカウントのユーザ名ではなくアカウントの SID を参照します。一度作成したアカウントを削除し,次に同じ名前でアカウントを作成しても, 異なる SID 番号をもっているため,新しいアカウントは,古いアカウントに与えられていた権利またはアクセス権を持つことはできません。ユーザ・アカウントの名前を変更しても,SID は保持されます。
3.1.1 ログオン時間の指定
省略時の設定では,ユーザは時間を制限されることなく ASU サーバに接続できます。ただし,アクセスできる時間を制限することもできます。
ユーザがコントローラに接続している間にログオン時間が過ぎた場合,ユーザは,[ログオン時間を超過したリモート ユーザーを強制的に切断] オプションの設定によって,すべてのサーバ接続から切断されるか,または既存の接続は維持されるものの,新しい接続は拒否されるかのいずれかになります。このオプションの設定についての詳細は,2.5.3.1 項を参照してください。
次の手順によりユーザのログオン時間を指定します。
net user /TIMES:{times | ALL}
コマンド。
net user
コマンドの詳しい説明を表示するには,次のコマンドを入力してください。
#
net help user /options
| more
ドメイン ユーザー マネージャを使用して指定したユーザのプロパティを表示し,[ユーザーのプロパティ] ダイアログ・ボックスの [時間] を選択します。
[ログオン時間] ダイアログ・ボックスが表示されます。[ログオン時間] ダイアログ・ボックスには 1 週間分のカレンダが表示され,ログオン時間は曜日ごとに 1 時間刻みで表示されます。各ボックスは 1 時間を表します。たとえば,各行の最初のボックスは深夜午前 0 時 00 分から午前 0 時 59 分までの時間を,各行の最後のボックスは午後 11 時 00 分から午後 11 時 59 分までの時間をそれぞれ表します。塗りつぶされているボックスは,ユーザがコントローラへの接続を許可されていることを示します。空のボックスは,ユーザがコントローラへの接続を許可されていないことを示します。
注意
ログオン時間は,ユーザがログオンまたは接続しているワークステーションまたはサーバのタイム・ゾーンではなく,PDC のタイム・ゾーンの時間で示されます。
ログオン・スクリプトは,ASU サーバを実行しているシステムにログオンするたびに,自動的に実行されるコマンドからなる実行可能ファイルまたはバッチ・ファイルです。ログオン・スクリプトは,ネットワークの接続およびアプリケーションの起動など,ユーザの作業環境を自動的に構成するために使用されます。
ログオン・スクリプトをいつでも使用できるようにするには,Replicator
サービスを利用するのが最もよい方法です。Replicator
サービスは,複数のコントローラ上にあるディレクトリ・ツリーと全く同じ複製物 (コピー) を維持管理します。ツリー (エクスポート・サーバにある) のマスタ・コピー内のファイルに変更を加えると,Replicator
サービスは変更内容をインポート・コントローラに自動的にコピーします。
3.1.2.1 ログオン・スクリプトの作成
ログオン・スクリプトは,テキスト・エディタで作成できます。Replicator
サービスを使用して,ログオン・スクリプトをドメイン・コントローラに配布できます。
Replicator
サービスを使用する場合,ASU サーバは,インポート・サーバ上の
/usr/net/servers/lanman/shares/asu/repl/import/scripts
ディレクトリおよびエクスポート・サーバ上の
/usr/net/servers/lanman/shares/asu/repl/export/scripts
ディレクトリでログオン・スクリプトを探します。Replicator
サービスを使用しない場合には,コントローラはどれでもログオン要求を認証できるため,ログオン・スクリプトが各コントローラ上の同じディレクトリにあることを確認し,その後でログオン・スクリプトを実行する必要があります。ディレクトリの複製についての詳細は,4.2 節を参照してください。
表 3-3
に,ログオン・スクリプトを作成する場合に使用できる特殊なパラメータを示します。
表 3-3: ログオン・スクリプトのパラメータ
パラメータ | 説明 |
%HOMEDRIVE% | ユーザのホーム・ディレクトリに接続されているユーザのローカル・ワークステーションのドライブ名 |
%HOMEPATH% | ユーザのホーム・ディレクトリの絶対パス名 |
%HOMESHARE% | ユーザのホーム・ディレクトリがある共有名 |
%OS% | ユーザのワークステーションのオペレーティング・システム |
%PROCESSOR_ARCHITECTURE% | ユーザのワークステーションのプロセッサのタイプ |
%PROCESSOR_LEVEL% | ユーザのワークステーションのプロセッサ・レベル |
%USERDOMAIN% | ユーザのアカウントがあるドメイン |
%USERNAME% | ドメインのユーザ名 |
ログオン・スクリプトをドメイン・ユーザ・アカウントに割り当てるには,次の操作を行います。
net user
username
/scriptpath:[pathname]
コマンドを使用します。net user
コマンドの詳しい説明を表示するには,以下のコマンドを入力してください。
#
net help user /options
| more
