ITmedia エンタープライズ

　Windows 2000は，ユーザーやグループを「SID（Security IDentifier）」と呼ばれる識別子によって認識している。SIDは，オブジェクトの種類などを示す部分と，ドメイン内で唯一無二となるように生成されたRID（Relative IDentifier）から構成されている。値にRIDを含むため，SIDもドメイン内で唯一無二となる。

　この説明からもわかるように，Windows 2000におけるユーザー名やグループ名は，人間にとってわかりやすいように割り当てられた名前にすぎない。Windows 2000の内部では，すべてSIDによって処理されている。たとえばEFS（Encrypt File System）では，ファイルを暗号化した当事者をユーザー名ではなくSIDで識別している。そのため，EFSでファイルを暗号化したユーザーを削除してしまうと，あとから同じ名前でユーザーを作成しても，SIDが異なるために別のユーザーと判断される。この結果，新たに作成したユーザーでは，暗号化されたファイルを復号化することはできない。

　このように，Windows 2000においてユーザーやグループを削除するというのは，非常に意味の大きな行為である。いったん削除されたSIDを復元することは原則として不可能なので，ユーザーやグループを削除するときには，十分に注意していただきたい。不要になったと思われるアカウントでも，すぐに削除するのではなく，しばらくは無効にして様子を見るようにするとよいだろう。

　Windows NTには，UNIXでいうsuコマンドのように，ほかのログオンユーザーに成りすます機能が標準で提供されていなかった（リソースキットには用意されていた）。そのため，「導入時にAdministratorの権限を要求するようなアプリケーションをインストールするとき，いちいちAdministratorでログオンし直すのは面倒」といった理由により，パーソナルユースでは常にAdministratorの権限でログオンしていた人も多かったようである。しかし，Windows 2000には任意のユーザーに成りすましてプログラムを実行するためにRUNASというコマンドが用意されているので，ユーザーを使い分けてもあまり負担はないと思われる。セキュリティの概念に慣れるためにも，できるだけユーザーはきちんと使い分けるようにしてほしい。

　ちなみに，RUNASコマンドの書式は次のとおりである。

RUNAS [/profile] [/env] [/netonly] /user:<ユーザー名> プログラム

  /profile    ユーザープロファイルを読み込む必要がある場合
  /env        ユーザーの環境ではなく，現在の環境を使用する場合
  /netonly    指定された資格情報をリモートアクセスのみで使用する場合
  /user       <ユーザー名> の形式は“ユーザー@ドメイン”または“ドメ
              イン\ユーザー”である
  プログラム  実行可能なコマンドライン

例:
> runas /profile /user:mymachine\administrator "cmd"
> runas /profile /env /user:mydomain\admin 
                                   "mmc %windir%\system32\dsa.msc"
> runas /env /user:user@domain.itmedia.com "notepad \"my file.txt\""

注意:  成りすますユーザーのパスワードは，要求された段階で指定する。

　RUNASコマンドを利用する以外にも，実行可能ファイルへのショートカットファイル（.lnk）のプロパティで［ショートカット］パネルを開き，［別のユーザーとして実行］を選択する方法もある。この場合，そのショートカットを実行したときに，［別のユーザーとして実行］ダイアログボックスが表示されるようになる。［次のユーザーとしてプログラムを実行する］を選択し，任意のユーザー名とパスワードを指定すればよい。

　ただし，本稿の筆者がRC2およびRC3で検証した範囲内では，別のユーザーに成りすますとアクセス権限の検証にかなりのオーバーヘッドが生じるのか，単純にそのアカウントでログオンした場合と比べるとかなりの速度低下が見られた。これがBeta版の不具合であるのか，仕様であるのか，処理内容によるのかは不明であるが，期待したパフォーマンスが得られない場合には，ログオンし直すことも検討すべきだろう。