ユーザーIDの集中管理手順(IT管理者向け)
ユーザーIDを集中管理することに決めたら、まず、サーバの構成がどうなっているのか確認しよう。
通常、小規模なネットワークを束ねるサーバは、スタンドアロンで構成されていることが多い。もしそうであれば、スタンドアロンサーバをDCに設定しなおすことになる。この作業のことを「DCに昇格する」と呼ぶ。逆にDCを元のサーバに戻すことは、降格と呼ぶ。
DCに昇格する際には、事前に次の作業をしておく。もし、すでにサーバがDCになっているのなら、以下の作業は不要だ。
1.社内のドメイン名を決める
2.サーバのIPアドレスを決める
3.管理者のユーザーIDを決める
順に説明をしていこう。
1.社内のドメイン名を決めるドメイン名は、クライアントからログオンする際に表示される名前だから、あまり変な名前にすると恥ずかしい。実際に、管理者が適当に「hoge」というドメイン名を設定してしまい、社長から「ホゲとはなんだ!」とカミナリを落とされたというケースがある。ちなみに「hoge」とは、エンジニアのジャーゴンのようなもので、名称が決まっていない時に使う仮の名前である。
ドメイン名の変更は、できないことではないが、面倒である。ドメイン名には普通、社名を使うことが多い。この連載では、「kimurapclab.local」というドメイン名で説明する。
2.サーバのIPアドレスを決めるDCをはじめ、サーバのアドレスというものは、通常変更しない。そこで、使用するIPアドレスをあらかじめ決めておく。
3.管理者のユーザーIDを決める「管理者のユーザーIDはAdministratorではないか?」と思っている人も多いと思う。Windowsをインストールする際に初期設定として与えられるこのIDを管理者IDとして使い続けている人も多いのではないだろうか。
そうしたケースが多いので、攻撃者はこの「Administrator」というIDを積極的に狙ってくる。管理者のユーザーIDを変更しておくだけで、セキュリティは若干だが向上するのである。
また、管理者は「管理用のユーザーID」と「通常作業用のユーザーID」の2つを使い分けるようにしたい。切り替えが面倒だからという理由で、管理用ユーザーIDで通常の作業していると、不注意でウイルスに感染してしまったような場合に、特権モード(何でもアリ状態)でウイルスが活動してしまうのだ。
ここでひとつ注意点がある。ドメイン環境では、かならず「DNS」と呼ばれる、コンピュータの名前とIPアドレスとを結びつける機能が必要だ。そこで、DCにDNSを導入する作業が発生する。
社内のPCがインターネットに接続している場合、ブロードバンドルータがDNSの役割を果たしていることが多い。この状態のままでは、社内のPCはドメイン環境に移行できない。そこで、ブロードバンドルータのDNSをオフにする必要がある。また、ブロードバンドルータでDHCPというIPアドレスの貸出機能を使っているのなら、これもオフにしておく。とはいえ、ブロードバンドルータのDNSおよびDHCP機能をオフにしてしまうと、社内のPCがインターネットに接続できなくなる。この問題の解決方法については、連載の最終章で説明するので、ネットワークの設定に自信がなければ、具体的な作業に入るのは、しばらく待ってほしい。
次回は、Windows Server上での具体的な操作を示しながら、「DCの昇格」「ユーザーIDの作成」「グループIDの作成」の方法を説明する。ただし、実際に稼働している環境で作業を行う前には、可能であればテスト用の機材を用意して、十分な予行演習を行ってほしい。
社内業務を止めないために、次のような準備をしていただきたい。
変更を元に戻すことを考慮してあらかじめサーバのバックアップを取っておく。テスト環境は社内LANから独立させておく。どうしても、テスト用に機材が用意できないのなら、マイクロソフトが無料で提供している「Virtual PC」をダウンロードして使ってもよい。
昇格の作業中に「Windows Server 2003」のCDが必要になるので、あらかじめ用意しておこう。
筆者紹介
木村 尚義(きむら なおよし)
木村PC活用研究所代表 マイクロソフト MCT/MCSE/MCA
ソフトハウスでSE、OA機器販売会社で提案営業、独立系教育専門会社を経て、事例専門ポータルをプロデュース。講師としての実績が高く、マイクロソフト系のセミナーを全国で実施している。実践経験を教育、執筆活動に生かし、カンによる経営から、科学的な経営に変革するためITの有効活用を研究。現在、経営者の視点から、従業員数50名程度の事業主に向けて、ITの効果測定方法を提言中。