ドメイン ユーザー マネージャを使用します。ユーザのプロパティを選択し,[プロファイル] ボタンをクリックして,「ログオン スクリプト名」ボックスにログオン・スクリプトのパスを入力します。
ユーザのホーム・ディレクトリとは,そのユーザがアクセス可能で,そのユーザのファイルおよびプログラムが含まれているディレクトリのことです。ユーザがワークステーションにログインすると,そのユーザのホーム・ディレクトリに自動的に接続されます。つまり,[開く] および [名前を付けて保存] のダイアログ・ボックス,コマンド・プロンプト,および作業ディレクトリが定義されていないすべてのアプリケーションに対して,そのユーザの省略時のディレクトリになります。省略時の設定では,ドメイン・ユーザ・アカウントを作成すると,ASU サーバは,Tru64 UNIX アカウント名を使用して,/usr/users
ディレクトリにユーザのホーム・ディレクトリを作成します。
ホーム・ディレクトリを指定しない場合,省略時のホーム・ディレクトリはユーザのローカル・ドライブの
¥USERS¥DEFAULT
です。
ホーム・ディレクトリを使用することにより,ユーザ・ファイルを一カ所に集めることができるため,管理者はユーザ・ファイルのバックアップやユーザ・アカウントの削除が容易にできるようになります。
3.1.3.1 ホーム・ディレクトリの割り当て
次の操作を行い,ホーム・ディレクトリをユーザ・アカウントに割り当てます。
net user
username
/homedir:pathname
コマンドを使用します。net user
コマンドの詳しい説明を表示するには,以下のコマンドを入力してください。
#
net help user /options
| more
ドメイン ユーザー マネージャを使用します。ユーザのプロパティを選択し,[プロファイル] ボタンをクリックして,[ホーム ディレクトリ] ボックスにホーム・ディレクトリのパスを入力します。
コントローラ上のホーム・ディレクトリを指定すると,そのディレクトリが存在しない場合には,作成されます。ユーザのローカル・システム上のディレクトリを指定すると,そのディレクトリが存在しなくても作成されません。
[ホーム ディレクトリ] ボックスで,パスの最後のエントリを
%USERNAME%
に置き換えることができます。%USERNAME%
は,システムによって,後でドメイン・ユーザ・アカウントのユーザ名に置き換えられます。この置き換えは,複数のドメイン・ユーザ・アカウントを選択する場合に便利です。たとえば, 8 つのドメイン・ユーザ・アカウントを選択しているとします。[ホーム ディレクトリ] ボックスで [ドライブ] を選択し,ドライブ文字として K を指定して [パス] ボックスを選択し,¥¥SALES¥home¥%username%
と入力します。[OK] を選択して,ユーザー環境プロファイルを保存すると,各%USERNAME%
は実際のユーザ名に置き換えられます。
ドメイン・ユーザ・アカウントがコピーされると,ホーム・ディレクトリは次の 2 つの方法のいずれかによってコピーされます。
コピー元のユーザ・アカウントのホーム・ディレクトリ・パスの最後のサブディレクトリがユーザ名の場合,新しいアカウントには,ホーム・ディレクトリ・パスにある新しいユーザ名が与えられます。たとえば,もとのドメイン・ユーザ・アカウントのユーザ名が PETER でホーム・ディレクトリが ¥¥SETTER¥USERS¥PETER の場合,ユーザ名 EVAN というコピーされた (新しい) ドメイン・ユーザ・アカウントのホーム・ディレクトリは ¥¥SETTER¥USERS¥EVAN となります。
コピー元のユーザ・アカウントのホーム・ディレクトリ・パスの最後のサブディレクトリがユーザ名でない場合,ホーム・ディレクトリ・パスはそのままコピーされます。たとえば,もとのドメイン・ユーザ・アカウントのユーザ名が PETER でホーム・ディレクトリが ¥¥HOUND¥USERS¥HOME の場合,ユーザ名 EVAN というコピーされた (新しい) ドメイン・ユーザ・アカウントのホーム・ディレクトリは,同じ ¥¥HOUND¥USERS¥HOME となります。
ユーザ・プロファイルは,ユーザがログインしたときに設定する作業環境の設定項目を定義します。この設定には,使用できるコントロール・パネルのオプション,画面の色,共有の接続,マウスの設定,ショートカット,ウィンドウ・サイズと位置など,Windows 環境のユーザ固有の設定がすべて含まれます。
ユーザ・プロファイルには次のタイプがあります。
ローカル・ユーザ・プロファイルは,Windows オペレーティング・システムが動作しているコンピュータにユーザが初めてログオンしたとき,そのコンピュータ上に自動的に作成されます。それ以降,ユーザがそのコンピュータにログオンするたびに,ユーザごとのユーザ・プロファイルが利用可能になります。
移動ユーザ・プロファイルは,ASU サーバまたは Windows オペレーティング・システムが動作しているコンピュータ上で利用できます。移動ユーザ・プロファイルを使用できるようにするには,管理者がユーザ・アカウントにユーザ・プロファイルのパスを入力します。その後最初にログオフしたとき,ローカル・ユーザ・プロファイルがそのユーザ・プロファイルのロケーションにコピーされます。以降,ユーザがログオンするたびに,ユーザ・プロファイルのサーバ・コピーがダウンロードされます (サーバ・コピーがローカル・コピーよりも新しい場合)。ローカル・コピーとサーバ・コピーは両方とも,ユーザがログオフするたびに更新されます。
