YouTubeでも発信中!

なぜパソコンにログインできるのか

この記事は、こんな人に向けて書かせていただきました。

  • 社内SE1年目でパソコンのことをまだよく知らない
  • 社内SEだけど、社内のパソコンの仕組みには詳しくない
  • 会社のパソコン使ってるけど、どういう仕組みか少し知っておきたい

言い換えると、すべて3年前の僕です。
ぼくはいま社内SEをやってますが、前職はSIerで働いていました。
いまはトータルで、SE歴7年目になります。

僕が社内SEになって、最初につまずいたのはパソコンに関する知識です。
SIerでは大規模なシステム開発を経験し、ざっくり「ITスキル」に自信がありました。

しかし社内SEとして働き始めたら、自分のパソコン知識の乏しさに絶望しました。
先輩や上司が、なにを言っているのかさっぱり分からないのです。

例えば、
「ログインアカウントを切り替えてもらってもいい?」
「それは管理者権限で作業して」
「他のユーザープロファイルは触れないよ」

などなど。

最初はぜんぜん会話についていけずに焦りました。
本当に、何を言われているのかさっぱりわからないのです。

しかし、ちょっとずつ先輩や協力会社の方に教えてもらい、いまでは何とかわかるようになってきました。

この記事では、
「なぜパソコンにログインできるのか」
というテーマで書いていきたいと思います。

僕がSIerから転職してすぐのころ、最初につまづいたところを説明していきます。
ぜひ参考にしてください。

熟練の方からすれば、ツッコミどころ満載かもしれません。
もしご指摘あればTwitterでお知らせいただけると助かります。

ローカルアカウントとドメインアカウント

「そんなことも知らないの!?」
と笑われてしまうかもしれませんが、僕は社内SEになるまで

  • ローカルアカウント
  • ドメインアカウント

の違いを知りませんでした。

SIerで働いているとき、アカウントの種類など気にせずとも働けていたからです。
でも、社内SEになると重要な知識になります。

皆さんは個人利用しているパソコンに、パスワードをかけていますか?
かけてますよね。
かけてください。(余計なお世話)

パスワードをかけるということは、アカウントを作るということです。
個人利用のパソコンの場合、「ローカルアカウント」を使ってパスワードをかけます。

ローカルアカウントはたくさん作れます。
「USER1、USER2・・・のどれかならログインしていいよ」
っていうリストがあって、アカウントごとにパスワードが正しければそのパソコンに入れます。

細かいところは書きませんが、まずはざっくりイメージをつかんでほしいです。↓

一方で、
「ドメインアカウント」というのは、パソコンではなく「ADサーバー」にユーザーのリストがあります。
パソコンにドメインアカウントを入力すると、ADサーバーにログイン許可を求めます。
ADサーバーが認証すると、パソコンにログインできる仕組みです。

ドメインアカウントのポイントは、
「パソコンだけでなく、ファイルサーバーなど他のシステムの認証も済ませることができる」
ということです。

「ADサーバー,ドメインってなんやねん!」
と疑問に思うかもしれませんが、ざっくりと説明すると以下の通りです。

ADサーバーとドメイン

ADサーバー ⇒ 会社のサーバーたちの頂点に君臨
ドメイン ⇒ 会社のサーバーたちの群れ

もっとかみ砕くと
ADサーバー ⇒ 村長
ドメイン ⇒ 村
みたいな感じです。

ぼく「村長!ぼくを仲間に入れてください!」
村長「おーふぉっふぉ。よかろう。」

というイメージです。

村長に認めてもらえれば、村の人のいろんな家におじゃますることができます。
そんな風にイメージしてもらえたらと思います。

管理者アカウントとユーザーアカウント

アカウントには、権限の強弱があります。
具体的には、

  • 管理者アカウント
  • ユーザーアカウント

の2種類があります。
こんなイメージです。↓

ポイント
「管理者アカウント」
 ⇒アプリを自由にインストールできる。いろいろな設定を”キワどいところまで”触れる。

「ユーザーアカウント」
 ⇒自由度は低い。好き勝手なことはできない。

アカウントの種類まとめ

これまでの話をまとめると、アカウントの種類は4つあります。

  • ローカル管理者アカウント
  • ローカルユーザーアカウント
  • ドメイン管理者アカウント
  • ドメインユーザーアカウント

本当にざっくりですが、違いをまとめるとこんな感じです。↓

共有アカウントと個人アカウントの違いは

会社で使用するパソコンは、一人ひとりにユーザーアカウントが割り当てられます。
これを「個人アカウント」と呼びます。

個人アカウントでは、
「”tanaka-t”というアカウントは、田中太郎さん”のみ”が使う」
というルールで使用します。

このようにすることで、以下のメリットがあります。

個人アカウントのメリット
・特定ユーザーができることを明確に分けることができる
⇒たとえばファイルサーバーのどのフォルダまで見れるか

・その人のログを追うことができる
⇒たとえば、勤務時間の実態把握や、ファイル操作・インターネット閲覧などを管理することができます

一方で、「共有アカウント」というものもあります。
共有アカウントは、「ある範囲のみんなで使用するアカウント」です。
(例:人事部のみんなで、”jinji-team”というアカウントを使用する)

例えば、
・各自に割り当てるほどアカウントが必要ない場合
・同じアカウントでなければならない制約があった場合(パッケージの規約など)
などに使用します。

共有アカウントは便利ですが、
「共有アカウントは、使用しないほうがいい」
というのが僕の意見です。
なぜなら以下のデメリットがあるからです。

共有アカウントのデメリット↓

  • だれがそのアカウントを使用したか、あとから追跡することができない
  • 外部システム利用時の制約で、もめることがある
  • そもそも共有アカウントを許したら、ユーザーアカウントを分ける意味が薄れていく

会社が求めるセキュリティレベルによりますが、どうしても共有アカウントを使用したい場合は、
カード認証(誰がその共有アカウントを使用したかを追える)システムを導入するのが好ましいと思います。

もしくは、共有アカウントのデメリットを事前に解消/理解したうえで、用法容量を守って正しく使いましょう。

ユーザープロファイルについて

ユーザー目線だとあまりイメージすることがありませんが、パソコンにはいろんなユーザーでログインすることができます。

ドメインユーザーアカウントとして、
・tanaka-k
・yamada-a
・suzuki-y
というユーザーアカウントを作っておけば、同じパソコンを3人とも利用することができます。
(余談ですが、退職 ⇒ 引継ぎが発生したときに、パソコンごと引き継ぐと便利です。)

「同じパソコンを他の人も使えるってことは、おれのデータっていくらでも盗み見れるってこと?」
と思う人もいるかもしれませんが、そうではないです。

そこには「ユーザープロファイル」という”壁”が存在します。
ユーザープロファイルとは、
C:Users¥tanaka-k
みたいなフォルダで、そのパソコンを使用するユーザーごとに存在します。

普段よく使う
「デスクトップ」
「ドキュメント」
「ブラウザのお気に入り」
などは、ユーザープロファイルの中にデータがあります。

ここで一番のポイントは
「他のユーザープロファイルを覗くことはできない」
ということです。

ただし、管理者アカウントはいくらでも覗くことができます。
参考まで。