● [重要] Windows10でLANを組む場合の盲点・注意点
※まだ書きかけです。すみません。
※間違ってたらすみません。
目次
【盲点】
★ 盲点01:無効にしたはずのGuestアカウントが勝手に復活してしまう。
★ 盲点02:Homeでは、既定設定だとパスワードの有効期限が有限にならず、無期限になってしまう。「wmic」コマンドが必要。
★ 盲点03:「パスワードなしのユーザーアカウント」を作るとそのパソコンにアクセスできなくなることがある。特にHomeエディション。
★ 盲点04:共有フォルダを作るには、設定が1か所で済む場合と2か所必要な場合とに分かれる。
【上記の盲点を回避するための設定上の注意】
(a)「パスワード保護共有を有効にする」に設定して絶対に変えない
(b)「パブリックフォルダーの共有を無効にする」に設定する
(c)「パブリックネットワーク(ゲストまたはパブリック)」に設定する
(d)Gusetアカウントを無効にする
(e)Pro以上では「ローカルセキュリティポリシー」 (secpol.msc)での設定を変更する
(f)Homeでパスワードに有効期限を設定するには、追加で「wmic」コマンドが必要
(g)Homeではパスワードなしのユーザーを絶対に作らない
(h)共有フォルダを作るときは必ず2か所の設定をしておく
(i)常に「Guestアカウントが勝手に復活されていないか?」をチェック
(j)何かの間違いで「Users(ユーザー)」フォルダが共有設定になってないかのチェックも必要
※Shift+TABキー、もしくは、Homeキー、Homeキー+TAB数回、を押すと、目次付近に戻れます。
Windows10同士でLANを組む場合は、まず先に以下の(a)~(j)の項目を設定しておかないと、
「フォルダ共有ができない場合が増える」、
「セキュリティ上危険な状態になる(特に公衆WiFi回線に接続する場合)」、
などの弊害が出るので、必ず設定しておきます。
(a)「パスワード保護共有を有効にする」に設定して絶対に変えない
(b)「パブリックフォルダーの共有を無効にする」に設定する
(c)「パブリックネットワーク(ゲストまたはパブリック)」に設定する
(d)Gusetアカウントを無効にする
(e)Pro以上では「ローカルセキュリティポリシー」 (secpol.msc)での設定を変更する
(f)Homeでパスワードに有効期限を設定するには、追加で「wmic」コマンドが必要
(g)Homeではパスワードなしのユーザーを絶対に作らない
(作ると「パスワード保護共有を有効にする」に設定するとそのHomeにアクセスできなくなるため。Proではsecpol.msc使えるのでアクセスできます。)
(h)共有フォルダを作るときは必ず2か所の設定をしておく
(i)常に「Guestアカウントが勝手に復活されていないか?」をチェック
(j)何かの間違いで「Users(ユーザー)」フォルダが共有設定になってないかのチェックも必要
また、Homeが混在するLANでは、Homeでは「細かい設定」が Proよりもできないことが多いので、それはそれであきらめます。( (e)の設定など、その他、いろいろ設定できません。)
あと、サーバーOSが無い場合、20台以下の同時接続なら HomeやProをサーバOSの代わりに使えますが、HomeはLANセキュリティの設定ができないことが多いので、必ずPro版を使います。(20台以下の同時接続→携帯やタブレット、LANプリンタ、その他の機器、ネットワーク上のすべての機器を含みます。パソコンだけではありません。)
理由は以降に書いたとおりです。
★ 盲点01:無効にしたはずのGuestアカウントが勝手に復活してしまう。
HomeでもProでも「パスワード保護共有を無効にする」に設定を切り替えた瞬間に、無効にしたはずのGuestアカウントが有効に勝手に切り替わってしまう。公衆WiFi回線に接続する際は特に注意。
なので、LANを組む際は、原則的には「パスワード保護共有を有効にする」に設定して、全マシンの全アカウントにパスワードを使用し、全ユーザを登録し合うほうがいいのかもしれない。
もしくは、ユーザー名とパスワードをダイアログ画面で「資格」?を「記憶」しあいっこするか。
★ 盲点02:Homeでは、既定設定だとパスワードの有効期限が有限にならず、無期限になってしまう。パスワードを有限にするには、追加で「wmic」コマンドでの設定が必要。
Homeでは、パスワードの有効期限が42日の初期値でも、実際には「無期限」として運用される。
net account でパスワード有効期限の日数の設定をし、
wmic useraccount where "Name='user02'" set PasswordExpires=TRUE で実際にそれを有効化させることが必要。(全ユーザーで必要。wmic コマンドで一度もTRUEしないユーザやFALSEしたユーザは無制限になる。)
なら、Proでも、wmic コマンドで一度もTRUEしないユーザやFALSEしたユーザは無制限になるのなら、個別に設定し分けられるのかもしれない。
↓こちらもご参考にしてみてください。
