Windowsのパソコンやサーバーでは、システム管理者がネットワークを介して、管理下の端末のCドライブなどにエクスプローラーなどで自由にアクセスできる「管理共有」と呼ばれる機能があります。
これはシステム管理者が効率的に配下の端末を管理するにあたりとても重要な便利機能です。
今回の記事では、新人システム管理者にはぜひ知っておいてほしいWindows固有の仕組みである「管理共有」について紹介します。
C$とは?管理共有とは?
まずは一般的な「共有フォルダ」について解説します。
パソコンやサーバーに共有フォルダが作られていれば、別のパソコンやサーバーからその共有フォルダをネットワークを介して開くことができます。
例えば、Cドライブの直下に「share」フォルダを作成し、そのフォルダに対して共有設定をした場合、他のパソコンやサーバーからはその共有フォルダに接続する場合は以下の様にエクスプローラーのアドレスバーに入力します。
皆さんご存知だと思いますが、改めておさらいです。
\\接続先パソコンやサーバーのIPアドレス又はコンピューター名\共有フォルダ名
因みに、エクスプローラーの「アドレスバー」とは、Windowsでフォルダを開いた際などで表示される以下の部分を指します。
もし共有フォルダを作ったパソコンやサーバーのIPアドレスが192.168.1.10であれば、以下のように指定します。
\\192.168.1.10\share
ただ、このように共有フォルダを作成して、ネットワーク越しにそのフォルダに別の端末からアクセスできるようにした場合は、上記の例で言えば「share」フォルダとその配下のサブフォルダ、格納されている各ファイルへのアクセスのみが許され、C:¥Program Filesなどの共用フォルダ設定をしていない場所へのアクセスはできません。
ただし、Windowsでは、システム管理者用の機能として、共有フォルダの有無や場所に関わらず、ネットワークを介して対象の端末のフォルダやファイルのすべてにアクセスできる方法が用意されています。
それが「管理共有」です。
Windowsでは既定の隠された「共有フォルダ設定」が存在する
Windowsでは、クライアント用OS、サーバーOSに関わらず、秘密の共用フォルダか内部的に設定されています。
この共用フォルダの存在を確認するには二通り有り、一つは「コンピューターの管理」から確認できます。
Windows10の場合は以下の操作です。
もう一つの方法は、コマンドプロンプトを起動し、コマンドでも確認できます。
コマンドで確認する方が手軽なので、試しにやってみましょう。
パソコンやサーバーのコマンドプロンプトを起動し、以下のコマンドを実行してください。
net share
以下のように表示されます。
「net share」コマンドは、その端末の共用フォルダを表示します。
よって、その端末で共用フォルダが作られていればそれが表示されますが、さらに「C$」や「D$」といった謎の共用フォルダも表示されていると思います。
例えば上記のコマンドプロンプトのスクリーンショットでは、Cドライブの直下に$記号の付いていない通常の共有フォルダ「共有」が存在しているのがわかります。
更に前述した「C$」が存在します。
この「C$」を「管理共有」と呼びます。
もしCドライブ以外にDドライブやEドライブなどのディスクがあれば、それらも同様に管理共有としてドライブレターに$が付いた状態で表示されます。
Windowsでは、明示的に設定を変えない限り、この管理共有は有効になっています。
このフォルダを指定してネットワーク越しに対象の端末にアクセスをすると、その端末の共有フォルダの有無に関わらず、そのドライブ直下のすべてのフォルダにアクセスすることができます。
この管理共有はユーザーが直接指定して使用するものではないため、当記事では割愛します。
共用フォルダの設定の「共用名」の文字列の最後に「$」を付けます。
よって、「管理共有」とは、末尾に「$」が付く共用フォルダ全体を指すわけではなく、既定で作られている「$」付き共有の事を意味します。
「管理共有」への接続方法
前項では、表面上は隠されている管理共有が実際に設定されていることを説明しました。
当項では、その「管理共有」への接続方法を紹介していきます。
ホスト名又はIPアドレスに併せて参照先ドライブレターに$を付ける
前項では、共有フォルダへの接続方法についても紹介しました。
再度当項でもおさらいしておきましょう。