固定ユーザ・プロファイルは,ユーザ用に作成された移動プロファイルですが,ユーザはそのファイルを変更できません。ユーザがログオフしても,ローカル・ユーザ・プロファイルは保存されず,ローカル・ユーザ・プロファイルはサーバにコピーされません。
ユーザ・プロファイルは,Windows 95 が動作しているコンピュータで利用可能です。ただし,ユーザ・プロファイルがこのシステムに格納されている場合でも,ASU サーバまたは Windows NT が動作しているコンピュータ上のユーザは,Windows 95 上で作成されたユーザ・プロファイルを利用できません。
3.1.4.1 ユーザ・プロファイルの作成
システム ポリシー エディタを使用して,ユーザ・プロファイルを作成できます。システム ポリシー エディタは Windows ベースのインタフェースで,このツールを使用すれば,ドメインにログインして,特定の Windows コンピュータ,ユーザまたはグループの環境を定義するポリシを表示させて管理することができます。
システム ポリシー エディタを使用すると,次のポリシが設定できます。
各ドメイン・ユーザ・アカウントまたはグループに適用されるユーザ固有のポリシ。多くのポリシがユーザ固有です。
Windows システム上のすべてのユーザに適用され,ユーザごとには変わらないマシン固有のポリシ。ユーザがさまざまなシステム間を移動しても,ユーザには対応しません。
システム ポリシー エディタは,ポリシ (.POL
) ファイルに設定を保存します。ユーザがログインすると,ポリシ・ダウンローダというプログラムが起動します。ポリシ・ダウンローダは,すべての Windows クライアントにインストールされています。ポリシ・ダウンローダは,ネットワーク上にポリシ・ファイルがないかどうかを調べたり,ポリシ・ファイルをオープンしたり,ローカルのコンピュータ名やユーザ名を使ったエントリを探したり,ポリシ・ファイルに定義された,管理者のレジストリ設定をローカル・レジストリにマージしたりします。ダウンローダがポリシ・ファイルにローカルのコンピュータ名またはユーザ名を持つエントリを見つけられない場合は,DEFAULT USER または DEFAULT COMPUTER のエントリを探し,これらのレジストリ設定をマージ用に使用します。特定のユーザまたはコンピュータのエントリがなく省略時のエントリも存在しない場合,マージは行われません。
システム ポリシー エディタについての詳細は,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。
3.1.4.2 プロファイルの割り当て
ドメイン・ユーザ・アカウントにプロファイルを割り当てるには,次の操作を行います。
net user
username
/profilepath:[pathname]
コマンドを使用します。net user
コマンドの詳しい説明を表示するには,次のコマンドを入力してください。
#
net help user /options
| more
ドメイン ユーザー マネージャを使用します。ユーザのプロパティを選択し,[プロファイル] ボタンをクリックして,[ユーザー プロファイルのパス] ボックスにプロファイルのパスを入力します。
権利とは,ファイルやディレクトリのバックアップ,コンピュータへの対話形式のログオン,システムのシャットダウンなど,コンピュータ・システム上で特定の操作の実行をユーザに許可することをいいます。権利は,ドメイン・レベルでは,ドメイン・コントローラを使用する能力であり,ローカル・レベルでは,ワークステーションまたはメンバ・サーバを使用する能力です。権利は,ドメイン・ユーザ・アカウントまたはグループに与えることができます。
ドメイン・ユーザ・アカウントにログオンするユーザ,または操作を実行するために適切な権利が与えられたグループに属するユーザは,操作を実行できます。ユーザが操作を実行するために適切な権利をもっていない場合,その操作を実行しようとすると,ASU サーバによってブロックされます。
権利は,システム全体に適用されるもので,特定のオブジェクトに適用されるアクセス権とは異なります。アクセス権とは,オブジェクト (通常,ディレクトリ,ファイル,またはプリンタ) に関連付けられた規則のことで,そのオブジェクトにアクセスできるユーザと,そのアクセス方法を制御します。ほとんどの場合,オブジェクトの作成者や所有者が,そのオブジェクトのアクセス権を設定します。しかし,すべての権利が特定のオブジェクトに関連付けられているわけではなく,ドメイン (ドメイン・コントローラ) レベルまたはローカル (ワークステーションあるいはメンバ・サーバ) レベルで適用されるため,オブジェクトに対して設定されたアクセス権を無効にする場合があります。たとえば,Backup Operators グループのメンバであるドメイン・アカウントにログオンしているユーザは,ドメインのすべてのサーバに対してバックアップ作業を実行する権利を持っています。バックアップ作業を実行するには,サーバ上のすべてのファイルを読み取る能力が必要になります。しかし,ファイルによっては,所有者がアクセス権を明示的に設定して Backup Operators グループのメンバを含む,すべてのユーザのアクセスを拒否する設定になっている場合があります。この場合,バックアップを実行する権利は,すべてのファイルおよびディレクトリへのアクセス権よりも優先されます。
