［Network］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ デフォルト共有（管理共有）を停止させる方法 → 解説をスキップして設定方法を読む 井上孝司 2003/04/26 　 対象OS Windows 2000 Professional Windows 2000 Server Windows 2000 Advanced Server Windows 2000 Datacenter Server Windows XP Professional

■ Windows NT／2000／XPでは、デフォルト共有、または管理共有と呼ばれる隠し共有フォルダが存在する。 ■ これは、コンピュータの集中管理などを目的とするもので、これにより管理者が利用するツールなどからのアクセスが可能になる。 ■ しかしミッション・クリティカルなコンピュータなどで安全性を高めたい場合には、デフォルトの管理共有をレジストリの変更によって停止させることができる。

　Windows NT系のOS、つまりWindows NT／2000／XPでは、OSのセットアップを完了した時点でファイル／プリンタ共有機能が動作しており、「デフォルト共有」あるいは「管理共有」と呼ばれる共有フォルダが自動的に作成され、Administratorsグループに所属するユーザー（管理者）だけがアクセス可能になっている（Windows XPでは、製品の種類や利用形態によって、作成されない場合がある。これについては後述）。

　管理共有では、共有名の末尾に「$」が付加されている。この場合、別のコンピュータからエクスプローラの［マイ ネットワーク］を表示したり、コマンドラインから「NET VIEW」コマンド（ネットワーク内のコンピュータを一覧する）を実行したりしても、共有資源一覧には表示されない。従って通常のユーザーが通常の方法で使っているかぎり、共有フォルダが存在するようには見えない、一種の「隠し共有フォルダ」になる。

　管理共有が存在するかどうかを確認するには、コマンド・プロンプトで「NET SHARE」コマンドを実行するか、［コンピュータの管理］管理ツールで共有資源の一覧を表示させる。自動作成される管理共有をまとめると、次のようになる。

共有されるディレクトリ	共有名	備考
ハードディスクのルート・ディレクトリ	ドライブ名＋"$"（例：C$、D$、E$…）	共有設定されるのはハードディスクのみ。そのほかのドライブは共有されない
%SystemRoot%	Admin$
デフォルトで作成される管理共有
デフォルトでは、各ドライブのルートと%SystemRoot%が、管理共有として公開されている。プリンタやFAXなどを公開している場合は、さらにいくつかの管理共有が作成されるし、ドメイン・コントローラでは、さらにSYSVOLやNETLOGONなどの管理共有も作成される。

デフォルト共有のプロパティ

Cドライブのルート・ディレクトリに設定されたデフォルト共有の情報を表示したところ。Windows NT／2000では最初から、Windows XP Professionalでは簡易ファイル共有を無効にすると、すべてのハードディスクのルートとWindowsのフォルダが管理用に共有設定され、Administratorsグループのメンバーだけがアクセス可能になる。

こちらを選択すれば、管理共有を停止させることが可能。 　 共有名の末尾に「$」が付いている場合には、一種の「隠し共有フォルダ」になり、ほかのコンピュータが通常の方法でブラウズしても表示されない。 　 コメントは、すべて「Default Share」と自動設定されている。 　 通常はこのボタンから共有フォルダのアクセス権を設定できるのだが、管理共有については、共有を維持したままで設定を変更することはできない（エラーが表示される）。

　Windows NTとWindows 2000では、すべての製品で、OSのセットアップが完了した時点で管理共有が自動作成される。それに対し、Windows XPでは、利用形態によって管理共有の有無が異なる。

　ドメインに参加した状態で運用されているWindows XP Professionalについては、Windows NT／2000と同様、管理共有が自動的に設定される。それに対し、ドメインに参加せずにワークグループ環境、あるいはスタンドアロンで運用されているWindows XP Professionalでは、初期設定では「簡易ファイル共有」が有効になっており、この状態では管理共有は作成されていない。

　簡易ファイル共有が有効になっている場合、エクスプローラで［ツール］−［オプション］を選択して、［表示］タブの［詳細設定］リストボックスにある「簡易ファイルの共有を使用する］チェック・ボックスをオフにすると、自動的にデフォルト共有が設定される（なお、Windows XP Home Editionでは、簡易ファイル共有しか利用できないため、通常の設定手順では、デフォルト共有が作成されることはない）。

　管理共有は、一握りの管理者が多くのコンピュータを管理するような場面で、遠隔管理を可能にするために用意されたものだ。管理共有を利用すると、管理者権限のあるユーザーに限ってハードディスクの内容に自由にアクセスできるため、例えば、ネットワーク経由でサーバやクライアントPCの任意のフォルダを参照できるので、状態を確認したり設定を変更したりできるようになる。ハードディスクの内容を調べて、インストールされているアプリケーション・ソフトの状況や、ファイルのバージョン情報を調べるなどが可能になるわけだ。

　例えば、マイクロソフトのシステム管理ソフトウェアであるSystems Management Server（SMS）やMicrosoft Operation Manager（MOM）などは、管理共有を利用して遠隔管理を実現している。

　このように、LANで運用されているサーバであれば、管理共有は便利な場合もある。しかし、インターネットに直結した状態で運用され、常に不正侵入の脅威にさらされているサーバでは、管理上の利便性が低下するとしても、管理共有などは禁止して、安全性を高めたいと考えるだろう（クラッカーは、管理共有の存在を知っている）。万一、管理者権限を持つユーザーのパスワードが不正侵入者に知られれば、すべてのハードディスクのルート・ディレクトリに接続した上で、自由にファイルの書き替えや破壊を行えてしまう。サブフォルダにリモート接続する場合と異なり、ルート・フォルダへの接続では、ディスク内のすべてのファイルやフォルダにアクセスできる。

　前述したとおり、共有のプロパティ画面で管理共有を停止させることもできるが、その後でServerサービスの再起動、あるいはコンピュータの再起動を行うと、再び自動的に管理共有が設定されてしまう。再起動などを行っても、常に管理共有を無効化するためには、別の対策が必要になる。

　管理共有を完全に停止させるには、以下のレジストリの値を変更する。

・キー： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Lanmanserver\parameters

　ここに、クライアント向けWindows（NT Workstation、2000 Professional、XP Professional）では「AutoShareWks」という値が、Server向けWindows（NT Server、2000 Server）では「AutoShareServer」という名前のDWORD値を新規作成し、値を「0」にする。値作成時の既定値が「0」なので、特に値は指定しなくてよい。逆に、この値を「1」に設定すると、管理共有が作成されるようになる。

　ただしこうして管理共有を無効化すると、前挙のSMSやMOMなど、管理共有の存在を前提としているソフトウェアは正しく動作しなくなる可能性があるということに注意が必要である。基本的に管理共有の意図的な無効化は、インターネット向けのサーバなどが主な対象になるだろう。

この記事と関連性の高い別のWindows TIPS 簡易ファイルの共有機能を利用する コマンド・プロンプトでファイル共有を管理する 共有ファイルを現在使用しているユーザーを特定する方法 permcopyコマンドで共有フォルダのアクセス権をコピーする 共有フォルダのショートカット アイコンを［マイ ネットワーク］に追加しないようにする方法 WSHでログオン時に共有フォルダを設定する レガシーWindowsからはアクセスできない共有リソースを作成する 共有フォルダの自動検索をオフにする このリストは、（株）デジタルアドバンテージが開発した 自動関連記事探索システム Jigsaw（ジグソー） により自動抽出したものです。 generated by

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード