教科「情報」や総合的な学習の時間などコンピュータ室を活用する時間が多くなっています。生徒がパソコンを使った実習を行うとき,その生徒たち(ユーザー)の管理を適切に行い,校内ネットワークの様々なトラブルを未然に防ぐと共に,生徒の実習課題や作品を保存し,それら個人の情報が漏洩することのないような環境を構築することはとても重要です。
そこで,この研究ではWindows Server 2003 を使ったユーザーの管理を行います。Windows Server 2003 がインストールされたパソコンはあるが,全くサーバーとして使われていない状態からスタートして,ユーザーの管理ができるようにサーバーを設定し,一度に多くのユーザーを登録する方法や,コンピュータやユーザーを集中管理する方法・アクセス権の設定など,実際にコンピュータ室の管理を行う上で必要不可欠なことを取り上げます。
コンピュータ室の環境は次の通りです。
・教師用コンピュータ1台:Microsoft Windows Server 2003 R2 Standard Edition
・生徒用コンピュータ20台:Microsoft Windows XP Professional
・NAS(ネットワークハードディスク400GB)1台
この研究は上記コンピュータ室が2部屋の環境で検証しました。
(1部屋の環境でも実証可能であると思われます。)
(1) サーバーの役割管理から「役割を追加または削除する」を選択します。
図1-1 サーバーの役割管理 |
(2) サーバーの構成ウィザードで「次へ」ボタンをクリックします。
図1-2 サーバーの構成ウィザード「準備作業」 |
(3) サーバーの構成ウィザードでしばらく待ちます。
図1-3 サーバーの構成ウィザード−お待ちください |
(4) サーバーの構成ウィザードで,サーバーの役割から「ドメインコントローラ(Active Directory)」を選択します。
図1-4 サーバーの構成ウィザード「サーバーの役割」 |
(5) サーバーの構成ウィザードで「次へ」ボタンをクリックします。
図1-5 サーバーの構成ウィザード「サーバーの役割」−ドメインコントローラ(Active Directory) |
(6) サーバーの構成ウィザードで選択内容の概要が表示されるので「次へ」ボタンをクリックします。
図1-6 サーバーの構成ウィザード「選択内容の概要」 |
(7) サーバーの構成ウィザードでしばらく待ちます。
図1-7 サーバーの構成ウィザード「選択を適用しています」 |
(8) Active Directoryのインストールウィザードの開始が表示されるので「次へ」ボタンをクリックします。
図1-8 Active Directoryのインストールウィザードの開始 |
(9) オペレーティングシステムの互換性が表示されるので「次へ」ボタンをクリックします。
図1-9 Active Directoryのインストールウィザード「オペレーティングシステムの互換性」 |
(10) ドメインコントローラの種類では「新しいドメインのドメインコントローラ」を選択し「次へ」ボタンをクリックします。
図1-10 Active Directoryのインストールウィザード「ドメインコントローラの種類」 |
(11) 新しいドメインの作成では「新しいフォレストのドメイン」を選択し「次へ」ボタンをクリックします。
図1-11 Active Directoryのインストールウィザード「新しいドメインの作成」 |
(12) 新しいドメイン名では「新しいドメインの完全なDNS名」を入力し(例では●●●●ko.local),「次へ」ボタンをクリックします。
図1-12 Active Directoryのインストールウィザード「新しいドメイン名」 |
(13) NetBIOSドメイン名では「ドメインNetBIOS名」にドメイン名から自動的に作られた名前が入っているので確認して,「次へ」ボタンをクリックします。
図1-13 Active Directoryのインストールウィザード「NetBIOSドメイン名」 |
(14) データベースとログのフォルダでは自動的に入っているフォルダ名を確認して,「次へ」ボタンをクリックします。
図1-14 Active Directoryのインストールウィザード「データベースとログのフォルダ」 |
(15) 共有システムボリュームでは自動的に入っているフォルダ名を確認して,「次へ」ボタンをクリックします。
