windows server 2003 ユーザー

windows server 2003 R2 Standard Edition　でファイルサーバーを構築しています。ワークグループ管理です。クライアントPCが10数台あるのですが、そのうちの数台は、フルコンピュータ名やユーザー名がAdministratorとなっています。コンピュータの管理から登録ユーザー名の一覧をだすと、もちろんユーザー名Administratorがひとつだけあるのですが、それがどのクライアントPCを指しているのかわかりません。
また、その影響で名前がAdministratorになっているものをリモートデスクトップのホストにしようとするとネットワークに属していないとでてしまいます。但しクライアントPCは全て共有ファイルにアクセスできます。
この辺をどう整理していけばいいのでしょうか？再セットアップしなおして登録しなおすしかありませんか？
情報が足りなければ追記します。
宜しくお願いします。

No.5 ベストアンサー 回答者： demmystar 回答日時： 2012/03/15 14:27

＞　通常クライアントPCにアカウントをたてるときには、

＞　コンピュータ管理者アカウントとして
＞　ユーザー名「Administrator」を立てて、
＞　それとは別に使用者（社員）用として制限アカウントで
＞　ユーザー名「社員名」とかで立ててそちらでログインして
＞　もらうようにした方がいいのでしょうか？（制限アカウント名をサーバーに登録）

　できれば、管理者と一般ユーザの区分けをアカウントで
識別できるようにした方がいいですね。
　ただ、業務用アプリの動作に、ファイルアクセス権限で
問題が出る場合は、ログインアカウントを「管理者権限を付与」して
作成する場合もあります。
　ただ、「Administrator」は、ビルトインアカウント（ＯＳインストール時に
自動的に作成されてしまう）なので、できるだけ、一般ユーザが
常用する環境を無くす方向で考えた方がいいと思いますよ。

＞　あるクライアントPCですでにコンピュータ管理者アカウントが
＞　たっているのに、アカウントを追加しようとすると制限アカウントが
＞　グレーで選択できず、コンピュータ管理者アカウントを最低一つたてろと
＞　メッセージがでるのですが、これはどういう状態なのでしょうか？

マイクロソフトのセキュリティ制限が厳しくなって、ビルトインアカウントでの
操作制限が加わった（Windows XP SP2 か SP3 からだったと記憶してます）から
だと思います。ビルトインアカウントでは、管理者アカウント作成しかできなかった
ような記憶があります。

No.4 回答者： m-take0220 回答日時： 2012/03/15 13:25

＞ クライアントがサーバーにアクセスする際に、初回にユーザー名とパスワードを求められますが

これは、
・クライアントにログオンしているユーザーと同名のユーザーがサーバーに登録されていない
・同名のユーザーが登録されているが、パスワードが違う
のどちらかに該当する場合になります。同名のユーザーが登録されていて、パスワードも一致すれば、何も聞かれることなくアクセスできてしまいます。

＞ 次回以降ユーザー名とパスワードは求められませんが、それはその先ずっとサーバーの権限でファイルアクセスができることを指しているのですか？

ユーザーがログオフするなど、サーバーとの接続が解除されるような操作をすると、再びユーザー名とパスワードの問い合わせが行われます。ただし、クライアントOSの種類とエディションによっては、資格情報を記憶させて、以降問い合わせされないようにすることができます。

＞ これはリセットできるのですか？

記憶させた資格情報の削除は可能です。

No.3 回答者： m-take0220 回答日時： 2012/03/15 12:33

＞ クライアントPC(2)のアカウントを登録するには、

サーバーにクライアントPCのアカウントを登録することなどできません。
実際、登録画面にPC名を入力するような項目がありますか?
なければ、どのマシンのアカウントかなんて区別できないですよね。
グルーブにアカウントを追加する場合は、場所の指定ができますが、これはドメイン管理の場合に使用するもので、ワークグループ管理の場合は自マシン以外は選べないはずです。

クライアントからサーバーにアクセスできるのは、クライアントPCにログオンしているユーザーと同名のユーザーがサーバーに登録されていて、パスワードが一致していれば、サーバー側ではサーバーに登録された同名のアカウントを使用してアクセスを許可する仕組みを使っているだけです。

この回答へのお礼

再度ご回答ありがとうございます。
言葉の使い方が間違っていました。後半のアカウントは、ユーザー名と読み替えてください。

クライアントがサーバーにアクセスする際に、初回にユーザー名とパスワードを求められますが、ここでサーバーのユーザー名とパスワードでアクセスするとその権限で共有ファイルにアクセスできますよね？次回以降ユーザー名とパスワードは求められませんが、それはその先ずっとサーバーの権限でファイルアクセスができることを指しているのですか？これはリセットできるのですか？

お礼日時：2012/03/15 13:05

No.2 回答者： m-take0220 回答日時： 2012/03/15 11:29

＞ クライアントPCが10数台あるのですが、そのうちの数台は、フルコンピュータ名やユーザー名がAdministratorとなっています。

ユーザー名はいいですが、コンピュータ名は重複できないので、「数台がadministratorとなっている」ことはないはずです。

＞ コンピュータの管理から登録ユーザー名の一覧をだすと、もちろんユーザー名Administratorがひとつだけあるのですが、それがどのクライアントPCを指しているのかわかりません。