・Windows10のHomeエディションの場合の、パスワードの有効期限を無制限から有限(日数限定/制限あり)に変える方法
https://euc-access-excel-db.com/tips/ct07_se/ct070701_clntpc_make/win10home-pw-expiration-date-set
★ 盲点03:「パスワードなしのユーザーアカウント」を作るとそのパソコンにアクセスできなくなることがある。特にHomeエディション。
コントロールパネルでのネットワークの共有設定で、「パスワード保護共有を有効にする」になっているときに、「パスワードなしのユーザーアカウント」を作ってしまうと、その瞬間にそのパソコンに以下のようなメッセージが出てアクセスできなくなります。
「「\\××にアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください・・・・~」
なので、「パスワードなしのユーザーアカウント」を作らないか、作るなら「ローカルセキュリティポリシー」 (secpol.msc)で設定変更しないといけません。
ただ、「ローカルセキュリティポリシー」 (secpol.msc)はProエディション以上にしか無いので、Homeでは設定変更ができません。なので、Homeが混在するLANでは、「すべてのHomeのパソコンでは、パスワードなしのユーザーを作ってはいけない」ということになります。でないとそのパソコンの共有フォルダにアクセスできなくなります。アクセスするには「パスワード保護共有を無効にする」にすればアクセスできますが、Guestアカウントが勝手に復活してしまいますし、ウィルス感染がしやすくなるようなときが来るかもしれず、セキュリティ上よろしくないので、やっぱりHomeでは「パスワード保護共有を有効にする」に設定して、「パスワードなしのユーザーを作らない」ほうが無難です。
※2018/05/03 時点で、HomeでもGpedit.mscが使えるそうで、その兼ね合いで、Secpol.mscも使えるっぽいです。
『 Windows10 Homeでローカルセキュリティポリシーを使う方法 』
『 「Windows 10 Home」でローカルグループポリシーエディターを使用する方法 』
で、Gpedit.mscが使えるようになればそこから「Secpol.msc」の項目にもアクセスできるようです。
ローカルコンピューターポリシー
→コンピュータの構成
→Windowsの設定
→セキュリティの設定
→ローカルポリシー
→セキュリティオプション
・「ローカルセキュリティポリシー」 (secpol.msc)での設定方法
「コントロールパネル」→「システムとメンテナンス」→「管理ツール」→「ローカル セキュリティ ポリシー」 を起動します。
「セキュリティの設定」→「ローカルポリシー」→「セキュリティ オプション」] を選択します。
「アカウント : ローカルアカウントの空のパスワードをコンソールログオンのみに制限する」を選択します。
「有効」 にチェックが付いていますので 「無効」 に変更します。
★ 盲点04:共有フォルダを作るには、設定が1か所で済む場合と2か所必要な場合とに分かれる
どのパソコンからもアクセスしてもらえる共有フォルダを作るには既存のフォルダに対して、以下の(a)や(b)の設定が必要です。
(a)フォルダを右クリック→プロパティ→「共有」タブ→上側の「共有」ボタンからの設定
(b)フォルダを右クリック→プロパティ→「共有」タブ→下側の「詳細な共有」ボタンからの設定
注意が必要なのは (a) の設定です。
「パスワードを持つユーザーアカウント」を1つでも作っているパソコンでは、「すべての共有フォルダ」にこの設定が必要です。(これは「パスワード保護共有を無効にする」の設定になっていても、必要です。)
この設定をしないと、他のパソコンからは、フォルダは見えますけど中に入れなくなります。
「パスワード保護共有を無効にする」に設定してあってもアクセスできません。
逆に、すべてのパソコンのすべてのユーザーアカウントがパスワード無しの場合は、(a)の設定は不要で(b)の設定だけで大丈夫です。
ただ、将来の設定変更を見越して、(a)(b)両方の設定をやるクセにしておけば、面倒は無いと思います。
というのも、例えばですが、複数のユーザーを作った1台のパソコンがあったとして、そのユーザーすべてにパスワードが無かったとします。その場合、共有フォルダを作るときは(b)の設定だけをすれば他のどんなパソコンからもアクセスできるのですが、そのパソコンにパスワード付のユーザーを1つ追加したとたん、その瞬間に、そのパソコンのすべての共有フォルダにアクセスできなくなります。これは「パスワード保護共有を無効にする」の設定になっていてもアクセスできなくなります。
なので、将来 どこで「パスワード付のユーザー」を追加するか分からないので、はじめからいつも、(a)と(b)両方の設定をしておいたほうがトラブルが無くて良いと思います。
【上記の盲点を回避するための設定上の注意】
前項の盲点を回避するために、以降の(a)~(j)を設定します。
トップレベルとしての設定は (a) の「パスワード保護共有を有効にする/無効にする」だと思います。ここを有効から無効に変えるといろいろと面倒くさいので最も注意が必要です。
