3    ドメイン・ユーザ・アカウントおよびグループ

省略時の設定では, Windows NT および Tru64 UNIX のセキュリティの原則によって認証されてからでなければ,ユーザは共有へのアクセスを要求できません。したがって,共有にアクセスするユーザには,次のものが必要です。

ドメイン・ユーザ・アカウントおよび Tru64 UNIX ユーザ・アカウントには,名前,パスワード,およびセキュリティ・システムがユーザ認証に使用する情報など,ユーザに関する情報が含まれています。

この章では,次の項目について説明しています。

ドメイン・ユーザ・アカウントおよびグループの作成については,『Advanced Server for UNIX インストレーション/管理ガイド』 を参照してください。

3.1    ドメイン・ユーザ・アカウント

ドメイン・ユーザ・アカウントには,Advanced Server ドメイン内に存在するユーザを定義する情報が含まれています。

表 3-1 は,ドメイン・ユーザ・アカウントの要素について説明しています。

表 3-1:  ドメイン・ユーザ・アカウントの要素

アカウントの要素 説明

ユーザー名

ログオン時にユーザが入力する一意の名前。

フル ネーム

ユーザのフル・ネーム。

説明

ユーザまたはユーザ・アカウントに関する説明

パスワード

ユーザのパスワード。 パスワードのオプションの設定については,表 3-2 を参照。

ログオン時間

ユーザがドメインにログオンできる時間。ログオン時間の設定についての詳細は,3.1.1 項を参照。

ユーザのログオン時間が過ぎた場合に,ユーザが強制的にログオフさせられるかどうかは,ドメインのアカウントのセキュリティの原則の [ログオン時間を超過したリモート ユーザーを強制的に切断] オプションによって定義される。ドメインのアカウントの セキュリティの原則の設定についての詳細は,2.5.3.1 項を参照。

ログオンできるワークステーション

ユーザがドメインにログインできるワークステーションのコンピュータ名。省略時の設定では,ユーザは任意のワークステーションにログインできる。

アカウントの有効期限

アカウントが自動的に無効になる日付。 臨時の従業員や学生のアカウントが,不必要に使用可能なままの状態にならないようにするには便利である。

ログオン スクリプト

ユーザのログオン時に,自動的に実行されるバッチ・ファイルまたは実行可能ファイル。詳細については,3.1.2 項を参照。

ホーム ディレクトリ

ユーザに固有なディレクトリ。詳細については,3.1.3 項を参照。

プロファイル

プログラム・グループ,ネットワーク接続,および画面の色など,ユーザのデスクトップ環境を再現するための情報を含んだフォルダへのパス。詳細については3.1.4 項を参照。

アカウントの種類

アカウントの種類は,グローバルまたはローカルのいずれかである。ほとんどの場合,グローバル・アカウントを作成することになる。

表 3-2 は,ユーザのパスワードの管理に使用できるオプションを示しています。

表 3-2:  ドメイン・ユーザ・アカウントのパスワードのオプション

オプション 説明

ユーザーは次回ログオン時にパスワード変更が必要

チェック・ボックスがオンになっている場合,ユーザは,次回ドメインにログインする際にパスワードを変更しなければならない。

このオプションは,ドメイン・アカウントのセキュリティの原則にある [パスワードの変更禁止期間] オプションによって定義されている。ドメイン・アカウントのセキュリティの原則の設定についての詳細は,2.5.3.1 項を参照。

ユーザーはパスワードを変更できない

チェック・ボックスがオンになっている場合,ユーザは,自分のパスワードを変更できない。この制限は,共有アカウントの場合に便利である。この制限は,管理者には適用されない。

パスワードを無期限にする

チェック・ボックスがオンになっている場合,ユーザのパスワードの有効期間は無期限となる。このオプションは,Replicator (複製) サービスなどのサービスを割り当てられたアカウントに使用する。

アカウントを無効にする

チェック・ボックスがオンになっている場合,アカウントは無効となり,このアカウントではログオンできなくなる。アカウントはディレクトリ・データベースから削除されないが,アカウントが有効になるまでユーザはそのドメインにログインできない。

ドメイン・ユーザ・アカウントには,そのアカウントを識別する一意の番号であるセキュリティ識別子 (SID) が含まれています。アカウントが作成されるときに,ネットワーク上のすべてのアカウントに対し一意の SID が発行されます。内部プロセスは,アカウントのユーザ名ではなくアカウントの SID を参照します。一度作成したアカウントを削除し,次に同じ名前でアカウントを作成しても, 異なる SID 番号をもっているため,新しいアカウントは,古いアカウントに与えられていた権利またはアクセス権を持つことはできません。ユーザ・アカウントの名前を変更しても,SID は保持されます。

