【図解/AD】ドメインユーザとローカルユーザの違いと使い分け~メリット,管理者権限,移行,確認方法~

ローカルユーザーとは

Active Directory ドメインに参加していない、WORKGROUP 環境 (デフォルト状態) で使われるユーザーです。

PC やサーバ間では共通認識されず、1 台 1 台に個別のユーザーを作成する方式です。

PC へのログオン時も PC 毎にユーザー設定が必要です。初期設定で全台のユーザー名/パスワードを統一しても、もしパスワード変更が必要になった場合は全台で変更作業が必要になります。

ファイルサーバを運用するときも1台1台にユーザーを作成し、フォルダへのアクセス権をローカルユーザーに対して割り当てます。

アクセスできる人を増やしたいときは全てのサーバーに対してローカルユーザーを追加し、アクセス権を追加する必要があります。

ドメインユーザーとは

ドメインに参加している PC やサーバが共通認識できるユーザーのことです。

例えばドメインユーザーはドメイン参加しているどの PC にもログインが可能となったり、ドメイン参加しているファイルサーバのフォルダへドメインユーザに対するアクセス権を付与することができたりします。

PC やサーバー 1 台 1 台に設定する必要が無く、一元管理ができるため運用負荷を減らすことができます

ローカルユーザーとドメインユーザーの違いとメリット・デメリット

PC やサーバは初期セットアップ時は必ず WORKGROUP 環境であり、このときはローカルユーザーが作成されます。

ドメインに参加するとドメインユーザーでのログインができるようになりますが、ローカルユーザーが無くなる訳ではなくどちらのユーザーでもログインできるようになります

ドメインユーザーとローカルユーザーは同じ名前にしても、Windowsとしては別ユーザーとして認識されます。

ただし、ドメインコントローラーは例外で、ローカルユーザーとドメインユーザーの区別が無く、ローカルユーザー = ドメインユーザーとなります。(ただし、サーバー OS については、一般のドメインユーザーではデフォルトでログオンを許可されていません。管理者権限が必要になります。)

ドメインユーザーを使うメリットは、前述の通り、ID/パスワード情報の一元管理です。どのサーバに対しても同じ ID/パスワードを利用でき、パスワード変更なども一か所で済むようになり、さらにはドメインコントローラーを LDAP サーバとして利用し、それを外部の Web アプリサーバ等から参照することもできます。

その他、Active Directory の『グループポリシー』という仕組みによって、ドメインユーザーでログオンした際にだけ設定を統一設定にすることができたりします

このグループポリシーは非常に多くの細かい設定が可能であり、組織の管理者がこの機能を積極的に使うためには、そもそもローカルユーザーは知らせず、ドメインユーザーのみでログオンさせる、ということが重要になってきます。

ドメインユーザーが使える環境下においては、ローカルユーザーを使うメリットはほぼありません。ただし、ローカル Admin についてはそのホストにとっては重要なユーザーであり、例えばドメインから離脱したいときなどはローカルユーザーであるローカル Admin を使う必要があります。

ドメイン名とNetBIOS名

ユーザーがドメインなのかローカルなのかを指定もしくは表現するために、以下の表記がよく使われます。

[ドメインユーザー]

{NetBIOS名}¥{ユーザー名}

例) examle\administrator , example\exuser

{ドメイン名}¥{ユーザー名}  or  {ユーザー名}@{ドメイン名}

例) example.com\administrator , exuser@example.com

[ローカルユーザー]

.¥{ユーザー名}

例) .\administrator , .\exuser

NetBIOS 名は、NT 時代のドメインコントローラとの下位互換のために設定されます。NetBIOS の名前解決には古の技術 WINS が必要とされていますが、今の時代は不要になっています。

というのも、ドメイン参加した PC は PC 起動時に LDAP プロトコルによりドメイン情報として NetBIOS 名の情報も取得しており、ログオン時には NetBIOS 形式でも DNS 形式 (FQDN) 形式でもどちらでも自ドメインだと認識できるからです。

また、ホスト名の解決についても自動で自ドメインが Suffix として付与されます。例えば ad1 というのは NetBIOS 名なので本来は WINS による名前解決をするのですが、ドメイン参加している PC は ad1 の後ろに自動で example.com (自ドメイン) を付けて ad1.example.com の名前解決を DNS サーバに対して行います。

ローカル管理者権限

ローカルユーザーとしての administrator (ローカル Admin) とドメインユーザーとしての administrator (ドメイン Admin) ではできることはほとんど同じです。

