• ベストアンサー

Windows2000でのユーザー登録

私の会社はサーバーをたてて社内LANを構築しています。 サーバーはWindowsNTです。 この度全てのクライアントマシンをWin2000にすべく、セットアップの実験をしているのですが、1台に1ユーザーなのにも係わらず、CドライブのDocument and Settingsにadministrator、All User、登録したコンピュータ名以外にたくさんのフォルダが出来てしまいます。 本来?ならadministrator、All User、登録したコンピュータ名だけのはずだと思うのですが・・ それもやり直す度に数や内容が変わるのです。 サーバーをたてて社内LANを構築して、ワークグループ(ドメイン)を設定している場合の正しいセットアップ手順などありましたら、教えて下さい。

質問者が選んだベストアンサー

  • ベストアンサー
  • percival
  • ベストアンサー率34% (9/26)
回答No.3

遅くなって済みません、チェックしていませんでした。 まず「コンピュータアカウント」と「ユーザーアカウント」を切り離して考えてください。 95や98はそのPCを特定の一人が使う(個人用、家庭用)前提のOSでした。 しかしNT4WS(その流れをくむ2000も)ネットワークを通じて業務で使う、一台を数人で共用することを 念頭にしています。PC1、PC2、PC3、PC4を考えユーザとしてU1、U2、U3、U4を考えることにします。 ある時はpc1(U1)、pc1(U2)となるわけですよね。これは考えやすいのですが 業務端末だったりすると次も有りですよね、ある日PC1(U1),別の日PC2(U1)。 ですのでユーザー情報はPCでなくサーバにおかれます。ユーザーはどのPCを使ってもセキュリティ特権などは認識される。(これわかんないな・・・) 社長とシステム管理者は全アクセス権、人事部社員はアクセス権a、開発部員はアクセス権b、一般はcとしていたら、社長は社長室以外でも全て見られ、人事部でなくても人事部員のアカウントでログオンすれば人事部員のアクセス権を得ることができる。権利は使用するPCに依存しない。 ところがPC毎に制限したいこともあるわけです。人事部ないのPCでなければ ログオンを受け付けないとか。そのためにコンピュータアカウントがNT系にはあります。例の場合全てのコンピュータが95.98.MEだとどこからでもアクセス可能です。社長のアカウントとパスが分かればやり放題、ntだとPC(HYDE)へのアクセスを社長室のPCに限定すればアカウントとパスが合っていても他からはアクセスできなくなります。 いってもターミナルサービス端末ではないので画面情報などはローカルです。 >3.コンピュータ名とadministratorパスワード > コンピュータ名 *administrator が気になるのですが、上記の理由でPC名にはadministratorを使わない方がいいです。自分でもPC名か、ユーザー名か分からなくなります。それとNTサーバは 必ずadministratorを持っていますから、クライアントは前の回答の理由もあって administratorは使わない方がいいです。あちこちで同じ名前使っちゃうとわかんないんですよね。という私も二台が同じだったので苦労しました。相手の共有フォルダにアクセスするときに administratorのパスを入れろ「どっちのだ・・・?」と。 本題に戻りますが、「3」の行程のパスはローカルなパスワードです。これでクライアントosのインストールは終わり。 次にこのクライアントのadministrator(ビルトイン)アカウントをコンピュータの管理から名前を変更してしまいます。なぜならこのまま「6」に突き進むと administratorとadministrator.aaaaが間違いなくできてしまい、イヤだからです。変更して回避できるかは今のうちのシステムでは検証できません。 次にサーバにユーザアカウント(仮にsunday)をアドミングループに作成します。ローカルにユーザーマネージャでaaaaのsundayを好きなアドミングループに追加します。この状態でネットワーク識別をすればsundayはドメインに存在するので参加できます。ローカルには変更した元administratorとsundayの二つとEFAULT、allができているはずです。sundayでドメインにログオンし、アンチウィルスをインストールしsundayを格下げします。 administrator.aaaaができたのは「6」が原因です。ADMINI~AAAはAAAは何なのですか。相対がつかめないので原因も思いつきません。 質問の答えになってるでしょうか??? 参考になればいいのですが・・・