図1-15 Active Directoryのインストールウィザード「共有システムボリューム」 |
(16) DNS登録の診断ではDNSがインストールされていないので診断の失敗などの結果が表示されます。「このコンピュータにDNSサーバーをインストールして構成し,このDNSサーバーを優先DNSサーバーとして使用できるように設定します」を選択し「次へ」ボタンをクリックします。
図1-16 Active Directoryのインストールウィザード「DNS登録の診断」 |
(17) アクセス許可では「Windows2000またはWindows Server 2003 OSとのみ互換性があるアクセス許可」を選択し「次へ」ボタンをクリックします。
図1-17 Active Directoryのインストールウィザード「アクセス許可」 |
(18) ディレクトリサービス復元モードAdministratorパスワードでは管理者のパスワードを入力して「次へ」ボタンをクリックします。
図1-18 Active Directoryのインストールウィザード「ディレクトリサービス復元モードAdministratorパスワード」 |
(19) 概要では選択したオプションを確認して「次へ」ボタンをクリックします。
図1-19 Active Directoryのインストールウィザード「概要」 |
(20) Active Directoryを構成している間しばらく待ちます。DNSを構成するときに,Windows Server 2003のCDを挿入するように要求された時は指示に従います。
図1-20 Active Directoryのインストールウィザード−お待ちください |
(21) Active Directoryのインストールウィザードの完了では「完了」ボタンをクリックします。
図1-21 Active Directoryのインストールウィザードの完了 |
(22) Windowsを再起動します。
図1-22 Active Directoryのインストールウィザード−再起動 |
(23) このサーバーがドメインコントローラになったメッセージが表示されます。
図1-23 サーバーの構成ウィザード「このサーバーはドメインコントローラになりました」 |
(24) サーバーの役割管理を確認します。ドメインコントローラ(Active Directory)が追加されています。
図1-24 サーバーの役割管理 |
「Active Directory ユーザーとコンピュータ」では,Active Directory のユーザー,コンピュータ,セキュリティグループおよびその他のオブジェクトを管理します。
インストールした「Active Directory ユーザーとコンピュータ」でコンピュータの登録を行います。コンピュータの登録は必ずしも行わなくてもクライアントパソコンは接続されますが,コンピュータの登録を行ったほうがクライアントパソコンの接続時にストレスなく行われます。
(1) 組織単位(OU)を作成します。
図2-1 Active Directory ユーザーとコンピュータ |
(2) pcroom1(第1コンピュータ室)とpcroom2(第2コンピュータ室)を作ります。
図2-2 新しいオブジェクト−組織単位(OU) |
(3) pcroom1に生徒用コンピュータを登録します。
図2-3 Active Directory ユーザーとコンピュータ |
(4) 生徒用コンピュータ(pcs01〜pcs20)を入力して「次へ」ボタンをクリックします。
図2-4 新しいオブジェクト−コンピュータ |
(5) 「次へ」ボタンをクリックします。
図2-5 管理 |
(6) 「完了」ボタンをクリックします。
図2-6 新しいオブジェクト−コンピュータ |
インストールした「Active Directory ユーザーとコンピュータ」でユーザーの登録を行います。一人から数名を登録するときにこの方法を使います。
(1) 組織単位(OU)を作成します。
図3-1 Active Directory ユーザーとコンピュータ |
(2) 名前を入力します。例ではc205(2年5組)としています。
図3-2 新しいオブジェクト−組織単位(OU) |
(3) 組織単位(OU)内にユーザーを作成します。
図3-3 Active Directory ユーザーとコンピュータ |
(4) 姓,ユーザーログオン名を入力します。例ではs2501(2年5組1番)としています。生徒全員をまとめたOU「students」も作っています。
