離席時に簡単にコンピュータをロックする方法：Tech TIPS

連載目次

解説

　Windows 2000／Windows XPには、認証されたユーザーの権限に応じて、システムの機能やローカルの資源、さらにネットワーク資源にアクセスするための権限を制御する機能が備わっている。これらを適切に活用することにより、安全なコンピュータシステムを構築することが可能である。

　特に、グローバルなネットワークであるインターネットにシステムを接続する場合には、インターネットを経由した遠隔地からの不正なアクセスを防止しなければならない。これは当然として、外部からの侵入への対策を終えたら、次は社内にある端末からの不正アクセスにも注意を向けるべきだ。これは何も、自社の社員を疑うということではない（場合によってはそうした必要もあるだろうが……）。不正な侵入者が実際に社内に侵入して、端末を操作する可能性もあるということだ。実際のところ、社外ネットワークからの侵入には神経をとがらせていながら、社内での運用はかなりルーズという場面をよく目にする。

　例えば小規模なネットワークでは、ネットワーク管理者のユーザー・アカウントをドメインの管理者グループ（Administratorsグループ）のメンバとして登録しておき、管理者はそのユーザー・アカウントを日常的に使っているというケースが少なくない。このユーザーは、本来ネットワークの管理者なので、通常はこれでも問題ないのだが、万一このユーザーが離席している最中に端末を不正操作されると、ネットワーク管理者の権限でシステム内のあらゆるデータに自由にアクセスできることになってしまう。また意図的な不正アクセスでなかったとしても、偶発的に誰かが端末のキーボードを押してしまい、回復不可能なダメージをシステムに与えてしまう可能性もないではない。

　最も理想的な運用方法としては、たとえ管理者であっても、日常的にはAdministratorsグループに属するユーザー・アカウントではなく、一般ユーザー・レベルのアカウントを使用するようにし、管理者権限が必要な操作を行うときだけ、AdministratorアカウントまたはAdministratorsグループのメンバで再ログオンするようにする。または、一時的に異なるユーザー権限を使ってコマンドを実行するようにする。Windows 2000ならコマンドラインのrunasコマンドを使用して、Windows XPならプログラム・アイコンを右クリックして表示されるショートカット・メニューの［別のユーザーとして実行］を選択することでこれが行える。

　しかし現実には、こうした運用が面倒な場合もあるだろう。こんなときには、端末から離れるときに、コンピュータをロックするようにすればよい。

操作方法

●Ctrl＋Alt＋Del、Enterでロック完了

　これには、Ctrl＋Alt＋Delキーを押してポップアップ表示されるダイアログの［コンピュータのロック］ボタンをクリックする（Windows 2000／Windows XPともにこの方法は有効）。

Ctrl＋Alt＋Delキーを押すとポップアップ表示されるダイアログ（Windows 2000 Serverの場合）
Windows 2000／Windows XPを使用している任意の時点でCtrl＋Alt＋Delキーを押すと、このダイアログがポップアップ表示される。ここで［コンピュータのロック］ボタンをクリックすれば、コンピュータを一時的に操作不能にすることができる。画面はWindows 2000 Serverでのもの。
　 （1）コンピュータをロックするにはこのボタンをクリックする。

　この［コンピュータのロック］ボタンはデフォルト・ボタン（表示された時点で入力フォーカスを持っているボタン）になっているので、実際にはマウスを操作しなくても、Ctrl＋Alt＋Delでダイアログを表示した後、Enterキーを押せばロックを実行できる。馴れてくると、Ctrl＋Alt＋DelとEnterを連続して入力することで、素早くロックできるようになる。これなら、ちょっと席を離れるというときでも、それほど負担にはならないはずだ。

　またWindows XPで、［Windows］キー（Windowsロゴがキートップに表記されているキー）などが追加された109型日本語キーボード（104型英語キーボード）を使っているなら、［Windows］＋［L］キーを押すことで素早くコンピュータをロックすることができる（［Windows］キーは左右どちらも利用可能）。

　すると、Windows 2000、またはドメイン・ネットワークに参加したWindows XPでは、ディスプレイ表示が次のようになり、再度ユーザー名とパスワードを入力しなければ、端末は操作不能になる。