3.1.1    ログオン時間の指定

省略時の設定では,ユーザは時間を制限されることなく ASU サーバに接続できます。ただし,アクセスできる時間を制限することもできます。

ユーザがコントローラに接続している間にログオン時間が過ぎた場合,ユーザは,[ログオン時間を超過したリモート ユーザーを強制的に切断] オプションの設定によって,すべてのサーバ接続から切断されるか,または既存の接続は維持されるものの,新しい接続は拒否されるかのいずれかになります。このオプションの設定についての詳細は,2.5.3.1 項を参照してください。

次の手順によりユーザのログオン時間を指定します。

注意

ログオン時間は,ユーザがログオンまたは接続しているワークステーションまたはサーバのタイム・ゾーンではなく,PDC のタイム・ゾーンの時間で示されます。

3.1.2    ログオン・スクリプト

ログオン・スクリプトは,ASU サーバを実行しているシステムにログオンするたびに,自動的に実行されるコマンドからなる実行可能ファイルまたはバッチ・ファイルです。ログオン・スクリプトは,ネットワークの接続およびアプリケーションの起動など,ユーザの作業環境を自動的に構成するために使用されます。

ログオン・スクリプトをいつでも使用できるようにするには,Replicator サービスを利用するのが最もよい方法です。Replicator サービスは,複数のコントローラ上にあるディレクトリ・ツリーと全く同じ複製物 (コピー) を維持管理します。ツリー (エクスポート・サーバにある) のマスタ・コピー内のファイルに変更を加えると,Replicator サービスは変更内容をインポート・コントローラに自動的にコピーします。

3.1.2.1    ログオン・スクリプトの作成

ログオン・スクリプトは,テキスト・エディタで作成できます。Replicator サービスを使用して,ログオン・スクリプトをドメイン・コントローラに配布できます。

Replicator サービスを使用する場合,ASU サーバは,インポート・サーバ上の /usr/net/servers/lanman/shares/asu/repl/import/scripts ディレクトリおよびエクスポート・サーバ上の /usr/net/servers/lanman/shares/asu/repl/export/scripts ディレクトリでログオン・スクリプトを探します。Replicator サービスを使用しない場合には,コントローラはどれでもログオン要求を認証できるため,ログオン・スクリプトが各コントローラ上の同じディレクトリにあることを確認し,その後でログオン・スクリプトを実行する必要があります。ディレクトリの複製についての詳細は,4.2 節を参照してください。

表 3-3 に,ログオン・スクリプトを作成する場合に使用できる特殊なパラメータを示します。

表 3-3:  ログオン・スクリプトのパラメータ

パラメータ 説明
%HOMEDRIVE% ユーザのホーム・ディレクトリに接続されているユーザのローカル・ワークステーションのドライブ名
%HOMEPATH% ユーザのホーム・ディレクトリの絶対パス名
%HOMESHARE% ユーザのホーム・ディレクトリがある共有名
%OS% ユーザのワークステーションのオペレーティング・システム
%PROCESSOR_ARCHITECTURE% ユーザのワークステーションのプロセッサのタイプ
%PROCESSOR_LEVEL% ユーザのワークステーションのプロセッサ・レベル
%USERDOMAIN% ユーザのアカウントがあるドメイン
%USERNAME% ドメインのユーザ名

3.1.2.2    ログオン・スクリプトの割り当て

ログオン・スクリプトをドメイン・ユーザ・アカウントに割り当てるには,次の操作を行います。

3.1.3    ホーム・ディレクトリ

ユーザのホーム・ディレクトリとは,そのユーザがアクセス可能で,そのユーザのファイルおよびプログラムが含まれているディレクトリのことです。ユーザがワークステーションにログインすると,そのユーザのホーム・ディレクトリに自動的に接続されます。つまり,[開く] および [名前を付けて保存] のダイアログ・ボックス,コマンド・プロンプト,および作業ディレクトリが定義されていないすべてのアプリケーションに対して,そのユーザの省略時のディレクトリになります。省略時の設定では,ドメイン・ユーザ・アカウントを作成すると,ASU サーバは,Tru64 UNIX アカウント名を使用して,/usr/users ディレクトリにユーザのホーム・ディレクトリを作成します。

ホーム・ディレクトリを指定しない場合,省略時のホーム・ディレクトリはユーザのローカル・ドライブの ¥USERS¥DEFAULT です。

ホーム・ディレクトリを使用することにより,ユーザ・ファイルを一カ所に集めることができるため,管理者はユーザ・ファイルのバックアップやユーザ・アカウントの削除が容易にできるようになります。