表 3-4
は,各種のユーザ権利を説明しています。アクセス権についての詳細は,4.1 節を参照してください。
表 3-4: ユーザ権利
ユーザ権利 | 実行できる操作 |
ネットワーク経由でコンピュータへアクセス | ネットワークを経由してコントローラに接続する。この権利は管理者のローカル・グループから取り消せない。 |
ドメインにワークステーションを追加 | ドメインにワークステーションを追加する。その結果,ワークステーションはドメインおよび信頼される側のドメインのユーザ・アカウントとグローバル・グループを認識できる。 |
ファイルとディレクトリのバックアップ | ファイルとディレクトリをバックアップし,すべてのファイルを読み取る。この権利は,ファイルやディレクトリのアクセス権よりも優先され,レジストリにも適用される。 |
システム時刻の変更 | コントローラの内部時計の時刻を設定する。 |
リモート コンピュータからの強制シャットダウン | この権利は現在,実装されていない。将来の使用のために予約されている。 |
デバイス ドライバのロードとアンロード | デバイス・ドライバのインストールと削除を行う。 |
ローカル ログオン | コントローラにローカルでログオンする。 |
監査とセキュリティ ログの管理 | どんな種類の共有へのアクセス (ファイル・アクセスなど) を監査するかを指定する。セキュリティ・ログの表示とクリアを行う。ユーザがこの権利を持っていてもシステム監査を設定することはできない。この機能は Administrators グループだけが有する。 |
ファイルとディレクトリの復元 | ファイルとディレクトリの復元 (書き込み) を行う。この権利は,ファイルとディレクトリのアクセス権より優先され,レジストリにも適用される。 |
システムのシャットダウン | コントローラをシャットダウンする。 |
ファイルとその他のオブジェクトの所有権の取得 | コントローラ上のファイル,ディレクトリ,およびその他のオブジェクトの所有権を取得する。 |
ドメイン ユーザー マネージャを使用し,[原則],次に [ユーザーの権利] を選択することにより,ドメイン・ユーザ・アカウントに権利を割り当てます。
ドメインにユーザ権利を割り当てると,それらの権利はすべてのコントローラに適用されます。ワークステーションまたはメンバ・サーバ上で管理されるユーザ権利は,ワークステーションまたはメンバ・サーバにだけ適用されます。
3.1.6 ビルトイン・ドメイン・ユーザ・アカウント
ASU ソフトウェアをインストールすると,次の 2 つのビルトイン・ユーザ・アカウントが自動的に作成されます。
Administrotor アカウント
Guest アカウント
3.1.6.1 ビルトイン Administrotor ユーザ・アカウント
ビルトイン Administrotor アカウントには,ドメインに属する,コントローラ,ワークステーション,またはメンバ・サーバ上でドメイン管理作業を実行する権利が与えられます。
ASU ソフトウェアをインストールすると,ビルトイン Administrotor アカウントにパスワードの入力が指示されます。このパスワードは,十分注意を払って保護する必要があります。パスワードを忘れてしまったり,パスワードを知っている人間がいなくなったりすると,ビルトイン Administrotor アカウントが使用できなくなるためです。パスワードの変更は可能で,有効期限はありません。
ビルトイン Administrotor アカウントは,削除することも無効にすることもできません。この特長は,ビルトイン Administrotor アカウントが Administrotors ローカル・グループの他のメンバと異なる点です。
ASU ソフトウェアのインストールに続いて,管理者レベルの機能を持つ管理アカウントをもう 1 つ作成し,ビルトイン Administrotor アカウントを緊急時用のアカウントとして確保しておくことをお勧めします。管理特権を持つユーザに個別のアカウントを作成すれば,これらのユーザ操作をビルトイン Administrotor アカウントではなく,個々のユーザ・アカウントによって監査できます。
ASU ソフトウェアのインストールについては,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。監査については,第 6 章を参照してください。
3.1.6.2 ビルトイン Guest ユーザ・アカウント
ビルトイン Guest アカウントは,ドメインまたは信頼される側のドメインに,ドメイン・ユーザ・アカウントを持たないユーザがログオンする場合に使用します。アカウントが無効になっている (ただし削除されていない) ユーザも Guest アカウントを使用できます。
Guest アカウントは,省略時の設定では無効になっています。Guest アカウントはパスワードを必要とせず,ドメイン上ではあらかじめ定義されている権利やアクセス権はありませんが,他のドメイン・ユーザ・アカウントと同じように,パスワード,権利およびアクセス権を設定できます。
ゲスト・ログオンには次の 2 種類があります。
ローカル・ゲスト・ログオン。 ローカル・ゲスト・ログオンでは, Windows ソフトウェアが動作しているコンピュータにユーザが対話形式でログオンするとき,[ログオン情報] ダイアログ・ボックスでユーザ名に Guest を指定します。(ドメイン・コントローラではなく) コンピュータ上の Guest アカウントにはローカルにログオンできる組み込み済みの権利があるので,ゲスト・ユーザはそのコンピュータで (Guest アカウントに与えられた権利とアクセス権の範囲内で) 作業を行い,ネットワークにアクセスできます。