sundaysilence
質問者

補足

percivalさん、重ねてのご回答ありがとうございます。 なるほど、少し理解出来たようです。 percivalさんのご回答を元に再度自分の手順を検証してみたのですが、前回の私の補足に誤りがありました。 「3」のコンピュータ名にはadministratorではなくユーザー名を用いていました。 またADMINI~AAAとは、ユーザー名をsundayとしたとすると何故かADMINI~sundとsundayの半分位までしか表示されていないんです。(Documents and settingにて) しかしユーザープロファイルは次のとおりです(ドメイン:AAAA ユーザー名:sunday) sunday\Administrator AAAA\Administrator AAAA\sunday これが正しいのかは分かりません。ちなみにこのPCは1台に1ユーザーです。 「1」~「3」まではクライアントのセットアップと言うのは理解できました。 「4」は社内LANへ参加する為の設定と言う事で理解出来ます。 やはり「5」~「7」があやふやなのですが、既にサーバーにはユーザー名が登録してあるのに「6」で再度登録するから重複するのでしょうか? 申し訳ございません、やはり理解出来ていないようです。

その他の回答 (2)

  • percival
  • ベストアンサー率34% (9/26)
回答No.2

>だとしたら、Default UserはDefault Userという名前で自動的に作られるという事ですか? そうみたいです。 administratorという名称を使うとややこしいのとセキュリティーの面から変更をお進めします。 理由はサーバー(ドメインコントローラ)にはドメインのadminがあり クライアントにもADMINがあり何やら分かりにくくなります。あとハッカーがアタックするときにもログオンするにはユーザー名とパスワードが必要ですがADMINISTRATORならばユーザー名はバレ済みですよね。後はもしパスが生年月日だったり創立記念日だったりすると適当にやれば乗っ取ることができてしまいます。サーバーを乗っ取られると最悪ですが、残念ながらNT4はビルトインアカウントの名称を変えられないのでむちゃくちゃ分かりにくい(自分もメモ見なきゃわからんような)パス付けてADMINISTRATORは使わない。そしてADMINISTRATORsグループに 新しくADMIN権限を持つユーザーを作るといいです。 2000はNT系ではあってもADMINISTRATORの名前を変更できます。管理からローカルユーザーとグループ そこで変更したい物を右クリックします。 >私の会社のワークグループを「aaaa」として私のユーザー名(パソコン番号)を「bbb1」とすると >ADMINI~AAA / AAAというのはなんですか????? Administrator / :その機械のadministratorビルトインアカウントです。自動作成されます。 >administrator.aaaa / :ドメインのadministratorです。 >All Users / :その機械で共通に使う物です。例えば全ユーザー使えるプログラムはここのスタートメニューに登録されています。この場合adminは All Users+adminだけに登録された物、bbb1はAll Users+bbb1だけに登録された物を使用可能 自動作成されます。 >Default User / :現在の記録。これが何をしているかは分かりません >bbb1 インストール時にこの名称を入力したはずです。 このうち「bbb1」の追加は認識していますが >ADMINI~AAAとadministrator.aaaaは何のこと?って感じです。 前の物はもう少し情報がないと分かりません。 後の物はドメインのADMINISTRATORです。なぜできてしまったか。 ドメインに参加させるときに「ドメインにアクセス許可のあるユーザーを指定してください」というようなメッセージが出たと思います。その時にadministratorを指定したと思いますがbbb1のadministratorはローカルなユーザーでbbb1について全権限を持っていますが、ドメインに他のユーザーを参加させるなどという権限は持っていません。参加すらさせてもらえません。 sundaysilenceさんがこの時聞かれているのはドメインのユーザーのうち、他を参加させる権限を持つ者を指定しろと言われているのです。その時のadministratorはbbb1のではなくドメインのadministratorつまりadministrator.aaaaなのです。それでログオンしたのでローカルにも新しくできちゃいました。ですから、これは我慢するか、そうでなければ先にサーバーにbbb1を登録して置くことです。そうすれば、ドメイン参加に新しいユーザーを作る権限などいらないのでユーザーアカウント:bbb1 ドメイン:aaaa コンピュータアカウント:? で参加できるはずです。

