Windowsを利用していると管理者権限とユーザー権限の二つをなんとなく利用していると思います。管理者権限はシステムの変更が何でもできるユーザー、そしてユーザー権限はパソコンを利用することしかできないユーザーといったザックリとした認識の方が殆どだと思います。この記事では管理者権限とユーザー権限の違いをWindowsの権限の成り立ちを含めて説明します。
ユーザーとグループ
Windowsにはユーザーとグループという考え方があります。この二つをまずは理解しましょう。実際にユーザーとグループを見てみると分かり易いと思いますので、図で説明をしていきます。
コンピューターの管理を開きます。(ひらき方はコンピューターを右クリックで管理を開きます。)
ローカルユーザーとグループという項目に、ユーザーとグループの二つがありますがまずはユーザーをみていきましょう。ここに表示されているのが、ローカルに作成されているユーザーです。ローカルユーザーですね。
Admin,Administrators,Guest,SARU,UpdateUser という5つのユーザーが作成されています。
次にグループを見てみましょう。下図に表示されているのがビルトイングループといわれるグループでパソコンに最初から入っているグループです。このビルトイングループに予め権限が割り振られています。例えば、Administratorsというグループは「コンピューター/ドメインに完全なアクセス権があります。」また、Guestsというグループでは、「既定では Users グループのメンバーと同じアクセスがあります。ただし、Guest アカウントは例外で、アクセスがさらに制限されています。」となっています。グループには全て-sがついている複数形になっていると覚えておくと理解し易いかと思います。
ユーザー毎の権限の割り当て
さて、Aユーザーは管理者権限、Bユーザーはユーザー権限といった指定をどのようにしているか見ていきましょう。
ユーザーは予め権限が割り振られたビルトイングループに所属することができます。例えば、SARUというユーザーはユーザー権限にしたい場合、所属グループにUsersを加えれば完了です。(プロパティの開き方は、ユーザーを右クリックするとでてきます。)
さて次はAdminというユーザーを管理者権限にしたい場合はAdministratorsグループをAdminユーザーに追加すれば完了です。
お分かりかと思いますが、管理者権限とユーザー権限の2つくらいしか普段は使いませんが、他にもゲスト用の権限Guestsだったり、Backup Operatorsといったバックアップに特化した権限などもあるわけです。権限がグループによってコントロールされていることがポイントですね。
権限を定義している場所
Administratosビルトイングループは、「コンピューター/ドメインに完全なアクセス権があります。」といったザックリとした説明書きになっています。ただ、実際に何ができるのか具体的に定義している場所がWindowsにはあるのです。
プログラムとファイルの検索で secpol.msc を検索してください。
ローカルセキュリティ ポリシーといった画面が出てきます。ユーザー権限の割り当てにて細かな権限設定がされています。例えば「ファームウェア環境値の修正」という項目だったらAdministratorsのみになっています。応用でUsersの権限拡大する場合は、ここで割り当てることができるわけですね。
まとめ
結論としては、管理者ユーザーはAdministratorsというビルトイングループに所属していて、ユーザーはUsersというビルトイングループに所属しています。この概念が理解できているとドメインユーザーまで話が及んでも特段悩むことはなくなると思います。
ドメインユーザーが絡む記事としては以下記事が参考になるかと思います。
コメント