WindowsXP ネットワーク設定 を眺める...(^^ゞ 2002.12.30

WindowsXP Home のNetwork Security があんまり低いので、
しばらくぶりで Win FAQ など眺めてみた。

以下、Windows XP.FAQ(http://winfaq.jp/wxp/)にあったNetwork関連の対処法。

 Windows XP のフォルダのプロパティに [セキュリティ] タブがありません

 Windows XP でドライブを NTFS フォーマットしていても、
 フォルダのプロパティに [セキュリティ] タブが表示されず、
 NTFS アクセス権が設定できません。
 これは簡易共有が有効になっているためなので、

 次の手順で簡易ファイル共有を解除してください。
 [スタート]−[コントロールパネル] から
 「フォルダオプション」を起動します。

 [表示] タブをクリックし、「簡易ファイルの共有を使用にする(推奨)」
 のチェックを解除して「OK」をクリックします。
 なお、Home Edition にはこのオプションはなく、
 セーフモードで起動しないと [セキュリティ] タブは表示されません。


Proでは常に簡易ファイルの共有は解除してあるが、たしかにHomeにはこの記述がない。
起動時にF8キーを叩いて、セーフモードでなく「セーフモードとネットワーク」で
立ち上げるとセキュリティオプションタグが操作できるようになる。


 XP で、「フォルダをプライベートにする」にチェックできません

 Windows XP で「マイ ドキュメント」および、
 プロファイルフォルダ内のフォルダを右クリックして
 [共有] タブをクリックすると「このフォルダをプライベートにする(M)」
 オプションが利用できます。

 このオプションを有効にすると、
 現在ログオンしているユーザーのみがアクセス可能な
 NTFS のアクセス権が設定されます。
 このため、「マイ ドキュメント」のターゲットフォルダや、
 ユーザープロファイルフォルダが
 NTFS フォーマットされたドライブにない場合、
 チェックすることができません。


 ディスク管理

 XP Home Edition では、マイドキュメント以外のセキュリティが設定できません
 Windows XP Home Edition では、NTFS でフォーマットされていても、
 フォルダのプロパティに [セキュリティ] タブがありません。

 ユーザープロファイルフォルダ以下に限り、
 フォルダのプロパティの [共有] タブにある
 「このフォルダをプライベートにする」にチェックすることで、
 自分だけがアクセス可能な NTFS アクセス権を設定することが可能です。

 自分のプロファイルフォルダ以外に NTFS アクセス権を設定したい場合、
 コマンドプロンプトで cacls コマンドを使用してください。

 [スタート]−[ファイル名を指定して実行] から cmd を起動し、
 cacls /? を実行すると、詳細な使用方法が表示されます。

 どうしても GUI で設定したい場合は、セーフモードで起動することで、
 従来通りの [セキュリティ] タブが表示されます。

フォルダをプライベート設定にしてしまうと、ネットワーク上から(とくにメインPCから)
アクセスできなくなってしまっては元も子もない。
cmdコマンドでcacls(アクセス制御リスト)を眺めてみたけど、GUIに慣れきってしまった今、
コマンドラインでだけの制御はちょっと覚束ないので自重しておく。(^^;;
面倒でも「セーフモードとネットワーク」で立ち上げて弄った方がやり直しがききそう。


 Windows XP でフォルダ共有時にアクセス権が設定できません

 Windows XP でフォルダを右クリックし、
 [共有とセキュリティ] からネットワーク共有を開始することができますが、
 NT/2000 のように「アクセス権」ボタンがないため、
 共有のアクセス権を設定することができません。

 これは簡易共有が有効になっているためなので、
 従来 の Windows のように共有アクセス権や
 NTFS アクセス権を設定する必要がある場合は、
 以下の手順で簡易共有を解除してください。
 (XP Home Edition に、このオプションはありません。)

 エクスプローラの [ツール]−[フォルダオプション] をクリックします。
 [表示] タブをクリックし、
 詳細設定の「簡易ファイルの共有を使用する (推奨)」のチェックを解除します。
 「OK」ボタンをクリックします。
 なお、NTFS でフォーマットされている場合は、
 フォルダのプロパティにある [セキュリティ] タブで
 NTFS アクセス権だけを設定することをお勧めします。


2000はネットワーク設定が難しかったけど、
アクセス権をはじめとするセキュリティの設定の仕方が分かりやすかった気がする。
ユーザーとパスワードでとくにアクセスできるユーザーを指定してやらない限り、
共有資源へのアクセス権はもてなかった。

XPはネットワーク構築を簡単にすることで、
その後のセキュリティ設定が分かりにくくなったり、できなくなっている部分があるようだ。
上のFAQで下3行がよく理解できていないのも事実。(?_?)


 「マイコンピュータ」に各ユーザーのマイドキュメントが登録されます

 Windows XP の「マイ コンピュータ」フォルダを開くと、
 「このコンピュータに保存されているほかのファイル」セクションに、
 各ユーザーの「マイ ドキュメント」フォルダや
 「共有ドキュメント」フォルダが表示されてしまいます。

 このマイドキュメントフォルダ群は、
 ユーザーが削除された後などで半透明のさわれないフォルダに
 化けることもあります。

 次の手順でマイコンピュータから各ユーザーのマイドキュメントのリンクを
 削除することができます。
 管理者権限で Windows XP にログオンします。
 [スタート]−[ファイル名を指定して実行] から regedit を起動します。

 HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows
 \CurrentVersion \Explorer \DocFolderPaths を開きます。

 右側から、削除したいフォルダ名の値を削除します。
 「マイコンピュータ」フォルダから
 「このコンピュータに保存されているほかのファイル」セクション自体を
 削除するには、次の手順を実行します。