sundaysilence
質問者

お礼

percivalさん、ご返答ありがとうございます。 詳しく解説して下さったお陰で、大変勉強になりました。 ですが、セットアップからネットワークの設定、ワークグープの設定、ドメインへの参加への流れが理解出来ていません。 私の行った手順を書きますので、お手数ですが問題のある個所をご指摘頂けないでしょうか? サーバー(ワークグループ):AAAA ユーザー名:bbbb 1.OSのインストール 2.個人用情報の入力  使用者 *個人名(漢字)  組織名 *会社名(漢字) 3.コンピュータ名とadministratorパスワード  コンピュータ名 *administrator  adminiパス *1111 4.ネットワークの設定  カスタム設定を選択してTCP/IPを入力 5.ワークグループの設定  このコンピュータを次のドメインのメンバにするを選択  *AAAA 6.ドメインへの参加  ユーザー名 *administrator  パスワード *9999 7.ネットワークの識別ウィザード  次のユーザーを追加するを選択  ユーザー名 *bbbb  ドメイン *AAAA 8.ユーザーの権限の設定  その他のadministrator この後必要なアプリケーションを入れてユーザー権限を制限付きに変更 サーバーとアクセスしてAntiVirusをインストールする為に始めはアドミンの権限を与えました。 記載例の中の*の後ろは入力した内容です。 長々と且つ厚かましいお願いですが、宜しくお願いします。

回答No.1

クライアントという事はWindows2000Proをクリーンセットアップ でいいのですよね? セットアップ直後に生成されるフォルダは Administrator All User Default User の3つのはずですよ。 その後アカウントを登録する度に、 「アカウント名」 によるフォルダが生成されていきます。 P.S. ひょっとしてNTマシンを2000にアップグレードしてませんか?

sundaysilence
質問者

補足

ご返答ありがとうございます。 仰るとおりクライアントにはWindows2000Proをクリーンセットアップする予定です。 アカウント名というのは、任意のユーザー名(当社ではパソコン番号)の事ですか? だとしたら、Default UserはDefault Userという名前で自動的に作られるという事ですか? それからアップグレード対象機は全てWin95 or win98です。 ちなみに・・私の会社のワークグループを「aaaa」として私のユーザー名(パソコン番号)を「bbb1」とすると ADMINI~AAA / Administrator / administrator.aaaa / All Users / Default User / bbb1 とたくさん出来てしまうのですが・・ このうち「bbb1」の追加は認識していますが ADMINI~AAAとadministrator.aaaaは何のこと?って感じです。 何かセットアップ方法に問題があるのでしょうか? それともサーバーをたてたLAN環境ではそれが当たり前なのでしょうか?

  1. カテゴリ
  2. パソコン・スマートフォン
  3. Windows
  4. Windows NT・2000

関連するQ&A

  • windows server 2003 ユーザー

    windows server 2003 R2 Standard Edition でファイルサーバーを構築しています。ワークグループ管理です。クライアントPCが10数台あるのですが、そのうちの数台は、フルコンピュータ名やユーザー名がAdministratorとなっています。コンピュータの管理から登録ユーザー名の一覧をだすと、もちろんユーザー名Administratorがひとつだけあるのですが、それがどのクライアントPCを指しているのかわかりません。 また、その影響で名前がAdministratorになっているものをリモートデスクトップのホストにしようとするとネットワークに属していないとでてしまいます。但しクライアントPCは全て共有ファイルにアクセスできます。 この辺をどう整理していけばいいのでしょうか?再セットアップしなおして登録しなおすしかありませんか? 情報が足りなければ追記します。 宜しくお願いします。

  • Windows7のユーザーアカウントについて

    Windows7を初めて使用した者です。 空のPCへWindows7proをインストールすると、 標準ユーザーか管理者Administratorかを選択するダイアログが表示されたので、 標準ユーザーとしてログインし、コンピューター名などの設定を変更して、 社内LANサーバーへアクセスするためにドメインにも入って、 アンチウィルスなど、その他もろもろ設定して、sp1などのパッチあてなど 全部行ってか再起動して、標準ユーザーとして設定したユーザーID・PASSで入力すると................... ???なぜか???もう一つユーザーアカウント(ユーザーフォルダ)が出来てしまい、 しかも誤って新しく作ってしまったアカウント権限が 管理者Administratorになってしまい、ユーザーフォルダが2つ出来てしまった状態です。 この状態から次のように変更できませんでしょうか。 誤って作ってしまった管理者Administratorを標準ユーザーへ変更し、 最初に設定した標準ユーザーを管理者Administratorへと変更してから、 誤って作ってしまったユーザーアカウントを削除したいのですが、 これって可能でしょうか? Windows7を再インストールして、最初から管理者Administratorとして ログインし直したほうが早いかもしれませんが、それができない事情です。 何卒、ご教授下さい。

