ユーザー名が違うPCへのアクセス

LAN内、WAN間、今まで全てのPCを「Administrator」環境で使用していました。
OSはWindows98SE、2000、XPとあります。

が、セキュリティ上やはり良くないということで今回一部のPCを「Administrator」ではない任意の名前に変更しようと考えています。

ただし、これだとPC間でのアクセス権限がないためユーザー名とパスワードを求められるようになると思います。

都度その入力を行うのも面倒なので何か良い設定は無いものかと考えて単純に各PCのゲストを有効にすればいいのではないかと思ってたりしますが、全てのPCにこの設定をしようとすると何百台とありかなり大変です。

とりあえず、ユーザー名を変更したPCから「Administrator」のPCへのアクセスが今まで通り行えれば良いのですが何か良い方法はありませんでしょうか？

No.5 回答者： xcrOSgS2wY 回答日時： 2005/06/30 12:58

回答No.2で「クライアントにログインする際のユーザ名はAdministratorのままにする以外ありません」、回答No.3の中で「ログイン時には以前と同じくユーザ名Administratorでログインすることになります」と繰り返し書いておりますとおり、これらの手順はログオンユーザ名がAdministratorであることが前提となっております。

これ以外の方法があるかどうかについては私には分かりかねますので、回答は他の識者の方にお譲りします。

No.4 回答者： xcrOSgS2wY 回答日時： 2005/06/30 12:09

こちらで、Windows XPをサーバ、Windows 2000をクライアントとしたテストでは、次の手順でうまくいっております。

(1) サーバ、クライアントとも同一のユーザ名Administrator（管理者権限）が存在する状態からテスト開始。テスト開始時点ではユーザ名・パスワードを入力することなくファイル共有が可能。

(2) クライアントのAdministratorのユーザ名をadminに変更し再起動。この時点で、クライアントにユーザ名Administratorではログインできなくなります。

(3) クライアントにadminでログイン。サーバとのファイル共有にはユーザ名・パスワードの入力が必要。

(4) クライアントにユーザ名Administratorを作成。ユーザ権限はUsers。

(5) クライアントからログオフし、今度はユーザ名Administratorでログオン。この時点で、ユーザ名・パスワードを入力することなくファイル共有が可能。

どの段階で状況が一致していないのか、ご確認いただけますでしょうか。

この回答への補足

4までの手順はこちらも同じです。

ただし、5の内容で一度ログオフし「Administrator」でログオンしなおすということを行っていません。

と言うのも、通常の作業の中でサーバにアクセスすることが一日の中でも何度となくあるので都度この作業をやっていると効率が悪いと感じたのです。

つまり、私は今回の設定により「Administrator」以外の別ユーザーで使用していても「Administrator」としてサーバへアクセス出来るという認識でした。

実際、そんな上手い話はないんでしょうか？

補足日時：2005/06/30 12:30

No.3 回答者： xcrOSgS2wY 回答日時： 2005/06/30 09:58

（以下の説明では、98SEによるサーバは除外しています。

98SEサーバへのアクセスはパスワードのみによるアクセス制御なので、ユーザ名の変更による影響がないからです。）

確認しますが、社内のPCは設定変更してもよいが客先のPCの設定変更は避けたい（回答No.1の補足から）のですよね。

そして、クライアントPCから社内PCサーバあるいは客先PCサーバの共有ファイルを使用する際に、ユーザ名とパスワードをいちいち入力する必要がないようにもしたいのですよね。

まず2番目の「ユーザ名とパスワードをいちいち入力する必要がないようにする」という条件から、クライアントPCのログインに使用するユーザ名は必ずサーバに登録されているユーザ名である必要があります。

そして1番目の「客先のPCの設定変更を避ける」という条件により、自動的に、クライアントPCのログインユーザ名はAdministrator以外使用できないことになります。

そうすると、当初の目的である「セキュリティ上の問題を避ける」を満たすためには、ユーザ名Administratorを使用し続けたままで何らかの方法を取らなければならないことになります。

Administratorを使用することによる「セキュリティ上の問題」とはAdministratorに与えられた権限（管理者権限）が大きすぎることですから、ユーザ名Administratorの権限を一般ユーザ程度に制限すればその問題は発生しないことになります。

そのためには、まずクライアントPC上で、既存のユーザ名Administratorを別のユーザ名に変更します。今後、そのクライアントPC上では、変更した別のユーザ名が管理者権限を持つユーザ名になります。

次に、そのクライアントPC上に改めて、ユーザ名Administratorを作成します。このとき、一般ユーザ（あるいはPower Users）等、適当と思われる権限を与えることで、管理者権限を持たないユーザAdministratorが出来上がります。

この作業はクライアントPCに対して行うものですから、回答No.1の補足にある「社内の主要なPC」のうちクライアントPCとして使用しているもののみに行えばいい作業になります。

作業後も、ログイン時には以前と同じくユーザ名Administratorでログインすることになりますが、このときのクライアントPCにおけるセキュリティ上のリスクは別の一般ユーザ名を使用するときと同じになります。