3.1.3.1    ホーム・ディレクトリの割り当て

次の操作を行い,ホーム・ディレクトリをユーザ・アカウントに割り当てます。

コントローラ上のホーム・ディレクトリを指定すると,そのディレクトリが存在しない場合には,作成されます。ユーザのローカル・システム上のディレクトリを指定すると,そのディレクトリが存在しなくても作成されません。

[ホーム ディレクトリ] ボックスで,パスの最後のエントリを %USERNAME% に置き換えることができます。%USERNAME% は,システムによって,後でドメイン・ユーザ・アカウントのユーザ名に置き換えられます。この置き換えは,複数のドメイン・ユーザ・アカウントを選択する場合に便利です。たとえば, 8 つのドメイン・ユーザ・アカウントを選択しているとします。[ホーム ディレクトリ] ボックスで [ドライブ] を選択し,ドライブ文字として K を指定して [パス] ボックスを選択し,¥¥SALES¥home¥%username% と入力します。[OK] を選択して,ユーザー環境プロファイルを保存すると,各%USERNAME% は実際のユーザ名に置き換えられます。

ドメイン・ユーザ・アカウントがコピーされると,ホーム・ディレクトリは次の 2 つの方法のいずれかによってコピーされます。

3.1.4    ユーザ・プロファイル

ユーザ・プロファイルは,ユーザがログインしたときに設定する作業環境の設定項目を定義します。この設定には,使用できるコントロール・パネルのオプション,画面の色,共有の接続,マウスの設定,ショートカット,ウィンドウ・サイズと位置など,Windows 環境のユーザ固有の設定がすべて含まれます。

ユーザ・プロファイルには次のタイプがあります。

ユーザ・プロファイルは,Windows 95 が動作しているコンピュータで利用可能です。ただし,ユーザ・プロファイルがこのシステムに格納されている場合でも,ASU サーバまたは Windows NT が動作しているコンピュータ上のユーザは,Windows 95 上で作成されたユーザ・プロファイルを利用できません。

3.1.4.1    ユーザ・プロファイルの作成

システム ポリシー エディタを使用して,ユーザ・プロファイルを作成できます。システム ポリシー エディタは Windows ベースのインタフェースで,このツールを使用すれば,ドメインにログインして,特定の Windows コンピュータ,ユーザまたはグループの環境を定義するポリシを表示させて管理することができます。

システム ポリシー エディタを使用すると,次のポリシが設定できます。

システム ポリシー エディタは,ポリシ (.POL) ファイルに設定を保存します。ユーザがログインすると,ポリシ・ダウンローダというプログラムが起動します。ポリシ・ダウンローダは,すべての Windows クライアントにインストールされています。ポリシ・ダウンローダは,ネットワーク上にポリシ・ファイルがないかどうかを調べたり,ポリシ・ファイルをオープンしたり,ローカルのコンピュータ名やユーザ名を使ったエントリを探したり,ポリシ・ファイルに定義された,管理者のレジストリ設定をローカル・レジストリにマージしたりします。ダウンローダがポリシ・ファイルにローカルのコンピュータ名またはユーザ名を持つエントリを見つけられない場合は,DEFAULT USER または DEFAULT COMPUTER のエントリを探し,これらのレジストリ設定をマージ用に使用します。特定のユーザまたはコンピュータのエントリがなく省略時のエントリも存在しない場合,マージは行われません。

システム ポリシー エディタについての詳細は,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。

3.1.4.2    プロファイルの割り当て

ドメイン・ユーザ・アカウントにプロファイルを割り当てるには,次の操作を行います。

3.1.5    ユーザ権利の原則の管理

権利とは,ファイルやディレクトリのバックアップ,コンピュータへの対話形式のログオン,システムのシャットダウンなど,コンピュータ・システム上で特定の操作の実行をユーザに許可することをいいます。権利は,ドメイン・レベルでは,ドメイン・コントローラを使用する能力であり,ローカル・レベルでは,ワークステーションまたはメンバ・サーバを使用する能力です。権利は,ドメイン・ユーザ・アカウントまたはグループに与えることができます。

ドメイン・ユーザ・アカウントにログオンするユーザ,または操作を実行するために適切な権利が与えられたグループに属するユーザは,操作を実行できます。ユーザが操作を実行するために適切な権利をもっていない場合,その操作を実行しようとすると,ASU サーバによってブロックされます。