  • ActiveDirectory登録ユーザに関して

    教えてください。 この度「WindowsServer2008R2」サーバで「AD環境」を構築します。 そのドメイン配下には、100台ほどの「Windows7端末」。 使用するユーザは、200人程度。 この200名をADに登録するのですが、「Windows7」にログオンする時は200名の登録ユーザ とは関係の無い「特定のユーザ」で全員ログオンさせたいと思っています。 このような事が実現可能なのでしょうか? いまいちイメージが沸かなくて、申し訳ないのですがご教授願います。

  • windows2000serverでドメインを取りユーザーが突然ログインできなくなってしまった!?

    windows2000serverを使用してドメイン管理をしています。 ドメインは「APP」です。 そこに登録しているユーザー名(APP08)という形で登録してありました。 もちろん今までどおりクライアントマシンからAPP08でログインすることが出来ました。 ところがクライアントマシンからAPP08でログインすることが出来なくなってしまいました。 クライアントマシンはwindowsNTなのですが、ログイン画面でパスワードを入れると「ドメインにログインすることが出来ません。プライマリドメインのシステムにコンピュータアカウントがないか、パスワードがまちがっている。」とでます。 何か打開策はありますでしょか? ご教授お願いしたします。

  • Windows2000サーバの各ユーザのアクセス権について

    最近、Windows2000 Server(IIS)の フォルダのアクセス権を追加する場面で、 以下のユーザー(コンピュータ・グループ?)がリストや欄に出てきましたが、いまいち使い分けがわかりません。 何に、どのようなアクセス権をほどこせばいいのか・・・、 それと、いくつかのユーザーへはアクセス権を放っておけばいいでしょうか? Administrator Administrators ASPNET Cert Publishers DHCP Administrators DHCP Users DnsAdmins DnsUpdateProxy コンピュータ名(例:Chocotan) Domain Computers Domain Controllers Domain Guests Domain Users Enterprise Admins Group Policy Creator Owners Guests DIALUP CREATOR OWNER CREATOR GROUP ENTERPRISE DOMAIN CONTROLLERS SERVICE SELF RESTRICTED PROXY IUSR_Chocotan IWAM_Chocotan krbtgt Everyone NETWORK RAS and IAS Servers Schema Admins TsInternetUser WINS Users Users Backup Operators Replicator Server Operators Account Operators Print Operators Pre-Windows 2000 Compatible Access ANONYMOUS LOGON Authenticated Users BATCH SYSTEM S-1-5-32-547 サーバの構築目的は、下のようなものです。 Web・Ftpサーバの運用。 Telnet、DNS、DHCPサーバのテスト運用。 家庭内LANの、他のPC1~2台(192.168.11.*)で、 構築サーバの接続の確認や、 ファイルの共有のテスト・勉強です。 とりあえず、わかったことは、 ・Administrators、SYSTEM → フルコントロール ・IUSR_Chocotan、IWAM_Chocotan → 読み取りと実行は必要? ・everyone → フルコントロールにはしてはいけない。 あと、AdministratorとAdministratorsの違いって何ですか? アクセス権なんて、構築環境によるだろうから、回答しづらいかもしれませんが、ざっくりでいいので使い分けでも教えて下さい。 言葉が足りなかったら補足します。よろしくお願いします。

  • WINDOWS2000のドメインのユーザ

    ども、izumoです。お世話になります。 windows2000サーバを用いてドメインを構築しております。 ドメインユーザに、パワーユーザと同等の権利を与えるにはどのようにすればよいのでしょうか? 各マシンもコンピュータの管理にてpowerusersにドメインユーザを追加する方法で大丈夫と聞いたのですが、マシン数・ユーザ共に多すぎて困っております。 何か良い方法が、あればご教授願います。