図3-4 新しいオブジェクト−ユーザー |
(5) 仮パスワードを入力し,「ユーザーは次回ログオン時にパスワード変更が必要」にチェックを入れます。
図3-5 新しいオブジェクト−ユーザー−パスワード |
(6) 確認をして「完了」ボタンをクリックします。
図3-6 新しいオブジェクト−ユーザー−完了 |
一人から数名を登録するときはこの方法でできますが,例えば1学年全員のように大勢の登録では大変な作業になります。そのような場合には,後述するバッチファイルを利用したユーザーの登録をお勧めします。
クライアントパソコンをサーバーに接続するには,まず,優先DNSサーバーのIPアドレスを変更し,続いてドメインに参加する手続きをとります。
(1) クライアントパソコンに管理者権限でログオンし,マイネットワークのアイコンを右クリックして,プロパティをクリックすると,ネットワーク接続が表示されます。ローカルエリア接続のアイコンを右クリックして,プロパティをクリックします。
図4-1 ネットワーク接続 |
(2) ローカルエリア接続のプロパティが表示されます。インターネットプロトコル(TCP/IP)を選択して「プロパティ」ボタンをクリックします。
図4-2 ローカルエリア接続のプロパティ |
(3) インターネットプロトコル(TCP/IP)のプロパティが表示されます。優先DNSサーバーのIPアドレスにサーバーのIPアドレスを入力します。「OK」ボタンを2回クリックします。ネットワーク接続を閉じます。
図4-3 インターネットプロトコル(TCP/IP)のプロパティ |
(4) マイコンピュータのアイコンを右クリックして,プロパティをクリックすると,システムのプロパティが表示されます。コンピュータ名タブを開き,「変更」ボタンをクリックします。
図4-4 システムのプロパティ |
(5) 次のメンバのドメインにチェックを入れて,1(12)で入力したドメイン名を入力し,「OK」ボタンをクリックします。
図4-5 コンピュータ名の変更−ドメイン |
(6) ドメインに参加するためのアクセス許可のあるアカウントの名前とパスワードを入力します。1(18)で入力したパスワードです。
図4-6 コンピュータ名の変更−アカウント名 |
(7) しばらくすると「(ドメイン名)ドメインへようこそ。」メッセージが表示されます。
図4-7 コンピュータ名の変更−ようこそ |
(8) コンピュータを再起動します。
図4-8 コンピュータ名の変更−再起動 |
3(3)〜(6)にあるように一人ずつユーザー登録するときは,Active Directory ユーザとコンピュータで行えばよいのですが,大勢のユーザーを登録するときはここで紹介するバッチファイルを利用します。gawk.exe,make_add_user.bat,adduser.awk,seito.csv を一つのフォルダ内に入れます。add_user.bat は make_add_user.bat から作られます。なお,gawk.exe はフリーソフトです。
(1) add_user.bat
NET USER コマンドはコマンドプロンプト(cmd.exe)上でユーザー・アカウントの作成や操作が簡単にできます。新しいユーザー・アカウントを作成するには,「NET USER <アカウント名> /ADD」とします。
この例では,「NET USER <アカウント名><パスワード> /ADD /FULLNAME:"フルネーム"/HOMEDIR:ホームディレクトリのパス名 /SCRIPTPATH:ログオンスクリプトのバッチファイル名」となっています。ホームディレクトリにはNAS(ネットワークハードディスク)を利用しています。事前にNAS内に個人フォルダを作っておきます。
ログオンスクリプトについては後述します。
図5-1 add_user.bat |
(2) make_add_user.bat
この make_add_user.bat をダブルクリックすると add_user.bat が作られます。
add_user.bat はメモ帳を使って書くことができますが,アカウント名などが連番となり,コピー&ペーストを使っても大変です。そこで,make_add_user.batを使います。make_add_user.bat は,gawk.exe を使って,定義ファイル adduser.awk に従い,カンマ区切りのデータファイル(例ではseito.csv)から,add_user.bat を作成します。
