アカウントとは、サーバーに接続する際、接続認証に必要なIDとPWである。神戸市立の中学校は初期導入時には、機械ごとにアカウントが振られ、パスワード無しで、自動接続するように設定されている。もちろん、こうすれば、今までのスタンドアロンであった場合とほぼ同一の方法でネットワークに接続でき、さらにネットワーク上の資源も利用することができるので、教師や生徒にとって取っ付きやすいことは確かである。
しかし、このようにした場合、セキュリティは無いに等しく、個人のデータの安全な保存場所は存在しない。せいぜい、FDぐらいなものであるが、昨今のソフトウェアの写真などが入る関係で大きくなりつつあり、FDでは入りきらない場合も多々あり、現実的ではない。
そこで、生徒各個人にアカウントを発行することによって、ホームフォルダを設定し、そこにデータを保存するようにすれば、安全であり、本人以外にはデータにアクセスすることはできない。
ノートパソコンが新規導入された時点で、個々の生徒のデータを無防備な共有フォルダーに保存したりFDに保存することを極力やめる方針にした。そして、生徒・職員全員のアカウントを作成し、個人のアカウントでログインするようにした。
毎年、全員のアカウントの変更はネットワーク管理者への負担が増大するため、負担をできるだけ小さくするための方法を考え、本校では以下のように運用することにした。
クライアントがWindows98の場合、ホームディレクトリの指定ができないので、少しトリッキーな方法で設定する。
サーバー機のローカルドライブのルートのすぐ下にユーザーデータ保存用専用フォルダを作成し、隠し属性付き共有フォルダにする。
隠し属性付きにすると、生徒がマイネットワークを開いても、一覧として表示されることがないので、安全なデータ保存場所となる。ただし、隠し共有名がわかってしまうと、直接他人のデータフォルダにアクセスすることが可能になってしまうので、十分に注意する必要がある。
以下のフォルダ名や共有名は例であって、好きな名前をつけて構わない。
- 空き容量の大きいドライブを選択する。
- 選んだドライブのルートにホームフォルダ専用のフォルダを新規作成する。例えば、[home_folder]として作成する。
- 作成したフォルダを右クリックし、[共有とセキュリティ]を選択し、ダイアログを出す。
- [このフォルダを共有する]にチェックを入れ、共有名として、[home$]とする。
ここで、隠し属性付きにするために必ず、共有名の最後に[$]をつけること。
そのユーザーデータ保存用専用フォルダ中に、各個人のユーザーIDと同じ名称のフォルダを作成し、隠し属性付き共有フォルダとする。(例:ユーザーIDが[51001]の時、共有名を[51001$]とする)
ただし、生徒全員分のフォルダを作成しなくてはならないため、手作業では大変なことになる。そこで、エクセルを利用してバッチファイルを作成したり、専用ソフトを利用したりして、フォルダの作成を行う。これについては、別のステップで紹介する。
『管理ツール』にある『Active Directory ユーザーとコンピュータ』を起動する。
『ユーザー環境プロファイル』のホームディレクトリのパスで[\\(コンピュータ名)\51001$]と指定する。
クライアントがWindows98の時は、ユーザー自身でパスワードの変更をすることができないので、以下のどちらかの方法を採用する。
1.の方法では、口頭で伝えるには手間と労力がかかりすぎる。紙で伝えるとパスワードが紙として残ってしまう可能性がある。さらに、管理者がユーザーのパスワードを知っているという問題点がある。(学校現場では特に問題ないかもしれないが、ネットワークの原則としては良くない。)
- 管理者側で任意のパスワードを生成してユーザーに伝える。
- とりあえずのパスワードを決め(パスワード無しでも良い)、最初のログイン時にユーザー任意のパスワードを決めさせる。
2.の方法では、パスワードを決めるまでは誰でも誰のログイン名でも入ることができてしまうので、いたずらをされてしまうことがある。ただその場合は、すぐにパスワードを初期化すればいいので問題は少ない。
セキュリティを高めるためには、1.と2.の両方を適用するとよい。つまり、各ユーザーに任意のパスワードを生成して、それをユーザー毎に紙で伝え、最初のログイン時にパスワードを設定し直すことである。
本校では、手間を省いて2.の方法を適用している。
アカウントオプションの[ユーザーは次回ログオン時にパスワードの変更が必要]にチェックを入れる。
グループとしては、本校では全員を[student]に入れているが、手間を惜しまなければ、クラス毎にグループを作ればアクセス制限をかけやすくなる。この辺りは、各校の実情に合わせる。
ログオンスクリプトを編集し、[NET USE Y: /home]の一行を付け加えると、ホームディレクトリを Yドライブとして使用することができる。Y以外でも使用できるが、現在使用しているドライブ名と、Zドライブは使用できない。
@ECHO OFF
NET USE O: \\(コンピュータ名)\CDROM
NET USE P: \\(コンピュータ名)\APP
NET USE X: \\(コンピュータ名)\DATA
NET USE Y: /home
NET TIME \\(コンピュータ名) /SET /YES
以下のコマンドの表示をしない。
サーバー機のCD-ROMを ドライブOとする。
共有フォルダAPPを ドライブPとする。
共有フォルダDATAを ドライブXとする。
ユーザー名と同じ名前を持つ隠し属性付き共有フォルダを
ホームフォルダとし、ドライブYとする。
クライアント機をサーバー機の時間に合わせる。
上記の手順で、管理用のアカウントを作成することができます。これを作らないと、ステップXでクライアント機からサーバーツールを使用することができません。
- 『Active Directory ユーザーとコンピュータ』を起動する。
- [Users]を右クリックして、[新規作成]→[ユーザー]でウィザードを起動する。
- 管理用のアカウントとして必要事項を記入の上、作成する。
- 作成したアカウントをダブルクリックして、プロパティダイアログを出す。
- [プロファイル]タブをクリックし、ログオンスクリプト名を入れる。
ログオンスクリプトは、管理がしやすいようにいろいろな共有フォルダをドライブに接続(net use)したものを用意すると良い。
管理用なので、ホームフォルダは必要ない。
- [所属するグループ]タブをクリックし、[Administrator]の権限のあるグループに入れる。
- これで、管理用のアカウントができました。このアカウントはサーバーの全ての機能を使用することができますので、パスワードの管理には十分な配慮が必要です。