検索
連載

第1回 WindowsネットワークとはWindowsネットワークの基礎(2/2 ページ)

本連載では、これからWindowsネットワークの管理を学びたい初心者管理者を対象に、「Windowsネットワーク」について、その基本的な概念や使い方、運用方法、内部アーキテクチャ、トラブルシューティングなどについて解説する。第1回は、ワークグループネットワークとドメインネットワークの違いについて解説する。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

「ピア・トゥ・ピア型」と「サーバー/クライアント型」の本当の違いは?

 以上、「ピア・トゥ・ピア型」と「サーバー/クライアント型」の違いについて見てきたが、ピア・トゥ・ピア型であっても、どこか1台のコンピューターだけでファイル共有機能を提供するように運用すれば、サーバー/クライアント型と同じになる、と思ったのではないだろうか。

 実はWindows OSのファイル共有機能を分類する場合、ファイルサーバーをどこにおくか(1台に集中するか、分散するか)という点はあまり重要ではない。Windowsネットワークで「ピア・トゥ・ピア型」や「サーバー/クライアント型」という場合、現在では主にユーザーアカウントの管理方式に基づいて分類されることがほとんどである。

 ファイル共有サービスでリソース(ディスク上のボリュームやプリンターリソースなど)を公開する場合、誰でも自由にアクセスできてしまっては困るだろう。家庭や小規模な組織/グループでは誰でもどのファイルでも自由に読み書き削除などが可能でもよいだろうが、会社などでは、自分の属しているグループ以外にはアクセスできないようにしたり、もしくは最低でも書き込みだけは禁止したい、といった要求がある。このためには、誰がファイルサーバーにアクセスしようとしているのかを確認し、さらに対象となるファイルには、そのユーザーに対する読み書き削除などの権限があるかどうかを検証する必要がある。

 このような仕組みを「アクセス制御」といい、アクセス制御を実現するために必要なのがユーザーアカウントの管理機能である。現在のWindows OSでは利用する前に必ずログオン(サインイン)する必要があるが(Window 9xのころは不要だった)、これは、誰がコンピューターを使っているかを決定するために必要な措置である。

 ユーザーアカウントは、コントロールパネルの「ユーザー アカウント」ツールなどを使えば、コンピューターごとにローカルで管理もできる。だが会社などの組織ではこれでは面倒なので、システム管理者が1カ所で集中的に管理できる仕組み「ドメイン」機能が用意されている(正確にはドメインとは、同じユーザーアカウント情報などを共有する、論理的なコンピューターのグループのこと)。

 Windowsネットワークでは、このドメイン機能を使ってユーザーアカウントやリソースの管理を行う方式を「ドメインネットワーク」、ドメイン機能を使わず、ローカルのユーザー管理機能のみを使ってリソースを管理する方式を「ワークグループネットワーク」もしくは「ホームグループネットワーク」と呼んでいる。具体的には次のような種類がある。

ネットワーク形態 Windowsネットワークの種類 概要
ピア・トゥ・ピア型 ワークグループネットワーク ・Windows OSよりも前の、MS-DOSのころからある非常に基本的なネットワーク形態
ホームグループネットワーク ・Windows 7以降のクライアント系OSで利用可能なネットワーク機能
・一時的なファイル交換に向く
・ワークグループよりも簡単にネットワークを構築できる
サーバー/クライアント型 Windows NTドメインネットワーク ・Windows NTで導入されたネットワーク機能
・アカウントをドメインコントローラーで集中管理できる
Active Directoryドメインネットワーク ・Windows 2000 Serverで導入されたネットワーク機能
・アカウントをドメインコントローラーで集中管理できる
・階層的で、NTドメインよりも大規模なドメインツリー階層を構築できる
Windowsネットワークの種類
現在のWindows OSで利用可能なネットワークの形態。Windows環境で利用/接続できるネットワーク機能にはMicrosoft以外のベンダが提供しているものがいくつかあったが(例:Novell NetWareやUNIX/LinuxのNFS、MacintoshのAppleTalk他)、ここでは取り上げない。

 以下、それぞれのネットワーク形態について見ていこう

ワークグループネットワーク

 「ワークグループ」とはMS-DOS(Windows OSの前身となるOS。「MS-DOS温故知新」参照)およびその上で動作するWindows 3.xのころからある、非常に基本的なネットワーク形態である。各コンピューターが持つディスクなどのリソースをネットワークに公開すると、同じワークグループに属する他のコンピューターが参照できる、という方式でリソースを共有する。