ネットワーク・ゲスト・ログオン。 ユーザがコントローラにネットワーク接続するとき,そのコントローラがユーザ名,ドメイン名,およびパスワードを認識しない場合にネットワーク・ゲスト・ログオンになります。ネットワーク・ゲスト・ログオンは,接続先のコントローラで Guest アカウントが有効になっており,パスワードが設定されていない場合に限り,承認されます。その場合,ゲスト・ユーザは,ユーザ名として Guest を指定しなくても,コントローラ上で Guest アカウントに与えられている,すべての権利,アクセス権,およびグループ・メンバシップを持つことになります。
次の操作を行い,各コントローラの Guest アカウントを有効にします。
net user Guest /active:yes
コマンドを使用します。net user
コマンドの詳しい説明を表示するには,以下のコマンドを入力してください。
#
net help user /options
| more
ドメイン ユーザー マネージャを使用し,Guest ユーザを選択して,[アカウントを無効にする] の隣にあるボックスをクリックしてチェック・マークをはずします。
省略時の設定では,Tru64 UNIX オペレーティング・システム・ソフトウェアは,共有に関連付けられたファイル・システムまたはプリンタにユーザがアクセスする前にユーザを認証します。
省略時の設定では,ドメイン・ユーザ・アカウントを作成したときに,同じ名前を持つ Tru64 UNIX ユーザ・アカウントが存在しなければ,ローカルの
/etc/passwd
ファイルに自動的に作成されます。Tru64 UNIX オペレーティング・システム・ソフトウェアはこのアカウントを使用して,ユーザを認証します。なお,認証要求をネットワーク情報サービス (NIS),Windows 2000 Server,または Windows NT Server Version 4.0 に送付するように,Tru64 UNIX オペレーティング・システム・ソフトウェアを構成することもできます。NIS,Windows 2000 Server,または Windows NT Server Version 4.0 は,ユーザ・アカウント・データベースの情報を使用し,Tru64 UNIX オペレーティング・システム・ソフトウェアに代わってユーザを認証して,その結果を返送します。これは,NIS,Windows 2000 Server 上にユーザ・アカウント・データベースがあって,Tru64 UNIX システム上にユーザ・アカウント・データベースを作成したくない場合に便利です。
ユーザ・アカウント認証の設定についての詳細は,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。
3.2.1 ドメイン・ユーザ・アカウントの Tru64 UNIX ユーザ・アカウントへの関連付け
省略時の設定では,ドメイン・ユーザ・アカウントは Tru64 UNIX ユーザ・アカウントに関連付けられています。この関連付けにより,Tru64 UNIX ファイルは,Tru64 UNIX システム・ユーザ・アカウントによって所有され,ドメイン・ユーザ・アカウントによってアクセス可能になります。特定のユーザ・アカウントにマップされていないドメイン・ユーザ・アカウントは,省略時の設定では
lmworld
Tru64 UNIX ユーザ・アカウントにマップされます。
ドメイン・ユーザ・アカウントに割り当てられるTru64 UNIX ユーザ・アカウント名は,ドメイン・ユーザ・アカウント名と同じか,それとよく似たものになります。ユーザ・アカウント名が長いか,重複しているか,または特殊文字を使用している場合には差異が生じます。ドメイン・ユーザ・アカウント・ユーザが,存在しない Tru64 UNIX ユーザ・アカウントに関連付けられているか,またはそのユーザの Tru64 UNIX ユーザ・アカウントが削除されている場合,ユーザはどの共有にもアクセスできません。
mapuname
コマンドを使用して,ドメイン・ユーザ・アカウントの Tru64 UNIX ユーザ・アカウントへの関連付けを制御できます。ドメイン・ユーザ・アカウントと Tru64 UNIX ユーザ・アカウントとの省略時の関係は,ASU レジストリのユーザ関連レジストリ値エントリに割り当てられた値によって制御されます。
ASU レジストリについての詳細は,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。
3.3 ドメイン・ユーザ・アカウントのグループ化
管理を簡略化するために,ドメイン・ユーザ・アカウントをグループ化し,グループを一単位として管理できます。グループに追加されたドメイン・ユーザ・アカウントは,そのグループのメンバになり,グループに与えられた権利とアクセス権を直ちに取得できます。グループに行った変更は,各メンバに影響を与えます。グループ・メンバシップとすることで,多数のユーザに共通的な機能を簡単に与えることができます。
グループには次の 3 つのタイプがあります。
ローカル・グループ
グローバル・グループ
特殊グループ