図5-2 make_add_user.bat |
(3) adduser.awk
gawk.exe の定義ファイルになります。データファイルから$1,$2,$3,$4にデータが入ります。print行を書き換えることで,思い通りのadd_user.bat を作成することができます。
図5-3 adduser.awk |
(4) seito.csv
gawk.exe のデータファイルになります。この例では4種類のデータを用意しています。
図5-4 seito.csv |
ア データファイル「seito.csv」を作るには,Excelでデータを入力します。オートフィルなどを使うと簡単にできます。
図5-4-1 seito.csv(Excel) |
イ 名前を付けて保存をします。ファイル名は「seito.csv」,ファイルの種類は「CSV(カンマ区切り)(*.csv)」として,「保存」ボタンをクリックします。
図5-4-2 seito.csv(Excel)−名前を付けて保存 |
ウ 「選択したファイルの種類は複数のシートを含むブックをサポートしていません。」のメッセージには「OK」ボタンをクリックします。
図5-4-3 seito.csv(Excel)−名前を付けて保存−メッセージ |
エ 「seito.csvには,CSV(カンマ区切り)と互換性のない機能が含まれている可能性があります。この形式でブックを保存しますか?」のメッセージには「いいえ」ボタンをクリックします。その後,「キャンセル」ボタンをクリックします。
図5-4-4 seito.csv(Excel)−名前を付けて保存−メッセージ |
(5) mustchpwd.bat
NET USER コマンドではユーザー・アカウントの作成などはできますが,複雑な設定はできません。そこで例えば,ユーザが初めてログオンしようとしたとき,「初回ログオン時にパスワードの変更を要求されます」 というログオンメッセージが表示されるようにするには,「DSMOD USER <ユーザーの識別名> -mustchpwd yes」とします。
図5-5 mustchpwd.bat |
(6) <ユーザーの識別名>を得るには,コマンドプロンプト(cmd.exe)で「DSQUERY USER -name *」などとします。
図5-6 コマンドプロンプト−DSQUERY USER -name * |
(7) pwd.bat
生徒全員のパスワードをリセットするときは,「DSMOD USER <ユーザーの識別名> -pwd <パスワード>」「DSMOD USER <ユーザーの識別名> -mustchpwd yes」とします。
図5-7 pwd.bat |
ユーザーがネットワークに接続したときに,あらかじめ指定しておいた一連のコマンドが自動的に実行されるようにするには,ログオンスクリプトと呼ばれるスクリプトを使って行います。ログオンスクリプトは,バッチファイルまたは実行可能プログラムです。
(1) ログオンスクリプト「student.bat」を作成します。
net time コマンドはサーバーと時刻を同期させます。
net use コマンドはネットワークリソースへの接続を行います。この例では,生徒への配布ファイルを入れるためのPublicフォルダと生徒が作成したファイルを提出するためのteisyutsuフォルダをマッピングしています。この2つのフォルダのアクセス権の設定は後述します。
図6-1 student.bat |
(2) ログオンスクリプトを指定します。
ログオンスクリプトはユーザーごとに指定することができます。
「Active Directory ユーザーとコンピュータ」で登録したユーザーアカウントのプロパティを開き,ユーザープロファイルのログオンスクリプトに記述します。
なお,前述のバッチファイルを利用したユーザー登録を利用した場合には自動的に指定されています。
図6-2 ログオンスクリプトの指定 |
(3) ログオンスプリクトを格納します。
ログオンスクリプトを格納する場所は,1(15)共有システムボリュームで指定したフォルダの中に作られ共有化されたsysvolフォルダの中の<ドメイン名>フォルダの中のscriptsフォルダです。
例では,C:\WINDOWS\SYSVOL\sysvol\●●●●ko.local\scripts です。
図6-3 ログオンスプリクトの格納 |