ローカル (PC やサーバ単体) に関する設定についてはローカル Admin の方がやや強いです。というのも、ローカルの Administrators グループはドメインの Administrators グループも含むからです

例えばファイルサーバ上のフォルダをドメイン Admin で削除できないとき、ローカル Admin で削除できる場合があります。

ローカルユーザーやローカルセキュリティグループはWindowsボタンを右クリックし、『コンピューターの管理』から確認できます。

「ローカルユーザーとグループ」の「グループ」をクリックし、中央ペインの『Administrators』を右クリックし、プロパティを開くと以下のように、EXAMPLE\Domain Admins が含まれていることが分かります。これはドメイン参加後に付け加えられます。

一方で、ドメインに関わる設定についてはドメイン Admin である必要があります

例えばファイルサーバにローカル Admin でログインし、フォルダへドメインユーザーに対するアクセス権を付与しようとする場合、ドメインユーザーを検索する際にドメイン Admin のパスワードを要求されます。ローカル Admin ではドメインユーザーを検索する権限が無いためです

以下はローカル Admin でログオンし、フォルダへのアクセス権付与の際にドメインユーザーを入力して『名前の確認』をクリックしたときの画面です。

ローカルとドメインで同じ名前(ユーザー名)の場合

前述の通り、ローカルユーザーとドメインユーザーで同じ名前を使っていても、内部では異なるユーザーとして認識されます。これは、Windows の内部で SID と呼ばれる識別子が自動で採番され、全ての Windows がこれを元に、ユーザーを識別するからです。

ログオンユーザーの SID の確認コマンドとして、whoami /all があります。以下の例で、SID は S-1-5-21-4044336381-3361868970-3003498702-1106 です。

管理者がドメインユーザーの SID を確認したい場合は『属性エディタ』を使います。

関連記事

Active Directory の属性エディタ ActiveDirectory の各アカウントには 様々な属性情報が付随しています。例えばアカウントのユーザ名や表示名、メールアドレスといった基本情報はもちろん、"SID" や "DN"、[…]

ローカル環境からドメイン環境への移行

ローカル環境からドメイン環境へ移行する場合、『ドキュメント』や『ピクチャー』などのいわゆる『プロファイル領域』の移行は管理者が一括して行う方法はありません。

ローカルユーザーとドメインユーザーはそもそも内部的には別ユーザーであり、各個人が USB メモリ等を使って必要なファイルを移行していくのが一般的です。

【厳選 3 冊】Windows を学ぶための本

Windows Serverのエディションやライセンス、用語といった基本から、セットアップ、ネットワーク、ユーザー/グループ、ディスク、ハードウェア、アクセス許可、クォータ、ボリュームシャドウコピー(VSS)、ファイル/フォルダー共有、プリンター、サーバー管理、WebサーバーやFTPサービスを提供するInternet Information Services(IIS) 10.0、Hyper-Vやコンテナー等の仮想化技術、Active Directoryまで説明します。
Active Directoryの概念および導入、構成管理方法を詳細な手順と豊富な画面を使ってわかりやすく解説します。本書では、ドメインサービスを中心に解説し、その他のサービスについても概要を解説します。Active Directoryを初めて使う方でも、画面を見ながら手順に従って操作するだけで簡単に目的の作業を行うことができます。ある程度使いなれている方には、Active Directoryをより使いこなすためのリファレンスとしてお使いいただけます。
全操作、全機能が載ってるから迷わない!基本から便利技・トラブル対応まで全部わかる!基本の操作から最新アプリ、昔ながらの操作も全部できる!はじめてのタッチ操作、はじめてのWindows10の人も安心!「やりたいこと」がすぐできるTIPS400!わかりやすい索引で「あれがしたい」「これがしたい」から探せる、側にあれば安心な1冊!自由自在Windows10を操ろう。

IT/インフラエンジニアの地位とスキル向上のために

関連記事

IT 技術の進化はとどまることを知りません。矢継ぎ早に新たな技術が出てきたり、数年前の技術が時代遅れになったりと、IT エンジニアは勉強し続ける運命のようです。 それをどう思うかはあなた次第。 ビジネスの基本は『付加価値を与える[…]

IMG
関連記事

nesuke の考える NW エンジニアの2つの道 ネットワークエンジニアには 2 つの道があります。 1 つはネットワーク構築一筋で、L4 までをひたすらきっちりと構築していく道。 もう 1 つはネットワークを軸として深堀し[…]

IMG