もどる

ユーザー管理の概要について

Windows2000の主要な機能の一つにセキュリティの強化、特にユーザ管理があります。
例えば、管理者の権限を持ったユーザ、一般ユーザから権限毎に定めたグループとユーザの所属といった多くの機能があります。

Windows2000には、最初からいくつかのグループが登録されており、それぞれ異なったアクセス権があらかじめ設定されています。

(基本グループ名)
Administrators...Windows2000のあらゆる機能を制限なく使用することができる。
Power Users...アプリケーションのインストール、共有フォルダの作成、ユーザアカウントやグループの作成(制限あり)などが可能。
Windows2000のほとんどの機能を使用することができるが、他のユーザーが作成したファイルを開くことはできない。
Users...アプリケーション実行、ファイル作成は可。システム設定不可。独自グループ作成は可。
Guests...アプリケーション実行、ファイル作成は可。システム設定不可。

(特殊グループ名)
Everyone...全ユーザが所属。 「Guests」「Anonymous Login」を除く。
Anonymous Login...匿名でログオンを行ったユーザーが所属。
Interactive...ログオンプロンプトからローカルログオンしたユーザ。
Network...ネットワークから接続しているユーザ。
System...オペレーティングシステム自身に割り当てられたもの。
Creator Owner...ファイル、ディレクトリ、印刷ジョブを作成したユーザ。
BackupOperators...アクセス許可を無視できる。


(1)ユーザの作成

スタートメニューから「設定」-->「コントロールパネル」をクリック。
コントロールパネルから「ユーザとパスワード」アイコンをダブルクリック。
(Administratorまたは管理者権限を持つユーザで行う必要があります)

ユーザタブ画面にある「追加」ボタンをクリック。




















新しいユーザの基本情報を入力してください画面で「ユーザ名」、「フルネーム」、「説明」欄に、それぞれ入力します。

(例:"MIYATA"、"宮田一郎"、"営業部")を入力し、「次へ」ボタンをクリック。















「パスワード」「パスワードの確認入力」欄に、そのユーザのパスワード(例:"abc123")を入力し、「次へ」ボタンをクリック。

パスワードは、ユーザ自身が管理させるのであれば、ユーザに暫定的なパスワードを与え、ユーザ自身がネットワーク上のクライアントマシンからリモートマシンのパスワードを以下のようにコマンドプロンプトからNETコマンドを実行すれば、変更できます。
(プロンプト画面)
NET PASSWORD \\サーバ名 旧パスワード 新パスワード











このユーザに対してどのようなアクセスを許可しますか画面で、「標準ユーザ」欄にチェックし、「OK」ボタンをクリック。

通常は「制限ユーザ」もしくは必要に応じ「標準ユーザ」を選択し、管理者用のユーザを作成しなければならない時は、「その他」「Administrators」を選択します。

ここで言う制限ユーザと標準ユーザの違いは、制限ユーザの場合は、プログラムのインストールやレジストリの設定などを実行できる権限がありませんが、標準ユーザは実行できます。
また、「その他」で「Administrator」を選択し、"Administrator"の権限を持ったユーザが作成されると、Administratorsグループに登録されます。
一方、標準ユーザはPower Usersグループ、制限ユーザはUsersグループに登録されます。

ユーザを新たに追加したら、既にWindows2000に用意されている管理権限の持ったグループもしくは一般権限のグループに所属されます。
しかし、ある業務では、ファイルアクセスのみにしたい、ファイル更新ができる権限だけを与えたいなど、その権限に応じた独自のグループを作りたいという事も多くあります。


(2)ローカルユーザグループの作成

(ローカルユーザグループについて)
上記のユーザの作成では既存のUsersやPower Usersグループに属するようになります。

これを別の新しいグループ(例:営業プロジェクトグループ"PROJECT"に所属するメンバに付与される共通のアクセス権限のグループ)を作成し所属させるには以下の方法で行います。

1) ユーザグループを作成
スタートメニューから「設定」-->「コントロールパネル」をクリック。
コントロールパネルから「管理ツール」アイコンをダブルクリック。
管理ツールから「コンピュータの管理」アイコンをダブルクリック。
コンピュータの管理画面で、左側にあるペインにある「ローカルユーザとグループ」をダブルクリック。

「ローカルユーザとグループ」の直下にある「グループ」の上で右クリックし、「新しいグループ」をクリック。











新しいグル−プ画面で、「グループ名」欄に新しいグループ名(例:"PROJECT")、「説明」欄に(例:"営業プロジェクト")を入力し、「追加」ボタンをクリック。




















ユーザまたはグループの選択画面では、上のペインに表示されているユーザ一覧から、所属させたいユーザ(例:"MIYATA"、"MIYATA2")をダブルクリック(複数のユーザを選択可)し、「OK」ボタンをクリック。






















新しいグル−プ画面に戻り、「作成」ボタンをクリック。
続いて、「閉じる」ボタンをクリックし、新しいグループ画面を終了させる。























2) ローカルグループの権限を設定
コントロールパネルから「管理ツール」アイコンをダブルクリック。
管理ツールから「ローカルセキュリティポリシー」をダブルクリック。
ローカルセキュリティ設定画面が現れます。

左側にあるペインにある「セキュリティの設定」の直下にある「ローカルポリシー」をダブルクリック。
「ローカルポリシー」の下に表示される「ユーザ権利の割り当て」をダブルクリック。


右側のペインにポリシー項目の一覧が表示されます。
ポリシー項目の一覧から与えたい権限にカーソルを持って行き、ダブルクリック。

ローカル セキュリティ ポリシーの設定画面が現れます。画面を見れば、このポリシーが現在与えられているグループが分かります。



ローカル セキュリティ ポリシーの設定画面で、「追加」ボタンをクリック。





















ユーザまたはグループの選択画面が現れます。
ユーザまたはグループの選択画面では、上のペインに表示されているユーザ一覧から、所属させたいユーザまたはグループ(例:ここでは営業プロジェクトグループである"MIYATA")をダブルクリックし、「OK」ボタンをクリック。





















グループだけでなく、複数のユーザも選択することができます。
ローカル セキュリティ ポリシーの設定画面に戻り、選択したグループの「ローカル セキュリティ ポリシーの設定」欄にチェックが入っていることを確認します。
「OK」ボタンをクリックし、完了します。
コンピュータの管理画面を終了すると、チェックが有効になります。