 Professional で全ユーザーに設定する場合
 [スタート]−[ファイル名を指定して実行] から gpedit.msc を起動します。

 [ユーザーの構成]\[管理用テンプレート]\[Windows コンポーネント]
 \[エクスプローラ] を展開します。

 右側の「マイコンピュータから[共有ドキュメント]を削除する」を
 ダブルクリックし、「有効」にチェックして「OK」します。

 Professional および Home Edition でユーザー別に設定する場合
 [スタート]−[ファイル名を指定して実行] から regedit を起動します。

 HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion
 \Policies \Explorer を開きます。
 [編集]−[新規]−[DWORD 値] をクリックし、
 NoSharedDocuments 値を作成します。
 NoSharedDocuments 値をダブルクリックし、データに 1 を入力して「OK」します。


これはあまり気にしたことがない。
ネットワーク上からはアクセスする必要があるけど、
PCそのものを2人以上で共有して使うことがないこともあるのでしょう。
職場のPCのように、数人で自分の設定を大事にしながら使ってるような場合には、
こうした症状がでてくるんでしょうね。


 ネットワークから Windows XP にアクセスできません

 Windows XP で共有を作成し、
 他の PC から接続すると認証エラーで接続できないことがあります。

 また、リモートデスクトップでも
 パスワードなしのユーザーでは接続することができません。

 Windows XP は標準でパスワードなしのユーザーアカウントを作成しますが、
 ネットワーク経由で接続する場合はパスワードを必須としているために、
 この現象が発生します。

 ネットワークからの接続を許可する場合、
 次のいずれかの設定を行ってください。

 ユーザーにパスワードを設定する
 [スタート]−[コントロールパネル] から「ユーザーアカウント」を起動します。
 ネットワーク経由でログオンしたいユーザーをクリックします。
 パスワードの作成をクリックします。
 パスワードとパスワードヒント (ヒントはオプション) を設定し、
 「パスワードの作成」ボタンをクリックします。
 
 パスワードなしでネットワークから接続する (Professional のみ)
 ただし、システムのセキュリティレベルを下げることになるため、
 設定にはご注意ください。
 [スタート]−[ファイル名を指定して実行] から secpol.msc を起動します。
 [ローカルポリシー]\[セキュリティオプション] を展開します。
 右側の「アカウント:ローカルアカウントの空のパスワードの使用を
 コンソールログオンのみに制限する」をダブルクリックし
 「無効」に設定して「OK」をクリックします。
 Windows を再起動します。


password設定は最低必要でしょうね。
ただ、アクセスできないんじゃなく、アクセスフリー?! なので困ってしまう。
家庭内のワークグループでなく、職場の、違ったワークグループに入っても
passwordだけのセキュリティしかないのが心許ない気がする。
これじゃ簡単お手軽ネットワークで、Win9x のときと変わらない。

(※ちょっとした仕事で職場のネットワークに参加させてきたところ、
 なんと、まったくのアクセスフリーで、はじめてアクセスするPCからもパスワードを
 要求されることもなく、あっさり入られてしまうことが判明。
 ローカルPCそのものへのログオンには、パスワードチェックを入れることができても、
 ネットワーク上からは丸裸同然の立入自由PCになっている。)...(*_*)

Homeって、ネットワーク上の垣根は、Win9xよりも低いと言うしかない。

それにしても、secpol.msc の中身も深いですねぇ..(^^;;
「無効」にする必要もないけど、Home ではこれもできない。


 Windows XP にパスワードなしでアクセスできるのですが

 Windows NT/2000 の共有フォルダにアクセスする場合、
 ユーザーアカウント名とパスワードでの認証が必要です。
 しかし、XP の標準設定では Guest アカウントの有効/無効にかかわらず、
 すべてのネットワークアクセスを Guest とみなすポリシー(ForceGuest)が
 適用されています。
 このため、XP の共有にアクセスしても
 ユーザー名やパスワードは要求されません。

 Professional に限り、次の手順で Force Guest を解除して、
 Windows 2000 と同様の認証を行うことができます。

 管理者でログオンし、[スタート]−[コントロールパネル] から
 「フォルダオプション」を起動します。
 [表示] タブの「簡易ファイルの共有を使用する(推奨)」を解除して
 「OK」します。

 「簡易ファイルの共有を使用する(推奨)」を解除すると、
 レジストリの HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet
 \Control \Lsa キーにある forceguest 値が 0 に変更されます。

 Home Edition のフォルダオプションには、
 「簡易ファイルの共有を使用する(推奨)」項目がありませんし、
 forceguest レジストリを直接変更しても Force Guest を解除できません。

 Force Guest を有効にしたまま、Guest アカウントを無効にすると、
 だれも共有フォルダにアクセスできなくなります。
 Guest アカウントはコマンドプロンプトで
 net user コマンドを使うことで無効化できます。

ん〜、ネットワーク上のPCにパスワードもかけられないとは...。

やっぱりこうしてみると、Homeでは危なっかしいNetwork PC ってことになりますね。
家庭内でだけ使っている分には問題ないけど、
職場にもっていったら共有フォルダの設定などは解除して使うしかないでしょう。
ちょっと面倒くさいけど、フォルダ単位で共有設定かけていたのを、
家庭ではルートに共有かけてしまい、職場ではそれを外してネットワークに入る...と。

環境整えたばかりのSS S4 なんですが、最低でもPro..にアップグレードするか、
Win2K をまた入れ直して使うかがベストのような気がしてます。

やっぱ、Home バージョンのOS なんですねぇ。

で、早々とHome Edition に見切りをつけ、Professional Edition に乗り換えることに。
正月はさんで、Pro.Editionでネットワーク・セキュリティを弄ってみました。