[コントロールパネル]に[プログラムの追加と削除](Windows XP および Windows Server 2003 の場合)または[アプリケーションの追加と削除](Windows 2000 の場合)を表示させないようにすることができる。
実際には以下の手順を実行する。
| 1. | グループポリシーエディタで任意のグループポリシーコンソールを起動する | |
| 2. | 左ペインから以下のポリシーを開く | |
| [ユーザーの構成]→[管理用テンプレート]→[コントロールパネル]→[プログラムの追加と削除](または[アプリケーションの追加と削除]) | ||
| 3. | 右ペインから[[プログラムの追加と削除]を削除する]ポリシー(または[[アプリケーションの追加と削除]を無効にする]ポリシー)をダブルクリックする | |
| 4. | プロパティダイアログの[設定]タブ(または[ポリシー]タブ)で[有効]を選択し、[OK]ボタンをクリックする | |
| 5. | グループポリシーを更新する | |
[マイネットワーク]または[ネットワークコンピュータ]等、ワークグループ上のコンピュータの一覧に特定のコンピュータを表示させないようにすることができる。
表示させたくないコンピュータ上で以下のコマンドを実行する。
net config server /hidden:yes
表示させないように設定していたコンピュータを逆に表示させたい場合は、「yes」の代わりに「no」を指定して上記コマンドを実行する。
【参照】 @IT
Windows FAQ.
コンピュータへのログオン時のセキュリティポリシーの適用に時間がかかる場合がある。このとき、「セキュリティポリシーを適用しています。」と表示された状態がしばらく続く。
これは、ログオン時にセキュリティポリシーの適用を行っているためであるが、グループポリシーが頻繁に変更されるような環境でなければ、以下の設定でコンピュータの起動時やログオン時にポリシーの適用の同期を行わないようにし、起動時間を短縮することができる。
| 1. | レジストリエディタを起動する | ||||||||||
| 2. | 左ペインから以下のキーを開く | ||||||||||
| HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Policies¥System | |||||||||||
| 3. | 配下に以下の2つのエントリを作成する | ||||||||||
| (1) |
|
||||||||||
| (2) |
|
||||||||||
| 4. | レジストリエディタを閉じ、システムを再起動する | ||||||||||
※ レジストリ操作は自己責任の範囲下において操作願います。
なお、Windows XP コンピュータでは標準で「コンピュータの起動およびログオンで常にネットワークを待つ」ポリシーが構成されていないため、ネットワークの確立とポリシーの適用を待たずにログオン処理が完了する。このため、上記の設定を行う必要はない。
【参照】 Windows FAQ.
MMC(Microsoft 管理コンソール)が開けなくなる場合がある。このとき、以下のようなメッセージが表示される。
| Microsoft 管理コンソール |
| 一時的なディレクトリがないか、または十分なディスク領域がありません。 |
MMC または任意の MMC スナップイン(.msc ファイル)を開くとき、一時ファイルが一時フォルダに作成される。一時フォルダは環境変数で「TMP」および「TEMP」フォルダに定義されている。変数で定義されたボリュームやフォルダにアクセスできない場合や容量がいっぱいである場合、もしくは割り当てられたディスククォータを超える場合、このエラーメッセージが表示される。
この問題を解決するには、以下の操作を行う。
| 1. | [マイコンピュータ]を右クリックし、[プロパティ]を開く |
| 2. | [システムのプロパティ]ダイアログで[詳細]タブを開き、[環境変数]ボタンをクリックする |
| 3. | [環境変数]ダイアログでアクセス可能な有効なフォルダを指定するように「TMP」および「TEMP」のすべての環境変数を設定する |
| 4. | [環境変数]ダイアログで[OK]ボタンをクリックする |
| 5. | 「TMP」および「TEMP」環境変数で使用されるフォルダへアクセスでき、空き領域が十分で、NTFS領域に存在する場合はクォータを超えていないことを確認する |
【参照】 マイクロソフト 技術情報 228141