権利は,システム全体に適用されるもので,特定のオブジェクトに適用されるアクセス権とは異なります。アクセス権とは,オブジェクト (通常,ディレクトリ,ファイル,またはプリンタ) に関連付けられた規則のことで,そのオブジェクトにアクセスできるユーザと,そのアクセス方法を制御します。ほとんどの場合,オブジェクトの作成者や所有者が,そのオブジェクトのアクセス権を設定します。しかし,すべての権利が特定のオブジェクトに関連付けられているわけではなく,ドメイン (ドメイン・コントローラ) レベルまたはローカル (ワークステーションあるいはメンバ・サーバ) レベルで適用されるため,オブジェクトに対して設定されたアクセス権を無効にする場合があります。たとえば,Backup Operators グループのメンバであるドメイン・アカウントにログオンしているユーザは,ドメインのすべてのサーバに対してバックアップ作業を実行する権利を持っています。バックアップ作業を実行するには,サーバ上のすべてのファイルを読み取る能力が必要になります。しかし,ファイルによっては,所有者がアクセス権を明示的に設定して Backup Operators グループのメンバを含む,すべてのユーザのアクセスを拒否する設定になっている場合があります。この場合,バックアップを実行する権利は,すべてのファイルおよびディレクトリへのアクセス権よりも優先されます。

表 3-4 は,各種のユーザ権利を説明しています。アクセス権についての詳細は,4.1 節を参照してください。

表 3-4:  ユーザ権利

ユーザ権利 実行できる操作
ネットワーク経由でコンピュータへアクセス ネットワークを経由してコントローラに接続する。この権利は管理者のローカル・グループから取り消せない。
ドメインにワークステーションを追加 ドメインにワークステーションを追加する。その結果,ワークステーションはドメインおよび信頼される側のドメインのユーザ・アカウントとグローバル・グループを認識できる。
ファイルとディレクトリのバックアップ ファイルとディレクトリをバックアップし,すべてのファイルを読み取る。この権利は,ファイルやディレクトリのアクセス権よりも優先され,レジストリにも適用される。
システム時刻の変更 コントローラの内部時計の時刻を設定する。
リモート コンピュータからの強制シャットダウン この権利は現在,実装されていない。将来の使用のために予約されている。
デバイス ドライバのロードとアンロード デバイス・ドライバのインストールと削除を行う。
ローカル ログオン コントローラにローカルでログオンする。
監査とセキュリティ ログの管理 どんな種類の共有へのアクセス (ファイル・アクセスなど) を監査するかを指定する。セキュリティ・ログの表示とクリアを行う。ユーザがこの権利を持っていてもシステム監査を設定することはできない。この機能は Administrators グループだけが有する。
ファイルとディレクトリの復元 ファイルとディレクトリの復元 (書き込み) を行う。この権利は,ファイルとディレクトリのアクセス権より優先され,レジストリにも適用される。
システムのシャットダウン コントローラをシャットダウンする。
ファイルとその他のオブジェクトの所有権の取得 コントローラ上のファイル,ディレクトリ,およびその他のオブジェクトの所有権を取得する。

3.1.5.1    ユーザ権利の割り当て

ドメイン ユーザー マネージャを使用し,[原則],次に [ユーザーの権利] を選択することにより,ドメイン・ユーザ・アカウントに権利を割り当てます。

ドメインにユーザ権利を割り当てると,それらの権利はすべてのコントローラに適用されます。ワークステーションまたはメンバ・サーバ上で管理されるユーザ権利は,ワークステーションまたはメンバ・サーバにだけ適用されます。

3.1.6    ビルトイン・ドメイン・ユーザ・アカウント

ASU ソフトウェアをインストールすると,次の 2 つのビルトイン・ユーザ・アカウントが自動的に作成されます。

3.1.6.1    ビルトイン Administrotor ユーザ・アカウント

ビルトイン Administrotor アカウントには,ドメインに属する,コントローラ,ワークステーション,またはメンバ・サーバ上でドメイン管理作業を実行する権利が与えられます。

ASU ソフトウェアをインストールすると,ビルトイン Administrotor アカウントにパスワードの入力が指示されます。このパスワードは,十分注意を払って保護する必要があります。パスワードを忘れてしまったり,パスワードを知っている人間がいなくなったりすると,ビルトイン Administrotor アカウントが使用できなくなるためです。パスワードの変更は可能で,有効期限はありません。

ビルトイン Administrotor アカウントは,削除することも無効にすることもできません。この特長は,ビルトイン Administrotor アカウントが Administrotors ローカル・グループの他のメンバと異なる点です。