以上、回答No.2の内容のブレイクダウンでした。

この回答への補足

当方がやりたいことは仰っていることまさにその通りです。

ですので、No2補足でも書きましたが「既存のユーザ名Administratorを別のユーザ名に変更し、クライアントPC上に改めて、ユーザ名Administratorを作成」という方法を試したわけですが、サーバへのアクセス時にはやはりユーザー名、パスワードを求められるのです。
この時、サーバは2000、クライアントは2000/XPともに試しましたが結果同じでした。

あらたに作成した「Administrator」が生きていないのでしょうか？

補足日時：2005/06/30 11:11

No.2 回答者： xcrOSgS2wY 回答日時： 2005/06/29 21:37

サーバがWindows 98 SEの場合、アクセス制御はパスワードのみでユーザ名は使用しないので、ログインユーザ名変更による影響はありません。

サーバがWindows 2000/XPの場合、ユーザ名とパスワードを入力せずにファイル共有を使用するには、サーバ側に登録されているユーザ名（とそれに一致するパスワード）を使用するしかありません。客先にあるサーバの設定を変更しないということは、サーバ側に登録されているユーザ名はAdministratorのままにしておきたいということですので、クライアントにログインする際のユーザ名はAdministratorのままにする以外ありません。

しかし、ログインするユーザ名がAdministratorのままでも、セキュリティの問題が発生しないようにすることは可能です。その方法は、クライアントが98SEなのか、それとも2000/XPなのかによって異なります。

クライアントが98SEの場合、ログインユーザ名がAdministratorであろうとなかろうとセキュリティ上の変化はありませんので、今までどおりAdministratorを使い続ければよいかと思います。

クライアントが2000/XPの場合、まず管理者権限を持つ既存のユーザ名「Administrator」を別の名前に変更し、それから改めて管理者権限を持たない一般ユーザ「Administrator」を作成します。一般ユーザ「Administrator」であっても、パスワードさえサーバの「Administrator」と一致していれば、サーバとファイル共有は可能です。

なお、クライアントが2000/XPの場合は、別の名前の一般ユーザを作成し、そのユーザ名でログインする際にログインスクリプト内でユーザ名Administratorとパスワードを与えてサーバに接続するということも原理的には可能です。しかし、この方法ですとパスワードをどこかに通常の文字列として保存しなければなりませんし、接続先が多数ある場合にはちょっと不便ですので、使いづらいかと思います。

この回答への補足

回答ありがとうございます。

おぼろげながら私が思い描いていたものにかなり近い気がします。

まず、ホストは98SE/2000/XPでクライアントは2000/XPという環境です。
さらにホストの大多数は「Administrator」でパスワードなしといういわゆる
デフォルト状態です。

さっそく既存のユーザ名「Administrator」を別の名前に変更する方法を試してみましたが、結果は以前と変わらず「ユーザ名」「パスワード」を求められました。　もちろん「Administrator」と入力すれば普通にアクセスは出来ますが、全ホストに対してこの作業を行うのは効率的ではありません。
設定の方法が悪いのでしょうか？

また、アクセス時に「Administrator」を使用するという方法は私も考えましたが具体的な方法がわからず苦戦していましたが、さきほどホストの共有フォルダに対して作成したショートカットのプロパティから詳細設定の部分で
「このショートカットに使用する詳細プロパティを選択してください。」との記述があり、そこには「別の資格情報で実行する」というチェックボックスがあってまさにこれじゃないでしょうか？

ただ、残念なことにグレーになっておりチェック出来る状態ではありませんでしたが．．

補足日時：2005/06/30 08:43

No.1 回答者： noname#19360 回答日時： 2005/06/29 12:41

セキュリティを考えるなら、Peer to Peer のファイル共有はOFFにして、ファイルサーバーを置くべきではないでしょうか？

クライアント側は新規のログインユーザー名とパスワードを決め、それをあなたがファイルサーバーにも登録して、みんなでアクセスとなります。最近はNASでも同様のことができますから出入りの事務機業者に相談されては？

いずれにせよ何百台ものクライアントを設定変更しなければいけないでしょうから、ユーザー自身に上手に操作していただくよう、丁寧な操作マニュアルをあなたが作ってあげる必要がありますね。

あと簡単に済ますのでしたら、マイコンピュータを右クリックで出てくるネットワークドライブの割り当てのメニューを出し、その中の『異なるユーザーで接続』を使えばどうでしょう？XP、2kはこの手が使えます。98SEはどうだったかな？確認してみてください。

この回答への補足

説明が不足していましたが、今回ユーザ名を変更するのは社内の主要なPCだけでして他大多数はWAN越しのお客様が使用しているPCになります。
また、社内的にはNASを利用しています。

で、うちからお客様へのアクセスは今まで通り行いたいけど逆は良くありませんので今回の変更を思い立った訳です。

そういった事情から出来ればお客様のPCの設定は変更せずに出来ないかと模索しているところです。

ネットワークドライブの件もドライブ数に限りがあることから今回の回避策としては難しいように思います。

補足日時：2005/06/29 13:07