ローカル・グループには,ローカル・ドメインおよびそれを信頼する側のドメインのドメイン・ユーザ・アカウントとグローバル・グループが含まれています。ローカル・グループには他のローカル・グループを入れることはできません。表 3-5
は,ビルトイン・ローカル・グループについて説明しています。
表 3-5: ローカル・グループ
グループ | 説明 |
Administrators |
メンバには自動的に,ドメインとコントローラを管理するための,すべての組み込み済みの権利と能力が与えられる。 省略時の設定では,Domain Admins グローバル・グループは Administrators ローカル・グループのメンバになる。 |
Users |
メンバは,ドメインへの通常のユーザ・アクセス権と能力を持っている。 省略時の設定では,Domain Users グローバル・グループは,Users ローカル・グループのメンバになる。 |
Guests |
メンバは,コントローラ上では何の権利も持っていない。しかし,個々のワークステーションで特定の権利を持っている。 省略時の設定では,Domain Guests グローバル・グループは Guests ローカル・グループのメンバになる。 |
Account Operators |
メンバは,ほとんどのドメイン・ユーザ・アカウントとグループの作成,変更,および削除,ドメイン・コントローラのログオンとシャットダウン,さらにドメインへのコントローラまたはメンバ・サーバの追加を行うことができる。 メンバは,セキュリティの原則を管理することはできない。また,Domain Admins グローバル・グループを変更または削除することもできない。さらに,Administrators,Account Operators,Backup Operators,Print Operators または Server Operators の各ローカル・グループとこれらのローカル・グループに属するグローバル・グループを変更または削除することはできない。これらのグループ・メンバのアカウントを変更および削除することもできない。 |
Backup Operators |
メンバは,PDC および BDC 上のファイルのバックアップおよび復元を行うことができる。 |
Print Operators |
メンバは,ドメインのコントローラ上のプリンタ共有の作成,削除,および管理を行うことができる。コントローラをシャットダウンすることもできる。 |
Server Operators |
メンバは,共有の作成,削除および管理と,システム時刻の変更を行うことができる。 |
Replicator |
メンバは,ドメイン内の PDC および BDC の |
すべてのビルトイン・ローカル・グループが ASU サーバ,Windows NT サーバ,Windows NT ワークステーション,およびメンバ・サーバ上に存在するわけではありません。表 3-6
は,どのビルトイン・ローカル・グループが ASU サーバ,Windows NT サーバ,Windows NT ワークステーション,およびメンバ・サーバ上に存在するかについて説明しています。
表 3-6: ビルトイン・ローカル・グループ
ASU サーバおよび Windows NT サーバ | Windows NT ワークステーションおよびメンバ・サーバ |
Administrators | Administrators |
Users | Users |
Guests | Guests |
Account Operators | Backup Operators |
Backup Operators | Replicator |
Print Operators | Power Users |
Server Operators | |
Replicator |
グローバル・グループには,作成されたドメインのドメイン・ユーザ・アカウントが含まれています。グローバル・グループにはローカル・グループ,他のグローバル・グループ,または他のドメインのドメイン・ユーザ・アカウントを入れることはできません。グローバル・グループは,同じドメインおよびそのドメインを信頼する側のドメインに追加することができます。また,同じドメインおよびそのドメインを信頼する側のドメインにあるメンバ・サーバや Windows NT Workstation が動作しているコンピュータにグローバル・グループを追加することもできます。グローバル・グループに対しては,アクセス権と権利を,そのドメイン内,ワークステーションまたはメンバ・サーバ上,あるいは信頼する側のドメイン内で与えることができます。Windows NT Workstation が動作するコンピュータまたはメンバ・サーバとして動作するコンピュータ上にはグローバル・グループを作成できません。
表 3-7
は,ビルトイン・グローバル・グループについて説明しています。これらのグループは削除できません。
表 3-7: グローバル・グループ
グループ | 説明 |
Domain Admins |
メンバは,ドメイン,ドメインのコントローラとワークステーション,および信頼する側のドメインを管理できる。ただし,この信頼する側のドメインには,あらかじめこのドメインの Domain Admins グローバル・グループを,Administrators ローカル・グループに追加しているものとする。Administrators ローカル・グループだけが Domain Admins グローバル・グループを変更できる。 ビルトイン Administrator ユーザ・アカウントは,Domain Admins グローバル・グループのメンバである。Domain Admins グローバル・グループは Administrators ローカル・グループのメンバでである。ドメイン・ユーザ・アカウントに管理者レベルの能力を与えるには,そのアカウントを Domain Admins グローバル・グループに追加する。 |