ASU ソフトウェアのインストールに続いて,管理者レベルの機能を持つ管理アカウントをもう 1 つ作成し,ビルトイン Administrotor アカウントを緊急時用のアカウントとして確保しておくことをお勧めします。管理特権を持つユーザに個別のアカウントを作成すれば,これらのユーザ操作をビルトイン Administrotor アカウントではなく,個々のユーザ・アカウントによって監査できます。

ASU ソフトウェアのインストールについては,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。監査については,第 6 章を参照してください。

3.1.6.2    ビルトイン Guest ユーザ・アカウント

ビルトイン Guest アカウントは,ドメインまたは信頼される側のドメインに,ドメイン・ユーザ・アカウントを持たないユーザがログオンする場合に使用します。アカウントが無効になっている (ただし削除されていない) ユーザも Guest アカウントを使用できます。

Guest アカウントは,省略時の設定では無効になっています。Guest アカウントはパスワードを必要とせず,ドメイン上ではあらかじめ定義されている権利やアクセス権はありませんが,他のドメイン・ユーザ・アカウントと同じように,パスワード,権利およびアクセス権を設定できます。

ゲスト・ログオンには次の 2 種類があります。

3.1.6.2.1    Guest アカウントの有効化

次の操作を行い,各コントローラの Guest アカウントを有効にします。

3.2    Tru64 UNIX ユーザ・アカウント

省略時の設定では,Tru64 UNIX オペレーティング・システム・ソフトウェアは,共有に関連付けられたファイル・システムまたはプリンタにユーザがアクセスする前にユーザを認証します。

省略時の設定では,ドメイン・ユーザ・アカウントを作成したときに,同じ名前を持つ Tru64 UNIX ユーザ・アカウントが存在しなければ,ローカルの /etc/passwd ファイルに自動的に作成されます。Tru64 UNIX オペレーティング・システム・ソフトウェアはこのアカウントを使用して,ユーザを認証します。なお,認証要求をネットワーク情報サービス (NIS),Windows 2000 Server,または Windows NT Server Version 4.0 に送付するように,Tru64 UNIX オペレーティング・システム・ソフトウェアを構成することもできます。NIS,Windows 2000 Server,または Windows NT Server Version 4.0 は,ユーザ・アカウント・データベースの情報を使用し,Tru64 UNIX オペレーティング・システム・ソフトウェアに代わってユーザを認証して,その結果を返送します。これは,NIS,Windows 2000 Server 上にユーザ・アカウント・データベースがあって,Tru64 UNIX システム上にユーザ・アカウント・データベースを作成したくない場合に便利です。

ユーザ・アカウント認証の設定についての詳細は,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。

3.2.1    ドメイン・ユーザ・アカウントの Tru64 UNIX ユーザ・アカウントへの関連付け

省略時の設定では,ドメイン・ユーザ・アカウントは Tru64 UNIX ユーザ・アカウントに関連付けられています。この関連付けにより,Tru64 UNIX ファイルは,Tru64 UNIX システム・ユーザ・アカウントによって所有され,ドメイン・ユーザ・アカウントによってアクセス可能になります。特定のユーザ・アカウントにマップされていないドメイン・ユーザ・アカウントは,省略時の設定では lmworld Tru64 UNIX ユーザ・アカウントにマップされます。

ドメイン・ユーザ・アカウントに割り当てられるTru64 UNIX ユーザ・アカウント名は,ドメイン・ユーザ・アカウント名と同じか,それとよく似たものになります。ユーザ・アカウント名が長いか,重複しているか,または特殊文字を使用している場合には差異が生じます。ドメイン・ユーザ・アカウント・ユーザが,存在しない Tru64 UNIX ユーザ・アカウントに関連付けられているか,またはそのユーザの Tru64 UNIX ユーザ・アカウントが削除されている場合,ユーザはどの共有にもアクセスできません。

mapuname コマンドを使用して,ドメイン・ユーザ・アカウントの Tru64 UNIX ユーザ・アカウントへの関連付けを制御できます。ドメイン・ユーザ・アカウントと Tru64 UNIX ユーザ・アカウントとの省略時の関係は,ASU レジストリのユーザ関連レジストリ値エントリに割り当てられた値によって制御されます。

ASU レジストリについての詳細は,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。

3.3    ドメイン・ユーザ・アカウントのグループ化

管理を簡略化するために,ドメイン・ユーザ・アカウントをグループ化し,グループを一単位として管理できます。グループに追加されたドメイン・ユーザ・アカウントは,そのグループのメンバになり,グループに与えられた権利とアクセス権を直ちに取得できます。グループに行った変更は,各メンバに影響を与えます。グループ・メンバシップとすることで,多数のユーザに共通的な機能を簡単に与えることができます。