ロックされたコンピュータ（Windows 2000 Serverの場合）
コンピュータがロックされると、このようなダイアログが画面に表示され、コンピュータが現在ロックされていることを示す。ここでは、ロックを解除するためのCtrl＋Alt＋Delキー以外の入力を受け付けないので、第三者がコンピュータを不正に操作することはできない。

ロックされたコンピュータ（ドメイン参加のWindows XPの場合）
ドメインに参加しているWindows XPクライアントでは、Windows 2000と同様にこのようなロック画面が表示される。

「ようこそ」画面（ドメインに参加していないWindows XPの場合）
ドメインに参加していないWindows XPでは、前出のダイアログではなく、この「ようこそ」画面が表示される。

　ログオフした場合とは異なり、コンピュータのロックでは、画面表示をロックし、キー操作を無効にしているだけで、実行中だったアプリケーションなどはそのまま実行された状態になっている。したがって定期的にデータをダウンロードするプログラムなどを実行しているなら、ロック中でもデータのダウンロードは実行される。

●ロックした本人のユーザー名とパスワードでロックを解除する

　「ようこそ」画面については、通常のユーザー切り替えと同じく、一覧されたユーザーをクリックして、そのユーザーに切り替える（パスワード保護されたユーザーなら、パスワード入力が求められる）。

　一方、［コンピュータのロック］を解除するには、再度Ctrl＋Alt＋Delキーを入力する。すると、次のようなダイアログが表示されるので、ここでユーザー名とパスワードを入力する。ただし、ロック中に表示されているメッセージからも分かるとおり、ロックを解除できるのは、ロックをかけた本人か、管理者のいずれかである。管理者とは、Administratorsグループに属しているユーザーを指す。

コンピュータのロック中にCtrl＋Alt＋Delキーを入力すると表示されるダイアログ
コンピュータのロック中にCtrl＋Alt＋Delキーを押すと、このダイアログが表示される。コンピュータのロックを解除するには、ここで正しいユーザー名とパスワードを入力しなければならない。
　 （1）ユーザー名を指定する。
　 （2）パスワードを指定する。正しいパスワードを入力しなければ、ロックは解除されない。

　通常は、ロックをかけたユーザー（この例では「hiroy-u」）でロックを解除する。これにはユーザー名（hiroy-u）と、このユーザーの正しいパスワードを上のダイアログで指定し、［OK］ボタンをクリックする。ユーザー名とパスワードの組が正しいものなら、これでコンピュータをロックする以前の画面に復帰する。

●管理者権限で強制的にロックを解除する

　それでは、ロックをかけた本人ではなく、管理者がロックを解除したらどうなるのか。このような必要性は、例えば、ユーザーがコンピュータをロックさせたまま長時間外出してしまったが、突発的にそのコンピュータの電源を遮断する必要に迫られた場合などが考えられるだろう。前述したとおり、コンピュータのロックでは、キーボードやマウスが使用不能になるだけで、アプリケーションなどは実行されたままになっている。このような状態で、強制的に電力供給を停止すると、最悪の場合、ファイル・システムが破損したり、アプリケーションのデータを破壊したりする可能性がある。このような場合管理者は、コンピュータのロックを解除し、システムを安全にシャットダウンできなければならない。

　管理者によるロック解除は、まさにこのためのものだ。実際にロックをかけたユーザーとは別の管理者（Administratorsグループのユーザー）でロックを解除すると、画面が復帰すると同時に、起動中だったアプリケーションの終了処理が自動的に開始される。そして画面はログオン前の状態になる。この終了処理は、ちょうど、［スタート］ボタンから［シャットダウン］を選択した場合の動作に等しい。したがって管理者は、ロックを解除することはできるが、基本的に起動中のアプリケーションを操作することはできない。データを保存するためのダイアログなども表示されずに、アプリケーションは強制的に終了させられてしまう。管理者による強制的なロック解除は、ロックされたコンピュータを安全にシャットダウンするためのものと覚えておけばよい。

管理者権限で強制的にロックを解除する
ロックをかけた本人でなくても、管理者（Administratorsグループのユーザー）なら、強制的にロックを解除して、現在のユーザーをログオフさせることができる。ただしこの場合は、ロックが解除されると同時に、実行中のアプリケーションは強制終了させられる。

「Tech TIPS」