ワークグループネットワーク
ワークグループネットワーク
ワークグループネットワークでは、ネットワーク上の各コンピューター(ノード)が対等な役割を持つ。ファイルサーバーとしても機能するし、ファイルサーバーのクライアントとしても機能する。ユーザーはアクセスしたいコンピューターを選んで公開されているフォルダーを開き、ファイルへアクセスする。基本的には同一のネットワークセグメントに属する、せいぜい100台程度までのコンピューター間で利用するネットワーク形態である。この画面は、ワークグループネットワークに参加しているWindows 98 SEのエクスプローラーから、ワークグループに属する他のコンピューターの共有フォルダーを開いたところ。
  (1)ワークグループの名前はデフォルトでは「WORKGROUP」となっている。同じワークグループに属するコンピューターがこのツリー下に表示される。
  (2)ワークグループに属するコンピューターをクリックすると、そこで公開されている共有フォルダーにアクセスできる。

 ワークグループネットワークにおけるアクセス制御にはいくつか方式がある。最も古くから使われているのが「共有レベルでのアクセス制御」という方式である。共有フォルダーごとに「読み出しのみ」用と「フルアクセス」用の2種類のパスワードを設定しておき、どちらのパスワードを入力したかで機能を切り替える。ユーザー名は使用せず(Windows 3.xやWindows 9xにはユーザーという概念はほとんどない)、パスワードのみでアクセス制御を実現していた。

ワークグループネットワークにおけるアクセス権設定の例
ワークグループネットワークにおけるアクセス権設定の例
これはWindows Meにおける、「共有レベルでのアクセス制御」方式の例。共有リソースのアクセス権設定の画面には2種類のパスワードを設定しておき、パスワードによってアクセス権を切り替える。NTドメインがある場合は、ドメインのアカウント情報を使う「ユーザーレベルでのアクセス制御」が利用できる。
  (1)このフォルダーを共有してみる。
  (2)アクセス権設定は、「読み出しのみ」と「フルアクセス」の2種類のみ。
  (3)「読み出しのみ」用のパスワード。
  (4)「フルアクセス」用のパスワード。

  現在のWindows OSのアクセス制御方式はもう少し進化しており、特定のユーザーごとに(もしくはeveryoneに対して)読み書き可能/書き込み不可などとして指定できるようになっている。ユーザー名を使ってアクセス権を設定した場合は、アクセスされる側とアクセスする側のコンピューターに対して、それぞれ同じ名前/パスワードでアカウントを作成しておくと自動接続できて便利である。だが異なるユーザー名やパスワードなどを使っていると接続できずにエラーになったり、ユーザー名やパスワードの再入力が求められたりする。ユーザー数が増えてくると途端にユーザー管理などが面倒になるし、古いクライアントWindows OSでは最大10ユーザーまでという接続制限もあるなど、あまり使い勝手のよいネットワーク形態ではない。また下位のプロトコルにも依存するが、基本的には同一のネットワークセグメント上に存在するコンピューター同士でしか共有できない。ワークグループネットワークについては、以下の記事も参照していただきたい。

ホームグループネットワーク

 「ホームグループネットワーク」はWindows 7(およびそれ以降のクライアントWindows OS)で導入された、新しい形態のワークグループネットワークである。以前よりも簡単にファイルの共有ができるようになっている。ただし共有(公開)できるのはユーザーの「ドキュメント」や「ピクチャ」「ミュージック」「プリンター」など、特定のフォルダーのみに限られ、ワークグループネットワークのように、任意のローカルフォルダーを公開することはできない。また、同一のネットワークセグメント上に存在するコンピューター同士でしか共有できない。名前の通り、家庭内の数台のコンピューター間でデータファイルをやりとりするといった用途に向いている。SOHOや会社では使いづらいだろう。

 ワークグループでは、あらかじめアクセスする側とアクセスされる側にユーザーアカウントを設定しておくなどの事前作業が必要だったが、ホームグループではこれらの作業は一切不要である。パスワードだけでファイルを共有できる。

 ホームグループを利用するには、まず特定の1台のWindows OS上で「ホームグループを作成」する(Windows OSのエディションによってはこの作成作業ができず、参加のみ可能なものがある)。すると画面にパスワード文字列が表示されるのでそれを書き留めておき、「ホームグループへ参加」したいコンピューター上でそのパスワード文字列を入力する。するとエクスプローラーで対象となるコンピューター内の「ドキュメント」や「ピクチャ」などのフォルダーにアクセスできるようになる。

ホームグループの作成
ホームグループの作成
ホームグループを利用するには、最初にどれか1台のコンピューター上でホームグループを作成する。いったんホームグループが作成されたら、他のコンピューターはこのパスワードを指定するだけで、ホームグループに参加できる。どれか1台のコンピューターが残っている限り、このパスワードはずっと有効だが、最後の1台がホームグループから抜けるとホームグループは消滅する。
  (1)ホームグループで共有(公開)可能なリソースは限られている。
  (2)ホームグループに参加するために必要なパスワード。ユーザー名は必要ない。