グループには次の 3 つのタイプがあります。

3.3.1    ローカル・グループ

ローカル・グループには,ローカル・ドメインおよびそれを信頼する側のドメインのドメイン・ユーザ・アカウントとグローバル・グループが含まれています。ローカル・グループには他のローカル・グループを入れることはできません。表 3-5 は,ビルトイン・ローカル・グループについて説明しています。

表 3-5:  ローカル・グループ

グループ 説明

Administrators

メンバには自動的に,ドメインとコントローラを管理するための,すべての組み込み済みの権利と能力が与えられる。

省略時の設定では,Domain Admins グローバル・グループは Administrators ローカル・グループのメンバになる。

Users

メンバは,ドメインへの通常のユーザ・アクセス権と能力を持っている。

省略時の設定では,Domain Users グローバル・グループは,Users ローカル・グループのメンバになる。

Guests

メンバは,コントローラ上では何の権利も持っていない。しかし,個々のワークステーションで特定の権利を持っている。

省略時の設定では,Domain Guests グローバル・グループは Guests ローカル・グループのメンバになる。

Account Operators

メンバは,ほとんどのドメイン・ユーザ・アカウントとグループの作成,変更,および削除,ドメイン・コントローラのログオンとシャットダウン,さらにドメインへのコントローラまたはメンバ・サーバの追加を行うことができる。

メンバは,セキュリティの原則を管理することはできない。また,Domain Admins グローバル・グループを変更または削除することもできない。さらに,Administrators,Account Operators,Backup Operators,Print Operators または Server Operators の各ローカル・グループとこれらのローカル・グループに属するグローバル・グループを変更または削除することはできない。これらのグループ・メンバのアカウントを変更および削除することもできない。

Backup Operators

メンバは,PDC および BDC 上のファイルのバックアップおよび復元を行うことができる。

Print Operators

メンバは,ドメインのコントローラ上のプリンタ共有の作成,削除,および管理を行うことができる。コントローラをシャットダウンすることもできる。

Server Operators

メンバは,共有の作成,削除および管理と,システム時刻の変更を行うことができる。

Replicator

メンバは,ドメイン内の PDC および BDC のReplicator サービスを管理することができる。ディレクトリの複製については,第 4 章を参照。

すべてのビルトイン・ローカル・グループが ASU サーバ,Windows NT サーバ,Windows NT ワークステーション,およびメンバ・サーバ上に存在するわけではありません。表 3-6 は,どのビルトイン・ローカル・グループが ASU サーバ,Windows NT サーバ,Windows NT ワークステーション,およびメンバ・サーバ上に存在するかについて説明しています。

表 3-6:  ビルトイン・ローカル・グループ

ASU サーバおよび Windows NT サーバ Windows NT ワークステーションおよびメンバ・サーバ
Administrators Administrators
Users Users
Guests Guests
Account Operators Backup Operators
Backup Operators Replicator
Print Operators Power Users
Server Operators  
Replicator  

3.3.2    グローバル・グループ

グローバル・グループには,作成されたドメインのドメイン・ユーザ・アカウントが含まれています。グローバル・グループにはローカル・グループ,他のグローバル・グループ,または他のドメインのドメイン・ユーザ・アカウントを入れることはできません。グローバル・グループは,同じドメインおよびそのドメインを信頼する側のドメインに追加することができます。また,同じドメインおよびそのドメインを信頼する側のドメインにあるメンバ・サーバや Windows NT Workstation が動作しているコンピュータにグローバル・グループを追加することもできます。グローバル・グループに対しては,アクセス権と権利を,そのドメイン内,ワークステーションまたはメンバ・サーバ上,あるいは信頼する側のドメイン内で与えることができます。Windows NT Workstation が動作するコンピュータまたはメンバ・サーバとして動作するコンピュータ上にはグローバル・グループを作成できません。

表 3-7 は,ビルトイン・グローバル・グループについて説明しています。これらのグループは削除できません。

表 3-7:  グローバル・グループ

グループ 説明

Domain Admins

メンバは,ドメイン,ドメインのコントローラとワークステーション,および信頼する側のドメインを管理できる。ただし,この信頼する側のドメインには,あらかじめこのドメインの Domain Admins グローバル・グループを,Administrators ローカル・グループに追加しているものとする。Administrators ローカル・グループだけが Domain Admins グローバル・グループを変更できる。