グループポリシーとは,コンピュータとユーザーを効果的に構成および管理できるようにする Active Directory の機能です。ドメインに参加しているクライアント環境を集中管理できます。
グループポリシーの編集は,グループポリシーオブジェクトエディタを使用します。このエディタは編集には適していますが,どのOUにグループポリシーが適用されているかを確認するなどの管理的な面では適していません。そこでこの問題を解決するためにMicrosoftはグループポリシー管理コンソール(GPMC)を提供しています。
(1) グループポリシー管理コンソール(GPMC)はMicrosoftの以下のページからダウンロードします。
http://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx
図7-1 グループポリシー管理コンソールのMicrosoft Webページ |
(2) 「ダウンロード」ボタンをクリックします。
図7-2 グループポリシー管理コンソールのダウンロード |
(3) 「実行」ボタンをクリックします。
図7-3 グループポリシー管理コンソールのダウンロードの実行 |
(4) 「実行する」ボタンをクリックします。
図7-4 グループポリシー管理コンソールのダウンロードの実行 |
(5) Microsoftグループポリシー管理コンソールSP1セットアップウィザードの開始で「次へ」ボタンをクリックします。
図7-5 Microsoftグループポリシー管理コンソールSP1セットアップウィザードの開始 |
(6) 使用許諾契約書を読み,「同意します」にチェックを入れて「次へ」ボタンをクリックします。
図7-6 Microsoftグループポリシー管理コンソールSP1セットアップウィザード−使用許諾契約書 |
(7) インストールが完了するまでしばらく待ちます。
図7-7 Microsoftグループポリシー管理コンソールSP1セットアップウィザード−お待ちください |
(8) インストールが完了したら「完了」ボタンをクリックします。
図7-8 Microsoftグループポリシー管理コンソールSP1セットアップウィザードの完了 |
(9) 管理ツールの中に「グループポリシーの管理」が追加されています。
図7-9 管理ツール |
(1) 7でインストールしたGPMCを開き,このドメインに共通のポリシー「Default Domain Policy」から編集します。
図8-1 グループポリシーの管理−Default Domain Policy |
(2) この例では,コンピュータの構成−Windowsの設定−セキュリティの設定−アカウントポリシーを順に開き,パスワードのポリシーを設定しています。
図8-2 Default Domain Policy(グループポリシーオブジェクトエディタ) |
(3) OU「students」のグループポリシーオブジェクト(GPO)を作成します。
図8-3 グループポリシーの管理−GPOの作成 |
(4) 新しいGPOに名前をつけます。例では「students ポリシーオブジェクト」としています。
図8-4 グループポリシーの管理−新しいGPO |
(5) OU「students」のポリシー「students ポリシーオブジェクト」を編集します。
図8-5 グループポリシーの管理−students ポリシーオブジェクト |
(6) この例では,ユーザーの構成−管理用テンプレート−デスクトップを順に開き,「デスクトップ上の[マイネットワーク]アイコンを非表示にする」のプロパティをクリックしています。
図8-6 students ポリシーオブジェクト(グループポリシーオブジェクトエディタ) |
(7) 「デスクトップ上の[マイネットワーク]アイコンを非表示にする」のプロパティで,「有効」にチェックを入れて,「OK」ボタンをクリックします。
図8-7 デスクトップ上の[マイネットワーク]アイコンを非表示にするのプロパティ |
(8) (7)以外にも設定を行い,「students ポリシーオブジェクト」の「設定」タブを開いて確認します。
図8-8 グループポリシーの管理−students ポリシーオブジェクトの確認 |
今回,5(1)にあるように,ホームディレクトリにはNAS(ネットワークハードディスク)を利用しています。NASではアクセス権を厳密に与えることが困難なため,グループポリシーでネットワークコンピュータへのアクセスを禁止しています。
