このページをはてなブックマークに追加このページを含むはてなブックマーク このページをlivedoor クリップに追加このページを含むlivedoor クリップ

目次

ワークグループ

  • ワークグループを一言でいうと「コンピュータの集合体」であるが、ワークグループに所属する各コンピュータを一元的に管理する機能はない。
    • つまり、コンピュータは自分の好きなワークグループ名を自由に名乗ることができる。それがすでに他のコンピュータに付けられたワークグループの一員となるだけであった。
      • 特別な許可も承認も必要ない、非常に単純な仕組みである。
  • ワークグループでは専用サーバーを必要としない。
    • 一時期、ネットワークOSとして幅広く普及していたNovelのNetWare*1やLAN Manager*2などの他のPC用ネットワークは、専用のサーバーを用意し、その管理下にクライアントを置くものが多かった。
    • しかし、ワークグループでは専用のサーバーを使わずにネットワークが構築できるため、導入の手間がかからず、コストも抑えられる。
  • 通信が一対一(ピアツーピア)である。
    • NetWareやLAN Managerではクライアント間通信は考慮されておらず、ファイル転送などは必ずサーバーを経由する必要がある。しかし、ワークグループではPC間で直接通信ができる。
  • ワークグループは管理が簡単である。
    • ファイルを共有した場合、読み取り専用パスワードと、読み書き可能なパスワードを設定することで、簡単にアクセス制御ができる。これならユーザーの概念すら必要ない。
  • Windows NT/2000/XP/2003では、ワークグループでコンピュータごとにユーザー登録を行い、それぞれにパスワードを割り当てる。
    • それ以前のワークグループでは、共有フォルダごとにパスワードを設定してアクセス制御をしていた。しかし、これでは厳密なセキュリティは望めない。
  • ワークグループでは個々のコンピュータにユーザー情報を設定する。しかしそれでは代数が増えてくると面倒である。そこで、複数のユーザーが1つにまとめるグループという考え方が用意されている。
    • グループに対して与えれたアクセス許可は、グループのメンバー全員に適用される。さらに、ユーザー個別に与えられたアクセス許可も適用される。
    • つまり、コンピュータはまずユーザー名とパスワードを使って正当な利用者かどうかを判定する。
    • また、ファイルやプリンタにアクセスする場合は、ユーザーとグループの両方の情報を使って認証を行う。

隣のワークグループが見える理由

  • 同じLAN内に複数のワークグループが存在する場合は、毎ネットワークやネットワークコンピュータにワークグループの一覧が表示される。
  • LAN内に複数のワークグループが存在する場合は、それぞれのワークグループのマスターブラウザ同士がワークグループの情報を共有し、このデータを基にして、各PCはLAN内に存在するすべてのワークグループのPCを一覧表示する。
    • そして、表示されたコンピュータのNetBIOS名前解決を行うことで、共有ファイルやプリンタにアクセスできる。

ワークグループの認証

  • ワークグループはそもそもコンピュータを一覧表示するときのグループ分けの単位として利用される。
    • そのため、ワークグループ単位でユーザー情報を管理するようなことは行わない。
  • ドメインコントローラが存在しないワークグループでは、それぞれのコンピュータがユーザー名とパスワードの対応表を持っている。そして、アクセスしてきたユーザーをこの対応表を使って認証する。
    • この場合、アクセスしてきたユーザーがどのワークグループに属しているかはまったく関係ない。アクセスしてきたユーザーのユーザー名とパスワードが対応表にあるかどうかが本質である。
      • よって、ワークグループはコンピュータの一覧を表示するための仕組みとして機能し、認証には何も関係していないことになる。

ワークグループのコンピュータへのログイン

1:ネットワーク経由でワークグループ内の他のコンピュータに接続しようとしたとき、Windows 7/Vista/XP Proであればコンピュータにログインしたときのユーザー名とパスワードがそのまま相手のコンピュータ(共有サービスを提供しているサーバー)に送られる。

 一方、WindowsXP Homeであれば、アクセス先にユーザー情報が登録されているかどうかにかかわらず、ユーザー名とパスワードを入力するためのウィンドウがポップアップする。これに指定したユーザー名とパスワードが相手のコンピュータに送られる。

2:これを受信したサーバーは、自分自身が持っているユーザー名とパスワードの対応表を参照する。送信されてきたユーザー名とパスワードが対応表に記録されている情報と一致すると、アクセスしてきたユーザー専用音アクセストークンを作成し、これにユーザー情報を格納する。

3:サーバーはアクセストークンを作成すると、ユーザーごとにアクセストークンを識別するための情報として、UID(User Identifiers)と呼ばれる識別子を生成する。

 そして、どのUIDがどのアクセストークンに対応するのかを記載した対応表を作成しておく。

 これが済むと、サーバーはUIDをクライアントであるユーザーの元へ送信する。

3:以上の方法で、サーバーからUIDを交付されたクライアントは、サーバーが提供する共有フォルダにアクセスする際にUIDを送信する。

 そして、サーバー側では自分自身が持っているUIDとアクセストークンの対応表を参照することで、クライアントのUIDに対応するアクセストークンを見つけ出し、これを共有フォルダに設定されているセキュリティディスクリプタと比較して、アクセス権を決定する。

[補講]認証を受けたクライアントにはUIDが交付されるので、認証をパスしたクライアントはアクセスする度に認証を受ける必要はない。

同じサーバーの他のフォルダにアクセスするときにもクライアントから送信されたSIDをもとに、アクセストークンと対象のフォルダのセキュリティディスクリプタが比較されて、アクセス権が決定される。 ◇

参考文献

  • 『Windows7ネットワーク逆引き大全』


*1 NetWareサーバーはPC上で動作するネットワークサーバー専用のOSである。
*2 LAN ManagerはUNIXやOS/2などで動作するサーバーアプリケーションであり、LAN Managerとは別に各コンピュータ用のOSのライセンスも必要である。