アドバイザー佐野:さてと、プチアド君、まずは質問です。ユーザー権限とは一体なんでしょう?
プチアド:えっ!? えっと、ユ、ユーザー権限とは、コンピュータでユーザーが実行できる操作を決定する規則のこと、ですよね?
アドバイザー佐野:はい。現在のIT環境は、(1)ネットワークが普及したこと、(2)PC自体が高機能になった(きめ細かく制御できるようになった)ことなどから、外部からの侵入者や、一般ユーザーのオペレーションミスを未然に防ぐ必要がでてきました。そのため、ユーザーの種類、レベルに応じて必要な操作権限を設定し、システムの機能やデータの利用制限を加える必要があります。通常は、AdministratorsグループやUsersグループといったビルトイングループにユーザーアカウントを参加させることで権限を設定します。
表1●ユーザーに許可するセキュリティの3つの基本的なレベル
| 基本的な権限 | 内容 |
|---|---|
| Administrators | PCの管理用権限であり、PC を完全に制御できる。 信頼された人物だけがこのグループのメンバとなる必要がある。 |
| Power Users | Administrators と Users の中間の権限を持つ。 OSのシステムファイルに影響を与えないソフトウェアのインストール、プリンタや電源オプションなどの設定、ローカルユーザーやグループの作成などができる。 |
| Users | 一般のユーザー用権限で、OSの設定や他のユーザーのデータに影響がある作業はできない。 |
プチアド:Aさんのような一般のユーザーをAdministratorsグループに加えているのは、Microsoft Updateで配布される修正プログラムをインストールするためです。プログラムのインストールには、コンピュータの管理者権限が必要でしょう?
アドバイザー佐野:ふぅむ、修正プログラムね。プチアド君、管理者権限が必要なのは、Microsoft Updateのためだけですか?
プチアド:えぇ。他には特に……。
アドバイザー佐野:了解です。それじゃ、もうひとつのキーワード、「グループポリシー」について考えてみましょう。ユーザー権限は、ユーザーにある一定の権利を与えるもので、その権利をどのように利用するのかはユーザーに委ねられています。一方、グループポリシーは、Active Directoryの機能を利用して、ユーザーが使用するPC環境を「強制」するものです。強制といっても、実はユーザーにとっても好都合なことが多いのですよ。
プチアド:強制が好都合?
アドバイザー佐野:はい。強制された状態とは、ユーザーに選択の余地がない、見方を変えれば選択する“必要がない”状態だということです。
プチアド:必要が、ない……。
アドバイザー佐野:たとえば、前出のMicrosoft Updateですが、グループポリシーで「自動更新」を強制すれば、各PCは「管理者権限を持たないユーザーでログオンしていても、優先度の高い更新プログラムが交付されたら自動的にそれがダウンロードされ、計画した時間にインストールされる」という動作が強制されます。この設定は「強制」ですから、ユーザーが自分のPC上でこの設定をする必要はありませんし、変更することもできません。
プチアド:修正プログラムは自動的に適用される。管理者権限でログオンしていないから誤ってPCの大事な設定を変えてしまったり、Aさんみたいにアドウェアをインストールしてしまう心配もない。つまり、ユーザーにとっては手間なく安全なIT環境が利用できるようになるってことかぁ。
アドバイザー佐野:もちろん大量のPCとユーザーに対する制御を集中的に実行するわけですから、個々のPCを設定していくのに比べたら、プチアド君(管理者)の負担だってぐっと軽減することが可能です。
 |  |
|---|
 |
||||
 |
 |
 |
|
 |
 |
||||
佐野 央のプチ管理者は本日も大忙し
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】