6ログオンスクリプトでマッピングした,生徒への配布ファイルを入れるためのPublicフォルダと生徒が作成したファイルを提出するためのteisyutsuフォルダのアクセス権を設定します。
(1) Publicフォルダを右クリックし,「共有とセキュリティ」をクリックします。「このフォルダを共有する」にチェックを入れます。
図9-1 Public(フォルダ)のプロパティ−共有−このフォルダを共有する |
(2) Publicのアクセス許可で,既にEveryoneには読み取りの許可が与えられています。teachersを追加し,「変更」と「読み取り」に許可を与えます。 「OK」ボタンをクリックします。
図9-2 Public(フォルダ)のアクセス許可 |
(3) セキュリティタブをクリックし,「追加」をボタンをクリックします。
図9-3 Public(フォルダ)のプロパティ−セキュリティ−追加 |
(4) ユーザー,コンピュータまたはグループの選択で「詳細設定」ボタンをクリックします。
図9-4 ユーザー,コンピュータまたはグループの選択 |
(5) 「今すぐ検索」ボタンをクリックします。
図9-5 ユーザー,コンピュータまたはグループの選択−今すぐ検索 |
(6) 検索結果の中からOU「students」を選択し,「OK」ボタンをクリックします。
図9-6 ユーザー,コンピュータまたはグループの選択−検索結果 |
(7) 選択するオブジェクト名に「students」が追加されていることを確認して,「OK」ボタンをクリックします。
図9-7 ユーザー,コンピュータまたはグループの選択−確認 |
(8) studentsのアクセス許可の中から,「読み取りと実行」「フォルダの内容の一覧表示」「読み取り」の許可にチェックを入れて,「OK」ボタンをクリックします。
図9-8 Public(フォルダ)のプロパティ−studentsのアクセス許可 |
(9) teisyutsuフォルダも「このフォルダを共有する」にチェックを入れます。「アクセス許可」ボタンをクリックします。
図9-9 teisyutsu(フォルダ)のプロパティ−共有−このフォルダを共有する |
(10) teisyutsuのアクセス許可で,既にEveryoneには読み取りの許可が与えられています。studentsを追加し,「変更」と「読み取り」に許可を与えます。teachersを追加し,「フルコントロール」,「変更」と「読み取り」に許可を与えます。 「OK」ボタンをクリックします。
図9-10 teisyutsu(フォルダ)のアクセス許可 |
(11) (3)〜(8)と同様に,セキュリティタブをクリックし,OU「students」を追加します。studentsのアクセス許可の「詳細設定」ボタンをクリックします。teisyutsuのアクセス許可エントリで,適用先を「このフォルダのみ」を選択し,アクセス許可の中から「フォルダの一覧/データの読み取り」,「属性の読み取り」と「アクセス許可の読み取り」に許可を与えます。「OK」ボタンをクリックします。
図9-11 teisyutsu(フォルダ)のアクセス許可エントリ |
(12) teisyutsuフォルダの中に,クラスごとのフォルダ(例えば「25」は2年5組用)を作ります。そのフォルダに対して,(3)〜(8)と同様に,セキュリティタブをクリックし,クラス別OU(例えば「cl25」)を追加します。cl25のアクセス許可の中から「フォルダの内容の一覧表示」と「書き込み」に許可を与えます。「OK」ボタンをクリックします。これにより,例えばOU「cl25」(2年5組)に属するユーザーは25フォルダに対して,書き込みはできますが,ファイルをコピーしたり削除したりすることはできません。また,OU「cl25」に属していないユーザーは25フォルダに対してアクセスすることはできません。
図9-12 25(フォルダ)のプロパティ−アクセス許可 |
この研究でユーザー管理の初歩的な一歩から実用に足りうるユーザーの一括登録やアクセス権の設定まで紹介しました。ぜひご活用ください。
Windows Server 2003 実践ガイド(村嶋修一著,技術評論社)
Microsoft Windows,マイクロソフト製品名は,米国およびその他の国におけるMicrosoft Corporationの商標または登録商標です。その他の製品名,社名,ロゴマーク等は該当する各社の登録商標または商標です。