  • サーバのユーザー登録について

    現在、サーバ(Windows NT)を使用しているのですが、 今回、新たにサーバ(Windows 2003 Server)を購入しました。 今後は、NTサーバ「AA」と2003サーバ「BB」は同じドメイン上に存在させます。 データを移行やバックアップの設定なので、 NTサーバ「AA」から2003サーバ「BB」へアクセスできるように、 また2003サーバ「BB」からNTサーバ「AA」へもアクセスできるようにしたいと思っています。 その場合、各サーバ側でユーザー登録が必要になりますが、 登録するユーザー名は「サーバ名(AA と BB)」でよいのでしょうか。 またパスワードは、各サーバにログオンするときのパスワードでよいのでしょうか。 (各サーバともログオンするときのユーザー名は「Administrator」です) 変な質問で申し訳ございませんが、どなたかご教授ください。

  • ユーザーのドメイン参加

    よろしくお願い致します。 XPproが入ったPCを社内LANのドメインに参加させました。さらに、サーバーに登録されているユーザー名+ドメイン名をPCに登録しようとすると、「このワークステーションとプライマリドメインとの信頼関係に失敗しました。」と出て登録できません。 つまり、Windowsのログイン画面で、”ユーザー名”+”パスワード”を入力し、”ログオン先”にネットワークのドメイン名を指定して入れるようにしたいのです。 お分かりいただけますでしょうか? 伝え方が下手で申し訳ございませんが、ご教授ください。

  • Windows Server 2003 ワークグループでのユーザー名について

    現在Windows Server 2003ワークグループで運用しているのですが、私の理解ではサーバ機にクライアントPCに作られているユーザーアカウント名とパスワードを登録すると、サーバ機にネットワーク経由でアクセスする時にユーザー名とパスワードを聞かれることなくアクセスできると思っていたのですが、1台のPCがユーザー名とパスワードを登録していないにもかかわらずアクセスできているのです。 Guestアカウントは無効にしてあります。 サーバ機のコンピュータの管理画面のセッションを見てみるとそのPCはユーザー名がadministratorになっていました。 さらにそのPCのadministratorパスワードは サーバ機にローカルログオンする時のadministratorのパスワードと違うものでした。 そして、そのPCはローカルログオンする時にadministratorというユーザー名は入れていないのです。 なぜアクセスできているのかご存知の方がいらっしゃいましたら、どうぞご教授お願致します。

  • DMZと社内LANは違うWindowsドメインにすべき?

    Windows NT4.0が出た頃に構築された社内LAN&インターネットサーバ環境を、今頃ようやくWindows Server 2003 R2 & Windows 2000 Serverで構築されたネットワークにアップグレードしようとしています。 現在の状態は(ネットワークを構築した当時のセキュリティの観点からなのか)インターネットサーバが置いてあるDMZと、社内LANがわざわざ別のNTドメインになっています。 今回、Active Directoryで構築し直すに当たって、やはり同じようにドメインを分ける必要があるのかどうか判らず、教えていただければと思い投稿しました。 現在は、社内LAN、mailサーバ、wwwサーバ、DBサーバ全てがWindowsNT4.0になっています。 mailサーバとwwwサーバにはそれぞれ社内LANのサブネットと同じプライベートアドレスが振ってあり、Firewallでグローバルアドレスに変換して外部からアクセスできるようになっています。これをDMZと呼んで良いのかどうか判らないのですが一応DMZと呼んでいます。 社内LANのNTドメイン(DOMAIN-Aとします)と、このDMZにあるmailサーバ、wwwサーバ、そして社内LANにあるDBサーバから構成されたNTドメイン(DOMAIN-Bとします)という二つのNTドメインが存在しています。 そして、OSが古かったからかもしれないのですが、DMZのNTドメインには以前外部から侵入された形跡があり、知らないユーザーアカウントが登録されたことがありました。そんなこともあったので、外部からアクセスできる領域は別のドメインにしておいた方がより安全なのかも、と思ったりしています。 しかし一方で「今はそんな面倒な組み方してる所はないよ」という話かもしれず、現在の主流な組み方が判らないので教えていただけないでしょうか。 よろしくお願い致します。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する