ほとんどのネットワーク環境では，ユーザーがローカルAdministratorにアクセスできないようにしておく方がセキュリティ上，安全である。そうしなければ，あるユーザーがそのアカウントを使ってログオンし，権限がないはずの変更をシステムに加えたり，ネットワーク上にある本来権限がないリソースへアクセスしたりする可能性がある。

　よく使われるシナリオは，1人のユーザーに対して，彼または彼女が作業をするのに必要なアクセス権限だけを持たせるものである。各マシンのローカルAdministratorのパスワードは，管理者権限のないユーザーには分からないように，設定方法を決めておく方がよい。複数のドメイン環境では，ローカルAdministratorのパスワードに，ドメインごとに異なる値を割り当てるのもよい考えだ。また，定期的にローカルAdministratorのパスワードを変更するべきである。

AD環境以外でパスワードを
変更する2つの方法
　もし，あなたのネットワークに数百とか数千ものマシンがあるのなら，すべてのマシンにわたってパスワードを変更するのは大ごとになるはずだ。特にActive Directory（AD）を使っていない場合は大変だ。ある読者が最近，ADのない環境でこうした作業をするにはどうすべきかをメールで聞いてきた。2つアイデアが浮かぶ。ツールを使うか，スクリプトを使うかだ。

　ツールはサード・パーティ製のものがいくつか出回ってる。いくつかのネットワーク管理用パッケージの中に，パスワード変更ツールが提供されており，いくつかは直接その作業向けに作られている。私は以前に「DCPC」というツールを紹介したことがある。それは1つのネットワーク内のすべてのローカルAdministratorのパスワードを変更できるものだ。何人かは以前私に，それはフリーウエアで，しっかりした会社が出したものではないし，あまり使い勝手がよくないといっていたが，それは今でも入手できる（該当サイト）。

一番のお薦めツール「ハイエナ」
　もう1つ検討してみていいツールは「Hyena（ハイエナ）」だ。これは米SystemTools Softwareが提供している（該当サイト）。Hyenaは様々な仕事をこなすが，ネットワークを介して複数のマシンのローカルAdministratorのパスワードを変更する機能がある。私としてはそれがお買い得だと思う。同社のWebサイトによれば完全に機能する評価版をダウンロードできる（該当サイト）。きっとほかのソリューションも利用できるから，自分のニーズに合ったものを調べてみることだ。

　もし，単に数台のマシンのローカルAdministratorパスワードを変更するだけでよいなら，「Microsoft Windows 2000 Resource Kit」に入っている「cusrmgr.exe」を使ってみてはどうか（該当サイト）。このツールは，Windows 2000とWindows NTシステムの双方に使える。cusrmgr.exeに関しては，Microsoftの資料「Cusrmgr.exe ツールを使用して複数のコンピュータで管理者アカウントのパスワードを変更する方法」で詳細を調べられる（該当サイト）。

Perlのスクリプトに優れものがある
　スクリプトを使うのに抵抗がなければ『Windows &.NET Magazine』の寄稿者の1人，Dave Rothが開発した「Win32::AdminMisc」というPerlモジュールを試してみてはどうか（該当サイト）。『Windows &.NET Magazine』の記事「How to Manage Your Enterprise's Passwords the Easy Way」で，Win32::AdminMiscを使ってローカルAdministratorのパスワードを管理する方法を解説している（該当サイト）。この記事は，解説のほか必要に応じて修正できるPerlのソース・コードも掲載している。

　あなたが何かツールまたはスクリプトを使うときには，パスワードがクリア・テキストとしてネットワーク上を流れるかもしれないこと，つまりだれかがパケット・スニッファを使って，それらをキャッチする可能性があることに注意すべきだ。パスワード管理のソリューションはその可能性を考慮して選ぼう。