ビルトイン Administrator ユーザ・アカウントは,Domain Admins グローバル・グループのメンバである。Domain Admins グローバル・グループは Administrators ローカル・グループのメンバでである。ドメイン・ユーザ・アカウントに管理者レベルの能力を与えるには,そのアカウントを Domain Admins グローバル・グループに追加する。

Domain Users

メンバは,そのドメインおよびドメイン内の Windows NT ワークステーションと,メンバ・サーバとして動作している Windows NT サーバに対して,通常のユーザ・アクセス権と能力を有する。Administrators と Account Operators だけが Domain Users グローバル・グループを変更できる。

ビルトイン Administrator ユーザ・アカウントは,Domain Users グローバル・グループのメンバである。省略時の設定では,すべての新しいドメイン・ユーザ・アカウントは,特に削除しない限り,Domain Users グループに追加される。

Domain Users グローバル・グループは,そのドメインの Users ローカル・グループのメンバであり,ドメイン内で Windows NT Workstation が動作しているすべてのコンピュータと Windows NT Server が動作しているメンバ・サーバの Users ローカル・グループのメンバである。

Domain Guests

メンバは,コントローラに対してはどんな権利も持っていない。

ビルトイン Guests ユーザ・アカウントは,Domain Guests グローバル・グループのメンバである。Domain Guests グローバル・グループは,Guests ローカル・グループのメンバである。

ユーザ・アカウントを追加する場合,そのアカウントの権利とアクセス権を一般的なドメイン・ユーザ・アカウントよりも厳しく制限するには,ユーザ・アカウントを Domain Guests グループに追加し,Domain Users グループからは削除する。Administrators と Account Operators だけが Domain Guests グローバル・グループを変更できる。

3.3.3    特殊グループ

表 3-8 は,特殊な目的に使用されるその他のグループを示しています。これらのグループのメンバシップは変更できないため,ドメイン ユーザー マネージャにはリストされません。

ASU サーバを管理するときに,これらの特殊グループがグループのリストに時々表示されます。たとえば,共有およびファイルにアクセス権を割り当てる場合に表示されることがあります。

表 3-8:  特殊グループ

グループ 説明

Everyone

メンバには,すべてのローカル・ユーザおよびリモート・ユーザ (Interactive グループと Network グループを組み合わせたもの) が含まれる。

ドメインでは,メンバはネットワークへのアクセス,ディスク共有およびプリンタ共有への接続が可能。

Interactive

メンバには,ローカルでコンピュータを使用している任意のユーザが含まれる。

Network

メンバには,ネットワークを介してコンピュータに接続されているユーザが含まれる。

System

メンバにはオペレーティング・システムが含まれる。

Creator Owner

メンバには,サブディレクトリ,ファイル,またはプリント・ジョブの作成者が含まれる。ディレクトリに対して,Creator Owner グループにアクセス権が与えられている場合,サブディレクトリまたはファイル作成者にはそのサブディレクトリまたはファイルに対するアクセス権が与えられる。プリンタに対しては,Creator Owner グループにアクセス権が与えられている場合,プリント・ジョブの作成者に,そのプリント・ジョブに対するアクセス権が与えられる。

3.3.4    グループを使用するための方策

権利の中には,特定のグループのメンバであるユーザにしか与えられないものがあります。たとえば,ユーザがドメイン・ユーザ・アカウントを作成できるようにする唯一の方法は,ドメイン上の Administrators または Account Operators ローカル・グループにその人のドメイン・ユーザ・アカウントを追加することです。

複数のビルトイン・グループにユーザを追加することができます。たとえば,Print Operators と Backup Operators グループの両方のユーザには,Print Operators に与えられたすべての権利と,Backup Operators に与えられたすべての権利が与えられます。

1 つのドメインで,権利をドメイン・レベルで与えたり,制限したりすることができます。グループがドメインの中に権利をもっている場合,そのメンバはドメイン内のすべてのコントローラに対して権利を持ちます。メンバ・サーバでは,与えられた権利はそのコンピュータにだけ適用されます。

複数のドメインが設定されている場合,信頼する側のドメインのローカル・グループにユーザを追加する方法として,グローバル・グループを利用する方法があります。ユーザの権利とアクセス権を他のドメイン上の資源に拡張する場合,ドメインのグローバル・グループにアカウントを追加し,信頼する側のドメインのローカル・グループにそのグローバル・グループを追加します。