ワークグループ管理の場合、他のマシンのアカウントがコンピュータの管理に表示されることはありません。administratorはそのマシンのadministratorです。
他のアカウントについても、マシンに登録されているアカウント以外は関係ありません。
例えば、PC-AのaaaというユーザーがPC-Bの共有フォルダにアクセスした場合、PC-Bに同名(aaa)のユーザーが登録されていてパスワードも一致すれば、PC-BはそのアクセスがPC-Bのaaaというアカウントが行っているものとして処理します。PC-Cにもaaaというアカウントがあったとしても、PC-BではPC-Bのaaaとして処理するので、アクセス権などに違いがでることはありません。

＞ また、その影響で名前がAdministratorになっているものをリモートデスクトップのホストにしようとするとネットワークに属していないとでてしまいます。

これはクライアントマシンの話ですよね。クライアントマシンについてはOSを含めて情報がないので、回答の使用がありません。


アカウントについては、一度整理して考え直してください。
リモートデスクトップについては、
・どのマシン(OS等を明記)
・どのように設定しようとしたのか
・どんなメッセージが出るのか(正確に)
を書き込みましょう。

この回答へのお礼

ご回答ありがとうございます。
なるほど、確かによーく確認してみると、LAN内でフルコンピュータ名にダブりはありませんでした。

登録ユーザー名をいじる前にもう一度確認させてください。
サーバー(1)、クライアントPC(2)、クライアントPC(3)があったとします。
各ユーザー名は同じ「Administrator」だったとします。

サーバーのコンピュータ管理で登録ユーザーの一覧の中にある「Administrator」は、説明欄にビルトインと書いてあるのでこれは、サーバー(1)のことですね？

クライアントPC(2)のアカウントを登録するには、再度サーバーのコンピュータ管理で新しいユーザーを追加、名前「Administrator」を登録します。
これで、パッとみは「Administrator」という名前が二つあるけれど一つはサーバー(1)を指し、もう一つはクライアントPC(2)を指しているということでよろしいでしょうか？
※共有ファイルへのアクセス自体は、登録されているユーザー名（パスワード）であればどれを使ってもアクセスできる。

上記の理解で大丈夫ですか？

これでリモートデスクトップも解決するかもしれないので、解決しない場合にまた情報を追記させていただきます。

お礼日時：2012/03/15 12:05

No.1 回答者： demmystar 回答日時： 2012/03/15 11:12

http://xfreak.com/mcp/buildup/windows2003/index. …

まずは、「ワークグループ管理」で、何が管理されて、
何が管理されていないかを理解しましょう。

ユーザー名：管理されていない（個別ＰＣに登録されているユーザＩＤ）
コンピュータ名：管理されていない（個別ＰＣにつけられているコンピュータ名）

つまり、ワークグループでは「何も管理されてません」。

唯一、管理されているのは、「ファイル共有時のアクセス管理」だけです。

ですから、サーバ上で「一元管理」するなら「ドメイン管理」に移行する
必要があります。ただ、「ドメイン管理」はそれなりに知識が無いと
厄介（トラブルシューティングなど）なので、現状なんとかするのは、

各ＰＣのコンピュータ名を変更して、わかりやすい名前にしましょう。

『各ＰＣのコンピュータ名の変更方法』
http://allabout.co.jp/gm/gc/81191/

例：keiri001、keiri002、～keiri010 など

次に、各ＰＣにローカルアカウントを作成しましょう。

『各ＰＣのアカウントの追加方法』
http://www-06.ibm.com/jp/domino04/pc/support/beg …

例：keiri-grp で一つにするか、個人の名前から、t-saito とかで、使用者に
固有のアカウントを作成して使用するなどの管理方法を決める

最後に、作成した全てのユーザアカウントをサーバに登録して、
共有フォルダにアクセス権を付与すれば、環境を管理しやすいものに
変えられます。結構、大変ですが頑張ってください。

この回答へのお礼

ご回答ありがとうございます。
ドメイン管理は知識がついてから運用を考えたいと思っております。（基幹システムも入っているのでそのへんの影響も心配なので・・・。）

もう一つ一般的なシステム管理者のやり方としてお伺いしたいのですが、
通常クライアントPCにアカウントをたてるときには、
コンピュータ管理者アカウントとしてユーザー名「Administrator」を立てて、
それとは別に使用者（社員）用として制限アカウントでユーザー名「社員名」とかで立ててそちらでログインしてもらうようにした方がいいのでしょうか？（制限アカウント名をサーバーに登録）

当社の現状は、全てコンピュータ管理者アカウントでユーザー名が社員名のものやAdministratorだったりしています。

また、あるクライアントPCですでにコンピュータ管理者アカウントがたっているのに、アカウントを追加しようとすると制限アカウントがグレーで選択できず、コンピュータ管理者アカウントを最低一つたてろとメッセージがでるのですが、これはどういう状態なのでしょうか？

途中から管理をしているので大変困っております。

お礼日時：2012/03/15 11:47