グループポリシーの管理用テンプレートは管理用テンプレートファイル(.adm ファイル)のバージョンによって設定できる項目が異なる。古いバージョンでは最新の機能が使用できなかったり、オペレーションシステムに対応しなかったりする場合がある。最新の機能を使用するには、ファイルのバージョンを最新のものにする必要がある。
テンプレートファイルのバージョンは、.adm ファイルの更新日時で確認できる。
| 年 | 月 | OS/サービスパック |
|---|---|---|
| 2003 | 3 | Windows Server 2003 RTM |
| 2003 | 4 | Windows XP Service Pack 1a |
| 6 | Windows 2000 Service Pack 4 | |
| 2004 | 7 | Windows XP Service Pack 2 |
| 2005 | 3 | Windows Server 2003 Service Pack 1 |
| 2007 | 2 | Windows Server 2003 Service Pack 2 |
管理用テンプレートファイルをアップグレードするには、以下の2通りの方法がある。
| ・ | 明示的に .adm ファイルをアップグレードする |
| ・ | 新しいバージョンのコンピュータからグループポリシーオブジェクトを開く |
ここでは、古いバージョンの .adm ファイルが納められた(アップグレードしたい)コンピュータを (A)、新しいバージョンの .adm ファイルがあるコンピュータを (B) として扱う。
| 1. | (A) 上で目的の .adm ファイルを探す |
| 2. | 目的の .adm ファイルを (A) から (B) にコピーする |
| 3. | (B) 上でグループポリシーエディタを使用して任意のグループポリシーコンソールを起動する |
| 4. | [コンピュータの構成]または[ユーザーの構成]内の[管理用テンプレート]を右クリックし、[テンプレートの追加と削除]を選択する |
| 5. | [テンプレートの追加と削除]ダイアログで[追加]ボタンをクリックする |
| 6. | [ポリシーテンプレート]ダイアログで、手順 2. でコピーした新しいバージョンの .adm ファイルを指定し、[開く]ボタンをクリックする |
| 7. | 複数の種類の .adm ファイルを追加する場合は、この手順を繰り返す |
(B) のグループポリシーエディタで (A) 上に格納されたグループポリシーオブジェクトを開くと、(B) の .adm のバージョンに自動的にアップグレードされる。
例)Windows XP SP2 コンピュータ上のグループポリシーエディタで Windows Server 2003 RTM のドメインセキュリティポリシーを開くと、テンプレートファイルが Windows XP SP2 のバージョンにアップグレードされる。
【参照】 マイクロソフト Windows XP
@IT
管理用テンプレートファイル(.adm ファイル)とは、グループポリシースナップインのコンソールツリー内における、管理用テンプレートフィルだ以下のアイテムのポリシー情報を提供するファイルである。
Windows に標準で用意されている管理用テンプレートファイルには以下の種類がある。なお、.admファイルは通常、%systemroot%¥inf ディレクトリ内に格納されている。
| System.adm | システム一般用 |
| Wmplayer.adm | Windows Media Player 用 |
| Conf.adm | NetMeeting 会議ソフトウェア用 |
| Inetres.adm | Internet Explorer 用 |
| Wuau.adm | 自動更新(Automatic Updates)用 |
上記の他、Office など個別に管理用テンプレートファイルを用意しているアプリケーションも存在する。
【参照】 マイクロソフト Windows XP
@IT
Windows XP Professional および Windows Server 2003、Windows Vista コンピュータでは、Administrator を含めてすべてのローカルユーザーアカウントを無効にすることができる。この状態でログオフすると、どのアカウントでもログオンできなくなる。
すべてのユーザーアカウントを無効にした場合でも、コンピュータをセーフモードで起動すると、Administrator アカウントの無効状態が一時的に解除され、ログオンできるようになる。
【参照】 Windows FAQ.