Windows NTドメインネットワーク

 ワークグループネットワークでは、各コンピューターは独立しており、ユーザーアカウント情報はそれぞれのコンピューターが独立して保持する。そのため、公開するリソースに対してアクセス権を設定する場合や、他のコンピューターへアクセスする場合のユーザー/パスワードの指定などで、コンピューターごとのユーザー名/パスワードの食い違いによりトラブルが発生することが多い。またコンピューターを新しく1台導入するたびに各ユーザーの設定(アカウント作成や環境/アプリケーションの設定などの作業)を行わねばならず、非常に面倒である。

 そこでWindows NTでは、ユーザーアカウントやシステムの管理を中央で集中制御できる仕組みが導入された。これがWindows NTの「ドメイン」ネットワーク機能である。ユーザーアカウントやグループアカウント、システムポリシー(クライアントコンピューターを一括制御する機能)などが利用できるようになった。

 NTドメインでは、ユーザーアカウントやグループアカウントなどは「ドメインコントローラー(DC)」と呼ばれるサーバー(Windows NT Server)に一度登録するだけでよい。ドメインにWindows OSのコンピューターを参加させると、同じドメインに参加しているコンピューターは全てドメインアカウント情報を共有するようになる。この結果、例えばファイルサーバー上のあるフォルダーに対して「ドメイングループMYGROUP1にフルアクセスを許可する」というように設定しておくだけで、MYGROUP1に属しているユーザーは自由にアクセスできるようになる。個別のクライアントコンピューターごとや、個別のユーザーアカウントごとにアクセス許可設定などを行う必要がない。

Windows NTドメインネットワーク
Windows NTドメインネットワークにおけるアクセス制御
Windows NT Serverを使ってNTドメインを作成すると、ユーザーアカウントをドメインコントローラーで集中管理できる。NTドメインにコンピューターを参加させれば、どのコンピューターからでもドメインのユーザーアカウントを使ってコンピューターにログオンできる。各コンピューターに個別にユーザーアカウントを作成する必要はない。ただしNTドメインには、階層的なドメインの管理機能や、全体をまとめて管理するなどの機能はなく、小規模なNTドメインが乱立しがちであった。
  (1)サーバーマネージャーツールでサーバーの共有フォルダ設定を確認してみる。
  (2)共有リソースごとに、NTドメインのユーザーアカウントやグループアカウント情報を使ってアクセス権を設定できる。

 ただしNTドメインでは、ドメインやアカウント管理がフラット(階層構造がない)、扱える最大アカウントサイズなどに制約があるなどの理由のため、全社的な計画を立ててNTドメインを計画的に導入する、といったことは難しかった。どちらかというと、部門ごとに勝手にNTドメインを導入した結果、小規模で、管理されないNTドメイン(ドメインコントローラー)が乱立するという事態を招いた。NTドメイン間で「信頼関係」を結ぶことはできたが、ドメイン数が増えるとその管理は飛躍的に複雑化していた。

Active Directoryドメインネットワーク

 Active Directoryは、Windows 2000から導入された、NTドメインに代わる、新しいドメイン機能(ディレクトリサービス)である。NTドメインと比べて、より大規模なネットワークでも効率よく管理できるようになっている。

 Active Directoryでは階層的にドメインを構築できるので大規模な組織にも十分対応できる。またドメイン全体をまとめて一カ所で管理することもできるし、必要に応じて分散(部分的に委任)させることも可能だ。NTドメインのシステムポリシーに代わって、より高機能なグループポリシーも利用できるなど、企業向けとしては現在主流のネットワーク形態になっている。

Active Directoryドメインネットワーク
Active Directoryドメインネットワークにおけるアクセス制御
Active Directoryでは階層的なドメイン構造を構築できるし、管理も集中/分散を適宜組み合わせて利用できるなど、順軟性に富んでいる。共有フォルダーのアクセス制御では、NTドメインネットワークの場合と同じように、ドメインのアカウント情報を使ってアクセス権を設定できる。
  (1)NTドメインの場合と同じように、Active Directoryドメインのアカウントを指定してアクセス権を設定できる。ここではEXAMPLEドメインのDomain Usersなどのアカウントを指定しているが、(Active Directoryのフォレスト内にある)他のドメインのアカウントでも簡単に追加できる。


 今回はWindows OSにおける代表的なネットワークの運用形態について見てきた。次回はWindowsネットワークの基本的な使い方を解説する予定である。


「Windowsネットワークの基礎」のインデックス

Windowsネットワークの基礎

Copyright© Digital Advantage Corp. All Rights Reserved.

前のページへ |       
ページトップに戻る