一般的な共有フォルダへの接続の場合は、エクスプローラーのアドレスバーなどで以下のように入力します。
\\接続先端末のコンピューター名又はIPアドレス\共有フォルダ名
実際の入力例では以下です。
\\192.168.1.10\Share
管理共有を指定して接続する方法を紹介します。
管理共有へ接続する場合は、エクスプローラーのアドレスバーなどで以下のように入力します。
\\接続先端末のコンピューター名又はIPアドレス\管理共有のドライブレター$
実際の入力例では以下です。
\\192.168.1.10\C$
管理共有でアクセスする場合のイメージ図は以下です。
管理共有へ接続する際の認証について
前項では、管理共有を使って別の端末にアクセスする方法を紹介しましたが、管理共有を使用した場合でも、誰もが自由に別の端末のフォルダを参照できる訳ではありません。
当項では、管理共有を使用して別の端末にアクセスする際に知っておくべき「ユーザー認証」について紹介します。
管理共有で別の端末にアクセスしようとすると、通常はユーザー名とパスワードの入力画面が表示されます。
その端末のログインユーザー名とパスワードを知らないとアクセスすることはできません。
Active Directory環境の場合で、接続元端末にログインしているユーザーがADの「Domain Admins」グループに所属している場合は、ユーザー名、パスワードを問われることなく接続先端末にアクセスすることができます。
※厳密には端末がドメインに参加した際にローカルのAdministratorsグループに追加され、その権限が使われる。
上記以外の場合は認証画面が表示されてその端末のユーザーとして認証をパスする必要があります。
管理共有に接続して拒否される場合は
管理共有にアクセスし、適切な認証情報を入力しても「アクセスが拒否されました」と表示されて接続できないケースがあります。
その場合は主に以下が原因の可能性があります。
UACが有効になっている
ローカルのAdministratorsグループ権限を使えない場合は、接続先端末のUACが有効になっていると、管理共有を指定しても接続が拒否されます。
そのため、UACを無効化することで接続できるようになります。
無効化方法は以下のように三通りあります。
- 「ユーザーアカウント制御の設定」から変更する
- レジストリから変更する
- グループポリシーから変更する
変更方法についてはインターネットで検索すればいくらでも情報は出てくるため、当記事では割愛致します。
少なくても管理者権限を奪取されない限り、UACが有ることで、リモートでの不正なプログラム実行を防いだり、管理共用を悪用した不正アクセスから守ってくれます。
もしUACを無効にする場合でも、あくまで一時的な処置として実施するようにしてください。
Windows ファイアーウォールでブロックしている
Windowsファイアーウォールで関連する通信をブロックしていると管理共有であっても接続できません。
具体的にはファイアーウォールの「例外設定」で、「ファイルとプリンターの共有」を許可します。
最後に
今回の記事では、システム管理者なら是非活用したい「管理共有」について紹介させていただきました。
システム管理者は、社内のユーザーが使用しているパソコンや、業務で使用している各サーバーに対してネットワーク越しに接続して作業をすることも多く、もし管理共有を利用できない場合は、軽微なファイルの受け渡しであってもリモートデスクトップで接続することが必要になったり、共有フォルダをわざわざ作成することなったりと、非常に非効率です。
管理共有を活用するためには、接続先端末に対しても管理者権限が必要になったり、UACの無効化やファイアーウォールの設定変更などが必要になる場合もあり、環境によっては手間もありますが、自社のセキュリティポリシーの許す範囲で上手く活用して頂ければと思います。
因みに、私は主に日常で発生するサーバー間でのファイルの受け渡しや、自端末からサーバーへ接続したうえでのバッチファイルを直接修正したり、ログファイルを開いて確認するなど様々な状況で活用しております。
また、ファイル転送が必要なバッチ処理などでは、共有フォルダを用意せず、管理共有のパスを指定して処理を実装するといった部分でも利用しています。
今回の記事をきっかけに、是非この便利な「管理共有」をご自身のお仕事でも役立てていただければ幸いです。
今回も記事を読んでいただきましてありがとうございました。
それでは皆さまごきげんよう!
