Windowsのドメインとワークグループ(Workgroup)の違い

ワークグループかドメインを確認する画面 Windows
2019.08.06

どうも元大雑把SEのヤスユキです。

今回はよくドメイン、ワークグループって聞くけど、どう違うのという方向けにWindowsパソコンにおけるドメインとワークグループの違いについて紹介します。

この記事を見ていただければドメインとワークグループの違いについてそれとなく理解してもらえるのではないかと思いますので、ぜひ一読してみてください。

スポンサーリンク

ドメインかワークグループの確認方法

最初にお伝えすると、家で使用しているパソコンは99パーセントがワークグループです。会社で使用しているパソコンのほとんどがドメインのパソコンでしょう。

ワークグループからドメインに変更することを「ドメイン参加」と言うのですが、ドメインコントローラーがあるサーバー(Active Directory サーバー)が構築済みで、そのサーバーに対してドメイン参加を行う必要があるからです。

実際に使用しているパソコンが、ワークグループなのかドメインに参加しているパソコンなのかは、以下の設定で確認することができます。

  1. デスクトップ左下にある[Windows マーク]を右クリック
  2. 開いたメニューから[システム]をクリック
  3. 設定アプリが開くので、右上にある[システム情報]をクリック
所属しているワークグループを確認する画面

あなたが管理者権限を持つユーザーでログインしている場合は、以下の操作をするともう少しわかりやすいかもしれません。

  1. 「コンピューター名、ドメインおよびワークグループの設定」欄にある[設定の変更]をクリック
  2. 「システムのプロパティ」画面が開くので、[コンピューター名]タブが選択された状態で、[変更]をクリック
  3. 「所属するグループ」欄にある、[ドメイン]または、[ワークグループ]のどちらが選択されているかを確認
所属するグループがワークグループかドメインかを確認する画面

いかがでしたでしょうか。実際に確認してみるとあなたが使用しているパソコンがどちらであるかを確認できます。

何もしなければワークグループ

ワークグループからドメインに変更することを「ドメイン参加」と書いたのですが、なにもしなければワークグループです。

そもそもワークグループとドメインの違いは、ドメインに参加していないか、参加しているかの違いになります。

ドメイン参加することのメリット

ドメイン参加する目的は、管理者(システム担当者)が、複数台のパソコンをまとめてActive Directry (AD) サーバー上から管理することが目的です。

では、何ができることがメリットなのかというと、以下に箇条書きで書きます。

  • サーバー上に作成されているドメインユーザーが、どのパソコンからでもログインできる
  • グループポリシーを使用して、パソコンに対して一括で設定を行うことができる
  • ファイルサーバーへの細かいアクセス権の設定が容易になる

目的が複数台のパソコンの管理が目的なので、管理しやすいことがメリットです。

次からはそれぞれのメリットについて紹介していきます。

ドメインユーザーはどのパソコンからもログインできる

ワークグループのパソコンに対しては、あらかじめユーザーを作成しておかなければ、ログインすることができません。つまりローカルユーザーでしかログインすることができません。

それに対して、ドメイン参加しているドメインのパソコンは、あらかじめパソコンに対してユーザーを作成していないユーザーでもログインすることが可能です。ただし、この時は注意が必要でADサーバー上にあらかじめドメインユーザーを作成しておく必要があります。

ここまででローカルユーザードメインユーザーという2種類のユーザーを説明しましたが、ローカルユーザーは、パソコン毎に作成するユーザーです。ドメインユーザーは、ADサーバー上に作成するユーザーになります。

管理者視点だと、各コンピューターを起動してローカルユーザーを作成するのは手間ですが、サーバー上にドメインユーザーを追加するほうが手間がかからないし、管理も容易です。

なので、管理者としてはパソコンをドメイン参加させて使用させる方が管理が容易になります。

パソコンに対して一括で設定を行うことができる

ドメイン参加しているパソコンに対しては、ADサーバー上からグループポリシーを使用して、一括で設定を管理、強制することが可能です。

ADサーバーでそれぞれ部署毎、雇用形態毎、地域毎、OSのバージョン毎などで分けて設定することも可能なため、上手く使用すればとても管理が容易になります。

少なくともワークグループの端末で、わざわざ現地の人に設定してもらい、わからないことがあれば問い合わせが来るような手間や、リモート接続してパソコン毎に設定する必要がなくなります。
 ※リモート接続の場合は、リモートから接続できるような環境が必要になります。

ドメインに参加しているパソコンに対して、ADサーバー側で一括で設定できることはかなりのメリットかなと思います。グループポリシーで用意されている設定以外にも、ドメイン参加しているパソコンに対して、スクリプトを実行させることもできるので、スクリプトでできる内容であればなんでも設定が可能となります。

ファイルサーバーへの細かいアクセス権の設定できる

ファイルサーバーへの細かいアクセス権の設定が容易になります。例えば、あるファイルサーバーにあるフォルダは、役員以上のユーザーにしかアクセスできないようにしたり、正社員以外見れないフォルダにしたり、逆に組織に属しているパソコン(ドメイン参加しているパソコン)であればだれでも見れるようにするフォルダをファイルサーバーに作成するのが容易になります。

ただし、ADサーバー上に役職毎、部署毎、雇用形態毎にOU(Organizational Unit)を作成してあり、正しく管理されていることが前提となりますが

正しく管理することで、ファイルサーバーのフォルダに対して細かい設定が容易になります。また、役員だけがアクセスするフォルダに対して庶務の方がアクセスに必要な場合は、その人だけアクセスを付与するということも可能になります。

適切なアクセス権を設定することで見せたくないファイルがある場合に、見せたくないユーザーをアクセスできないように管理者が管理することが可能となります。

まとめ

いままで書いてきた内容をまとめますと、

  • ドメインサーバーは、ADサーバーで構築する
  • ドメインサーバーにドメイン参加しているパソコンがドメイン
  • ドメイン参加していないパソコンがワークグループ
  • ドメインのパソコンに対しては、ドメインユーザーでログインできる
  • ドメインのパソコンに対しては、ADサーバーから一括で設定することができる
  • ADサーバーで、細かいアクセス権の設定ができる

ADサーバーで管理することで、管理者の負担が減るため、大体の企業で使用されています。その目的はというと、管理の容易であることが挙げられます。

そもそも、大規模な組織だとADサーバーがないとパソコンの管理やアクセス権の管理ができないので、企業のパソコンは基本的にドメインのパソコンになります。

ドメインとワークグループの違いについては以上となります。
最後までお読みいただきましてありがとうございます。

コメント

タイトルとURLをコピーしました