単一のドメインを維持管理する場合でも,今後ドメインが追加されるかもしれないことに留意してください。すべての権利とアクセス権を与える方法として,グローバル・グループをローカル・グルーに追加する方法があります。後で別のドメインが作成された場合は,信頼関係を確立して,新しいドメインのグローバル・グループをローカル・グループに追加すれば,ローカル・グループに割り当てられていた権利とアクセス権を,新しいドメインのユーザにまで拡張できます。同様に,新しいドメインが現在のドメインを信頼する場合,現在のグローバル・グループを新しいドメインのローカル・グループに追加できます。

ドメインのグローバル・グループは,Windows NT Workstation が動作するコンピュータ上または Windows NT Server が動作するメンバ・サーバ上で管理目的に使用することも可能です。たとえば,Domain Admins グローバル・グループは,省略時の設定では,既存のドメインに参加している各ワークステーションまたはメンバ・サーバ上の Administrators ビルトイン・ローカル・グループに追加されます。ワークステーションまたはメンバ・サーバの Administrators ローカル・グループのメンバシップを使用することにより,ネットワーク管理者はプログラム・グループの作成,ソフトウェアのインストール,コンピュータの問題解決を行って,そのコンピュータをリモートから管理できます。

ネットワーク管理者には通常 2 つの役割があります。つまり,ネットワークの管理者とユーザの役割です。安全性の点で,ネットワーク管理者は 2 つのドメイン・ユーザ・アカウントを使用する方が有理です。これらのアカウントのうち 1 つは Domain Admins グローバル・グループに属し,ネットワークの管理作業に使用します。もう 1 つのアカウントは Domain Users グローバル・グループに属し,管理以外のすべての作業に使用します。通常のユーザとしてログオンしていれば,管理者だけが変更できるネットワーク関連を不用意に変更してしまうこともありません。管理者がうっかりウィルスを持ち込んでも,そのプログラムに管理者の権利がなければ,オペレーティング・システムが変更されてしまうような事態は避けられます。

表 3-9 は,グローバル・グループとローカル・グループの使用方法のガイドラインを示しています。

表 3-9:  グループのガイドライン

グループの目的 種類 説明
他のドメインまたはユーザのワークステーションで使用できるように,ドメインのユーザを 1 つにグループ化する。 グローバル グローバル・グループは,ローカル・グループに入れて,他のドメインのアクセス権と権利を直接与えることができる。
1 つのドメインだけでアクセス権と権利を必要とするユーザをグループ化する。 ローカル ローカル・グループには,このドメインと他のドメインのユーザとグローバル・グループを入れることができる。
Windows NT Workstation が動作しているコンピュータ,またはメンバ・サーバ上でアクセス権を必要とするユーザをグループ化する。 グローバル ドメインのグローバル・グループには,これらのコンピュータ上のアクセス権を与えることができるが,ドメインのローカル・グループには与えることができない。
他のグループを入れる。 ローカル ローカル・グループにはグローバル・グループとユーザを入れることができるが,他のローカル・グループを入れることはできない。
複数のドメインのユーザをグループ化する。 ローカル ローカル・グループは,それが作成されたドメイン内だけで使用できる。このローカル・グループのアクセス権を複数のドメインに与える必要がある場合は,必要とするすべてのドメインにローカル・グループを作成しなければならない。

3.3.5    グループの管理

グループ名は管理されるドメインまたはコンピュータで一意でなければなりません。グローバル・グループ名は 20 文字以下とします。ローカル・グループ名は 256 文字以下とします。グループ名には,任意の大文字,小文字の英数字が使用できます。

グループ名を区別して表示する必要がある場合には,ASU サーバは,DOMAINNAME¥groupname または COMPUTERNAME¥groupname の形式でグループ名を表示して,グループのドメインまたはワークステーションを識別します。たとえば,Engineering というドメインにある Managers というグループは,ENGINEERING¥Managers と表示されます。

グループはコピーしたり作成したりできます。コピーすると,新しいグループは元のグループと同じメンバを持ちます。ただし,元のグループのアクセス権と権利は新しいグループにはコピーされません。

グループには,グループを識別する一意の番号であるセキュリティ識別子 (SID) が含まれています。ネットワーク上のすべてのグループには,そのアカウントが初めて作成されたときに,一意の SID が発行されます。内部プロセスは,グループ名ではなくグループ SID を参照します。グループを作成し,そのグループを削除して,次に同じ名前でグループを作成すると,新しいグループの SID が異なるため,新しいグループは古いグループに与えられていた権利またはアクセス権を持ちません。グループの名前を変更しても,SID は保持されます。作成したグループは削除できますが,ビルトイン・グループは削除できません。グループを削除すると,そのグループだけが削除されます。つまり,削除されたグループのメンバである,ドメイン・ユーザ・アカウントまたはグローバル・グループは削除されません。