その次がパスワード付のユーザーを作るか作らないか、です。会社や仕事の場合は作ったほうがいいと思います。また、1台の中に複数のユーザーを作った場合は全ユーザーにパスワードを設定します。
理由は、基本的に「パスワード保護共有を有効にする」の設定にして絶対に変えないほうがLAN設定やセキュリティ上のトラブルが少ないのですが、その場合、全ユーザーにパスワードが設定してあるほうがこれまたトラブルが少ないからです。もちろんセキュリティ上もトラブルが少ないです。
なのでその2つの事柄については注意して設定します。
以降の(a)~(j)では、パスワードがないユーザーを作ったときのことも考えて書いてありますが、できたらパスワード無しのユーザーは作らないようにします。
(a)「パスワード保護共有を有効にする」に設定して絶対に変えない
「パスワード保護共有を有効にする」に設定する方法
コントロールパネル
→ネットワークと共有センター
→共有の詳細設定
→すべてのネットワーク
→「パスワード保護共有を有効にする」
→「変更の保存」ボタン
で完了です。
(c)「パブリックネットワーク(ゲストまたはパブリック)」に設定する
(e)Pro以上では「ローカルセキュリティポリシー」 (secpol.msc)での設定を変更する
(f)Homeでパスワードに有効期限を設定するには、追加で「wmic」コマンドが必要
(g)Homeではパスワードなしのユーザーを絶対に作らない
(作ると「パスワード保護共有を有効にする」に設定するとそのHomeにアクセスできなくなるため。Proではsecpol.msc使えるのでアクセスできます。)
(i)常に「Guestアカウントが勝手に復活されていないか?」をチェック
(j)何かの間違いで「Users(ユーザー)」フォルダが共有設定になってないかのチェックも必要
★ 共有フォルダの設定01
フォルダを作ります。
→右クリックしてプロパティを押し、「共有」タブを押します。
→ダイアログ下側の「詳細な共有」ボタンを押します。
→「このフォルダを共有する」にレ点を入れます。
→「アクセス許可」ボタンを押します。
→上のペイン(ペイン=区画)で「Everyone」が選択されていることを確認します。
→下のペインで、「フルコントロール」にレ点を入れます。(編集権限の全てにレ点が入ります。)
→OKします。もとの画面に戻ります。
→もとの画面でもOKします。さらにもとの画面に戻ります。
→「閉じる」で設定を完了します。
★ 共有フォルダの設定02
「パスワードを持つユーザーアカウント」を1つでも作っているパソコンでは、すべての共有フォルダにこの設定が必要です。この設定をしないと、パスワードありのユーザーでログインしているときに、フォルダは見えますけど中に入れなくなります。
すべてのパソコンのすべてのユーザーアカウントがパスワード無しの場合は、前項の「共有フォルダの設定01」の設定だけで大丈夫です。
ただ、将来を見越して、前項の「共有フォルダの設定01」の設定とここでの設定、両方をやるクセにしておけば、面倒は無いと思います。
前項で作ったフォルダにそのまま設定を追加します。
→フォルダを右クリックしてプロパティを押し、「共有」タブを押します。
→ダイアログ上部の「共有」ボタンを押します。
→出てきたダイアログの「中ごろの」ドロップダウンボックスから、「Everyone」を選びます。
→「追加」ボタンを押します。
→下のペイン(ペイン=区画)に「Everyone」が追加されるので右クリックします。
→「読み取り」にレ点が入っていますので、「読み取り/書き込み」をクリックし、レ点を入れ変えます。
→ダイアログ下のほうの「共有」ボタンを押します。
→「終了」ボタンを押します。もとの画面に戻ります。
→「閉じる」で設定を完了します。
★ うまく設定ができず、時間も無くて緊急で一時的にフォルダ共有したいとき
(セキュリティソフトを使っていない時、使っているとき)
【セキュリティソフトを使っていない時】
ネットワークの共有設定で、「パスワード保護共有を有効にする」から「パスワード保護共有を無効にする」に設定します。
コントロールパネル
→ネットワークと共有センター
→共有の詳細設定
→すべてのネットワーク
→「パスワード保護共有を有効にする」
→「変更の保存」ボタン
で完了です。
パスワードを設定していないユーザーが1つでも混在する場合・パスワードなしのユーザー1つだけしか設定していない場合は、HomeでもPro以上でも(つまりこのTipsの場合も含まれます)、共有の設定のところで、「パスワード保護共有を有効にする」から「パスワード保護共有を無効にする」に設定し、パソコンを再起動すれば(念のために必ずやります)、基本的には外部からのアクセスが「パスワード等々無しに」できる仕組みになっています。
パスワードなしなので、まず大抵の場合、共有フォルダにアクセスできます。
【セキュリティソフトを使っている時】
前項の【セキュリティソフトを使っていない時】の設定をしたのち、セキュリティソフトのファイアウォール機能を一時的にOFFにします。一時的な用事が済んだら、もとの設定に戻します。