Domain Users |
メンバは,そのドメインおよびドメイン内の Windows NT ワークステーションと,メンバ・サーバとして動作している Windows NT サーバに対して,通常のユーザ・アクセス権と能力を有する。Administrators と Account Operators だけが Domain Users グローバル・グループを変更できる。 ビルトイン Administrator ユーザ・アカウントは,Domain Users グローバル・グループのメンバである。省略時の設定では,すべての新しいドメイン・ユーザ・アカウントは,特に削除しない限り,Domain Users グループに追加される。 Domain Users グローバル・グループは,そのドメインの Users ローカル・グループのメンバであり,ドメイン内で Windows NT Workstation が動作しているすべてのコンピュータと Windows NT Server が動作しているメンバ・サーバの Users ローカル・グループのメンバである。 |
Domain Guests |
メンバは,コントローラに対してはどんな権利も持っていない。 ビルトイン Guests ユーザ・アカウントは,Domain Guests グローバル・グループのメンバである。Domain Guests グローバル・グループは,Guests ローカル・グループのメンバである。 ユーザ・アカウントを追加する場合,そのアカウントの権利とアクセス権を一般的なドメイン・ユーザ・アカウントよりも厳しく制限するには,ユーザ・アカウントを Domain Guests グループに追加し,Domain Users グループからは削除する。Administrators と Account Operators だけが Domain Guests グローバル・グループを変更できる。 |
表 3-8 は,特殊な目的に使用されるその他のグループを示しています。これらのグループのメンバシップは変更できないため,ドメイン ユーザー マネージャにはリストされません。
ASU サーバを管理するときに,これらの特殊グループがグループのリストに時々表示されます。たとえば,共有およびファイルにアクセス権を割り当てる場合に表示されることがあります。
表 3-8: 特殊グループ
グループ | 説明 |
Everyone |
メンバには,すべてのローカル・ユーザおよびリモート・ユーザ (Interactive グループと Network グループを組み合わせたもの) が含まれる。 ドメインでは,メンバはネットワークへのアクセス,ディスク共有およびプリンタ共有への接続が可能。 |
Interactive |
メンバには,ローカルでコンピュータを使用している任意のユーザが含まれる。 |
Network |
メンバには,ネットワークを介してコンピュータに接続されているユーザが含まれる。 |
System |
メンバにはオペレーティング・システムが含まれる。 |
Creator Owner |
メンバには,サブディレクトリ,ファイル,またはプリント・ジョブの作成者が含まれる。ディレクトリに対して,Creator Owner グループにアクセス権が与えられている場合,サブディレクトリまたはファイル作成者にはそのサブディレクトリまたはファイルに対するアクセス権が与えられる。プリンタに対しては,Creator Owner グループにアクセス権が与えられている場合,プリント・ジョブの作成者に,そのプリント・ジョブに対するアクセス権が与えられる。 |
権利の中には,特定のグループのメンバであるユーザにしか与えられないものがあります。たとえば,ユーザがドメイン・ユーザ・アカウントを作成できるようにする唯一の方法は,ドメイン上の Administrators または Account Operators ローカル・グループにその人のドメイン・ユーザ・アカウントを追加することです。
複数のビルトイン・グループにユーザを追加することができます。たとえば,Print Operators と Backup Operators グループの両方のユーザには,Print Operators に与えられたすべての権利と,Backup Operators に与えられたすべての権利が与えられます。
1 つのドメインで,権利をドメイン・レベルで与えたり,制限したりすることができます。グループがドメインの中に権利をもっている場合,そのメンバはドメイン内のすべてのコントローラに対して権利を持ちます。メンバ・サーバでは,与えられた権利はそのコンピュータにだけ適用されます。
複数のドメインが設定されている場合,信頼する側のドメインのローカル・グループにユーザを追加する方法として,グローバル・グループを利用する方法があります。ユーザの権利とアクセス権を他のドメイン上の資源に拡張する場合,ドメインのグローバル・グループにアカウントを追加し,信頼する側のドメインのローカル・グループにそのグローバル・グループを追加します。
