Windows Server 2025 最初にすること(1)

Windows Server 2025を構築するときに、最初にしておくべきことをメモっています。

ここでは、下記の5つのことを実施しています。

(1) ローカル標準ユーザーの作成
(2) ローカル管理者の作成
(3) ビルトインされたローカル管理者の名前変更
(4) サインイン時のユーザー名を表示しない
(5) 最後のサインイン時のユーザー名を表示しない

  1. ローカルユーザー作成
    1. [Win]+[R]キーを同時に押下して「ファイル名を指定して実行」の画面で、名前のテキスト欄に「lsurmgr.msc」を入力し、[OK]ボタンを左クリックします。
    2. 左ペインの「ローカル ユーザーとグループ(ローカル)」-「ユーザー」を右クリックし、「新しいユーザー」を左クリックします。
    3. ローカル標準ユーザーを作成します。ユーザー名と説明のテキスト欄に入力し、パスワードを設定します。基本的には利用者には公開しないため、 ■ ユーザーはパスワードを変更できない ■ パスワードを無期限にするにチェックを入れて、[作成]ボタンを左クリックします。
    4. ローカル管理者を作成します。ユーザー名と説明のテキスト欄に入力し、パスワードを設定します。基本的には利用者には公開しないため、 ■ ユーザーはパスワードを変更できない ■ パスワードを無期限にするにチェックを入れます。
    5. ユーザーは、ローカル標準ユーザーとローカル管理者を作成しました。[閉じる]ボタンを左クリックします。
    6. 作成したローカル管理者を管理グループにするため、中央ペインにあるローカル管理者を選択し右クリックで表示される「プロパティ」を左クリックします。
    7. 「所属するグループ」タブを選択して、[追加]ボタンを左クリックします。
    8. 「選択するオブジェクトを入力してください」のテキスト欄に「Administrators」を入力し、[名前の確認]ボタンを左クリックします。
    9. [OK]ボタンを左クリックします。
    10. 「所属するグループ」に「Administrators」が表示されていることを確認し、「Users」を選択して、[削除]ボタンを左クリックします。
    11. 「所属するグループ」に「Administrators」が表示されていることを確認して、[OK]ボタンを左クリックします。
    12. ビルトインされている「Administrator」を右クリックし、「名前の変更」を選択します。
    13. ビルトインされている「Administrator」から別の名前に変更します。ここでは、「Admin」とか類推できるものにしていますが、類推できない名前に変更して通常の運用では使用せず、本当の緊急用にしてしまいましょう。
    14. メニューバーより「ファイル」-「終了」を選択します。
  2. ローカルグループポリシーの設定変更
    1. [Win]+[R]キーを同時に押下して「ファイル名を指定して実行」の画面で、名前のテキスト欄に「gpedit.msc」を入力し、[OK]ボタンを左クリックします。
    2. 左ペインのツリーより、「ローカル コンピューター ポリシー」-「コンピューターの構成」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」-「セキュリティ オプション」を選択し、右ペインの「対話型ログオン:サインイン時にユーザーを表示しない」を選択します。
    3. 「有効」を選択し、[OK]ボタンを左クリックします。
    4. 右ペインの「対話型ログオン:サインイン時にユーザー名を表示しない」が「有効」になっていることを確認します。
    5. 同じく、右ペインの「対話型ログオン:最後にサインインしたユーザーを表示しない」を選択します。
    6. 「有効」を選択し、[OK]ボタンを左クリックします。
    7. 右ペインの「対話型ログオン:最後にサインインしたユーザーを表示しない」が「有効」になっていることを確認します。
    8. メニューバーより、「ファイル」-「終了」を選択します。

ローカルユーザー作成

Windows Serverを利用するときは、ほとんどの場合、AD(Active Directory)のドメインに参加させて利用することになりますが、緊急用としてローカル(自サーバー)ユーザーも用意しておきます。

ユーザー名やパスワードは、基本的には、通常利用者に公開しないことが前提となります。

[Win]+[R]キーを同時に押下して「ファイル名を指定して実行」の画面で、名前のテキスト欄に「lsurmgr.msc」を入力し、[OK]ボタンを左クリックします。

左ペインの「ローカル ユーザーとグループ(ローカル)」-「ユーザー」を右クリックし、「新しいユーザー」を左クリックします。

ローカル標準ユーザーを作成します。ユーザー名と説明のテキスト欄に入力し、パスワードを設定します。基本的には利用者には公開しないため、 ■ ユーザーはパスワードを変更できない ■ パスワードを無期限にするにチェックを入れて、[作成]ボタンを左クリックします。

※ ユーザー名とパスワードは類推できないものが良いでしょう。

ローカル管理者を作成します。ユーザー名と説明のテキスト欄に入力し、パスワードを設定します。基本的には利用者には公開しないため、 ■ ユーザーはパスワードを変更できない ■ パスワードを無期限にするにチェックを入れます。

※ ユーザー名とパスワードは類推できないものが良いでしょう。

ユーザーは、ローカル標準ユーザーとローカル管理者を作成しました。[閉じる]ボタンを左クリックします。

作成したローカル管理者を管理グループにするため、中央ペインにあるローカル管理者を選択し右クリックで表示される「プロパティ」を左クリックします。

「所属するグループ」タブを選択して、[追加]ボタンを左クリックします。

「選択するオブジェクトを入力してください」のテキスト欄に「Administrators」を入力し、[名前の確認]ボタンを左クリックします。

[OK]ボタンを左クリックします。

「所属するグループ」に「Administrators」が表示されていることを確認し、「Users」を選択して、[削除]ボタンを左クリックします。

「所属するグループ」に「Administrators」が表示されていることを確認して、[OK]ボタンを左クリックします。

ビルトインされている「Administrator」を右クリックし、「名前の変更」を選択します。

ビルトインされている「Administrator」から別の名前に変更します。ここでは、「Admin」とか類推できるものにしていますが、類推できない名前に変更して通常の運用では使用せず、本当の緊急用にしてしまいましょう。

メニューバーより「ファイル」-「終了」を選択します。

ローカルグループポリシーの設定変更

ログイン画面に、ユーザー名も表示させない様にするため、ローカルグループポリシーの変更もしておきます。

[Win]+[R]キーを同時に押下して「ファイル名を指定して実行」の画面で、名前のテキスト欄に「gpedit.msc」を入力し、[OK]ボタンを左クリックします。

左ペインのツリーより、「ローカル コンピューター ポリシー」-「コンピューターの構成」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」-「セキュリティ オプション」を選択し、右ペインの「対話型ログオン:サインイン時にユーザーを表示しない」を選択します。

「有効」を選択し、[OK]ボタンを左クリックします。

右ペインの「対話型ログオン:サインイン時にユーザー名を表示しない」が「有効」になっていることを確認します。

同じく、右ペインの「対話型ログオン:最後にサインインしたユーザーを表示しない」を選択します。

「有効」を選択し、[OK]ボタンを左クリックします。

右ペインの「対話型ログオン:最後にサインインしたユーザーを表示しない」が「有効」になっていることを確認します。

メニューバーより、「ファイル」-「終了」を選択します。

タイトルとURLをコピーしました