【図解/AD】ドメインユーザとローカルユーザの違いと使い分け~メリット,管理者権限,移行,確認方法~

ローカルユーザーとは

Active Directory ドメインに参加していない、WORKGROUP 環境 (デフォルト状態) で使われるユーザーです。

PC やサーバ間では共通認識されず、1 台 1 台に個別のユーザーを作成する方式です。

PC へのログオン時も PC 毎にユーザー設定が必要です。初期設定で全台のユーザー名/パスワードを統一しても、もしパスワード変更が必要になった場合は全台で変更作業が必要になります。

ファイルサーバを運用するときも1台1台にユーザーを作成し、フォルダへのアクセス権をローカルユーザーに対して割り当てます。

アクセスできる人を増やしたいときは全てのサーバーに対してローカルユーザーを追加し、アクセス権を追加する必要があります。

ドメインユーザーとは

ドメインに参加している PC やサーバが共通認識できるユーザーのことです。

例えばドメインユーザーはドメイン参加しているどの PC にもログインが可能となったり、ドメイン参加しているファイルサーバのフォルダへドメインユーザに対するアクセス権を付与することができたりします。

PC やサーバー 1 台 1 台に設定する必要が無く、一元管理ができるため運用負荷を減らすことができます

ローカルユーザーとドメインユーザーの違いとメリット・デメリット

PC やサーバは初期セットアップ時は必ず WORKGROUP 環境であり、このときはローカルユーザーが作成されます。

ドメインに参加するとドメインユーザーでのログインができるようになりますが、ローカルユーザーが無くなる訳ではなくどちらのユーザーでもログインできるようになります

ドメインユーザーとローカルユーザーは同じ名前にしても、Windowsとしては別ユーザーとして認識されます。

ただし、ドメインコントローラーは例外で、ローカルユーザーとドメインユーザーの区別が無く、ローカルユーザー = ドメインユーザーとなります。(ただし、サーバー OS については、一般のドメインユーザーではデフォルトでログオンを許可されていません。管理者権限が必要になります。)

ドメインユーザーを使うメリットは、前述の通り、ID/パスワード情報の一元管理です。どのサーバに対しても同じ ID/パスワードを利用でき、パスワード変更なども一か所で済むようになり、さらにはドメインコントローラーを LDAP サーバとして利用し、それを外部の Web アプリサーバ等から参照することもできます。

その他、Active Directory の『グループポリシー』という仕組みによって、ドメインユーザーでログオンした際にだけ設定を統一設定にすることができたりします

このグループポリシーは非常に多くの細かい設定が可能であり、組織の管理者がこの機能を積極的に使うためには、そもそもローカルユーザーは知らせず、ドメインユーザーのみでログオンさせる、ということが重要になってきます。

ドメインユーザーが使える環境下においては、ローカルユーザーを使うメリットはほぼありません。ただし、ローカル Admin についてはそのホストにとっては重要なユーザーであり、例えばドメインから離脱したいときなどはローカルユーザーであるローカル Admin を使う必要があります。

ドメイン名とNetBIOS名

ユーザーがドメインなのかローカルなのかを指定もしくは表現するために、以下の表記がよく使われます。

[ドメインユーザー]

{NetBIOS名}¥{ユーザー名}

例) examle\administrator , example\exuser

{ドメイン名}¥{ユーザー名}  or  {ユーザー名}@{ドメイン名}

例) example.com\administrator , exuser@example.com

[ローカルユーザー]

.¥{ユーザー名}

例) .\administrator , .\exuser

NetBIOS 名は、NT 時代のドメインコントローラとの下位互換のために設定されます。NetBIOS の名前解決には古の技術 WINS が必要とされていますが、今の時代は不要になっています。

というのも、ドメイン参加した PC は PC 起動時に LDAP プロトコルによりドメイン情報として NetBIOS 名の情報も取得しており、ログオン時には NetBIOS 形式でも DNS 形式 (FQDN) 形式でもどちらでも自ドメインだと認識できるからです。

また、ホスト名の解決についても自動で自ドメインが Suffix として付与されます。例えば ad1 というのは NetBIOS 名なので本来は WINS による名前解決をするのですが、ドメイン参加している PC は ad1 の後ろに自動で example.com (自ドメイン) を付けて ad1.example.com の名前解決を DNS サーバに対して行います。

ローカル管理者権限

ローカルユーザーとしての administrator (ローカル Admin) とドメインユーザーとしての administrator (ドメイン Admin) ではできることはほとんど同じです。

ローカル (PC やサーバ単体) に関する設定についてはローカル Admin の方がやや強いです。というのも、ローカルの Administrators グループはドメインの Administrators グループも含むからです

例えばファイルサーバ上のフォルダをドメイン Admin で削除できないとき、ローカル Admin で削除できる場合があります。

ローカルユーザーやローカルセキュリティグループはWindowsボタンを右クリックし、『コンピューターの管理』から確認できます。

「ローカルユーザーとグループ」の「グループ」をクリックし、中央ペインの『Administrators』を右クリックし、プロパティを開くと以下のように、EXAMPLE\Domain Admins が含まれていることが分かります。これはドメイン参加後に付け加えられます。

一方で、ドメインに関わる設定についてはドメイン Admin である必要があります

例えばファイルサーバにローカル Admin でログインし、フォルダへドメインユーザーに対するアクセス権を付与しようとする場合、ドメインユーザーを検索する際にドメイン Admin のパスワードを要求されます。ローカル Admin ではドメインユーザーを検索する権限が無いためです

以下はローカル Admin でログオンし、フォルダへのアクセス権付与の際にドメインユーザーを入力して『名前の確認』をクリックしたときの画面です。

ローカルとドメインで同じ名前(ユーザー名)の場合

前述の通り、ローカルユーザーとドメインユーザーで同じ名前を使っていても、内部では異なるユーザーとして認識されます。これは、Windows の内部で SID と呼ばれる識別子が自動で採番され、全ての Windows がこれを元に、ユーザーを識別するからです。

ログオンユーザーの SID の確認コマンドとして、whoami /all があります。以下の例で、SID は S-1-5-21-4044336381-3361868970-3003498702-1106 です。

管理者がドメインユーザーの SID を確認したい場合は『属性エディタ』を使います。

【属性エディタ】Active DirectoryのDNやSID等の属性を一覧表示,取得する方法

ローカル環境からドメイン環境への移行

ローカル環境からドメイン環境へ移行する場合、『ドキュメント』や『ピクチャー』などのいわゆる『プロファイル領域』の移行は管理者が一括して行う方法はありません。

ローカルユーザーとドメインユーザーはそもそも内部的には別ユーザーであり、各個人が USB メモリ等を使って必要なファイルを移行していくのが一般的です。