単一のドメインを維持管理する場合でも,今後ドメインが追加されるかもしれないことに留意してください。すべての権利とアクセス権を与える方法として,グローバル・グループをローカル・グルーに追加する方法があります。後で別のドメインが作成された場合は,信頼関係を確立して,新しいドメインのグローバル・グループをローカル・グループに追加すれば,ローカル・グループに割り当てられていた権利とアクセス権を,新しいドメインのユーザにまで拡張できます。同様に,新しいドメインが現在のドメインを信頼する場合,現在のグローバル・グループを新しいドメインのローカル・グループに追加できます。
ドメインのグローバル・グループは,Windows NT Workstation が動作するコンピュータ上または Windows NT Server が動作するメンバ・サーバ上で管理目的に使用することも可能です。たとえば,Domain Admins グローバル・グループは,省略時の設定では,既存のドメインに参加している各ワークステーションまたはメンバ・サーバ上の Administrators ビルトイン・ローカル・グループに追加されます。ワークステーションまたはメンバ・サーバの Administrators ローカル・グループのメンバシップを使用することにより,ネットワーク管理者はプログラム・グループの作成,ソフトウェアのインストール,コンピュータの問題解決を行って,そのコンピュータをリモートから管理できます。
ネットワーク管理者には通常 2 つの役割があります。つまり,ネットワークの管理者とユーザの役割です。安全性の点で,ネットワーク管理者は 2 つのドメイン・ユーザ・アカウントを使用する方が有理です。これらのアカウントのうち 1 つは Domain Admins グローバル・グループに属し,ネットワークの管理作業に使用します。もう 1 つのアカウントは Domain Users グローバル・グループに属し,管理以外のすべての作業に使用します。通常のユーザとしてログオンしていれば,管理者だけが変更できるネットワーク関連を不用意に変更してしまうこともありません。管理者がうっかりウィルスを持ち込んでも,そのプログラムに管理者の権利がなければ,オペレーティング・システムが変更されてしまうような事態は避けられます。
表 3-9
は,グローバル・グループとローカル・グループの使用方法のガイドラインを示しています。
表 3-9: グループのガイドライン
グループの目的 | 種類 | 説明 |
他のドメインまたはユーザのワークステーションで使用できるように,ドメインのユーザを 1 つにグループ化する。 | グローバル | グローバル・グループは,ローカル・グループに入れて,他のドメインのアクセス権と権利を直接与えることができる。 |
1 つのドメインだけでアクセス権と権利を必要とするユーザをグループ化する。 | ローカル | ローカル・グループには,このドメインと他のドメインのユーザとグローバル・グループを入れることができる。 |
Windows NT Workstation が動作しているコンピュータ,またはメンバ・サーバ上でアクセス権を必要とするユーザをグループ化する。 | グローバル | ドメインのグローバル・グループには,これらのコンピュータ上のアクセス権を与えることができるが,ドメインのローカル・グループには与えることができない。 |
他のグループを入れる。 | ローカル | ローカル・グループにはグローバル・グループとユーザを入れることができるが,他のローカル・グループを入れることはできない。 |
複数のドメインのユーザをグループ化する。 | ローカル | ローカル・グループは,それが作成されたドメイン内だけで使用できる。このローカル・グループのアクセス権を複数のドメインに与える必要がある場合は,必要とするすべてのドメインにローカル・グループを作成しなければならない。 |
グループ名は管理されるドメインまたはコンピュータで一意でなければなりません。グローバル・グループ名は 20 文字以下とします。ローカル・グループ名は 256 文字以下とします。グループ名には,任意の大文字,小文字の英数字が使用できます。
グループ名を区別して表示する必要がある場合には,ASU サーバは,DOMAINNAME¥groupname または COMPUTERNAME¥groupname の形式でグループ名を表示して,グループのドメインまたはワークステーションを識別します。たとえば,Engineering というドメインにある Managers というグループは,ENGINEERING¥Managers と表示されます。
グループはコピーしたり作成したりできます。コピーすると,新しいグループは元のグループと同じメンバを持ちます。ただし,元のグループのアクセス権と権利は新しいグループにはコピーされません。
グループには,グループを識別する一意の番号であるセキュリティ識別子 (SID) が含まれています。ネットワーク上のすべてのグループには,そのアカウントが初めて作成されたときに,一意の SID が発行されます。内部プロセスは,グループ名ではなくグループ SID を参照します。グループを作成し,そのグループを削除して,次に同じ名前でグループを作成すると,新しいグループの SID が異なるため,新しいグループは古いグループに与えられていた権利またはアクセス権を持ちません。グループの名前を変更しても,SID は保持されます。作成したグループは削除できますが,ビルトイン・グループは削除できません。グループを削除すると,そのグループだけが削除されます。つまり,削除されたグループのメンバである,ドメイン・ユーザ・アカウントまたはグローバル・グループは削除されません。