補足Windows XP または Windows Server 2003 コンピュータで、コンピュータ名と同じ名前のローカルユーザーアカウントを作成しようとしてもできない場合がある。このとき、以下のいずれかのメッセージが表示される。
| ユーザーアカウント |
| ユーザー名はコンピュータ名と同じにできません。別の名前を入力してください。 |
| ローカルユーザーとグループ |
| ユーザー名はコンピュータ名コンピュータ名と同じではない可能性があります。 |
| ローカルユーザーとグループ |
| コンピュータ名コンピュータ名と同じ名前をユーザー名に使用することはできません。 |
コンピュータ名と同じ名前を持つユーザーアカウントは作成できない仕様になっている。NetBIOS 名の登録情報を参照するプログラムで起こりうる問題を回避するために、このチェック機能が実装されている。このようなプログラムは、ワークステーションの Server サービスを表す「20 NetBIOS」エントリではなく、誤って「03 NetBIOS」エントリ(この場合はユーザーによって登録されるエントリ)を参照する可能性がある。このようなエラーが発生した場合、プログラムは正常に機能しない。
この問題を回避するには、コンピュータ名をユーザーアカウントの名前に使用しないようにする。
【参照】 マイクロソフト 技術情報 310845
補足Windows XP および Windows Server 2003 では、既定でエラー報告機能が有効になっており、重大なエラーが発生した場合に以下のようなダイアログが表示され、エラーを報告するように促される。
| 問題が発生したため、アプリケーション名を終了します。ご不便をおかけして申し訳ありません。
作業途中であった場合、その情報は失われた可能性があります。 この情報を Microsoft に報告してください。 弊社に送信するためのエラー報告が作成されました。弊社では、この報告を匿名の機密情報として扱います。 エラー報告に含まれるデータの参照: ここをクリックしてください。 |
エラー報告機能を無効にするには、以下の手順で操作する。
| 1. | [マイコンピュータ]を右クリックし、[プロパティ]を開く |
| 2. | [システムのプロパティ]ダイアログで[詳細設定]タブを開く |
| 3. | [エラー報告]ボタンをクリックする |
| 4. | [エラー報告]ダイアログで[エラー報告を無効にする]を選択する |
| 5. | 重大なエラーの通知を受信したくない場合は、[重大なエラーが発生した場合は通知する]オプションを無効にする |
| 6. | [エラー報告]ダイアログで[OK]ボタンをクリックする |
【参照】 マイクロソフト 技術情報 879148
@IT
Windows XP コンピュータ上に「SharedDocs」という名前の共有が作成されている場合がある。
ワークグループ環境下の Windows XP コンピュータ上で「ネットワークセットアップウィザード」を使用してファイルとプリンタの共有を有効にするように設定すると、C:¥Documents and Settings¥All Users¥Documents フォルダ([マイコンピュータ]内では[共有ドキュメント]の名前で表示されるフォルダ)が、共有名「SharedDocs」として自動的に共有される。一度共有されると、たとえドメイン環境へ変更した場合であっても、手動で共有設定を解除しない限り自動的に解除されることはない。
複数のユーザー間で共有して使用するドキュメント等を格納する目的で作成されるものと思われるが、手動で作成した共有の既定の設定と比較するとアクセス権の設定も緩めに設定されており、セキュリティ上のリスクとなりかねない。特別の理由がない限り解除した方が望ましいといえる。
Windows XP Professional および Windows Server 2003 では、コンピュータおよびユーザーに対して有効になっているポリシーを確認するためのツールとして「ポリシーの結果セット(RSoP)」が用意されている。
RSoP には以下の2つのモードが存在する。
| ・ | 計画モード … ポリシー適用前にポリシーセットの影響をシミュレートする |
| ・ | ログモード … ポリシー適用後の現在のポリシー設定状況を確認する |
このツールを操作するには、以下のいずれかの手順で操作する。ここでは、ログモードで既存のコンピュータとユーザーの RSoP データを参照する方法を取り上げる。
| 1. | [スタート]→[ファイル名を指定して実行]を開く |
| 2. | [名前]ボックスに「rsop.msc」と入力し、[OK]ボタンをクリックする |
| 3. | 現在のコンピュータおよびユーザーの RSoP データが収集される |
| 1. | [スタート]→[ファイル名を指定して実行]を開く |
| 2. | [名前]ボックスに「mmc」と入力し、[OK]ボタンをクリックする |
| 3. | [ファイル]メニューから[スナップインの追加と削除]を開く |
| 4. | [スナップインの追加と削除]ダイアログの[スタンドアロン]タブで[追加]ボタンをクリックする |
| 5. | [スタンドアロンスナップインの追加]ダイアログの[利用できるスタンドアロンスナップイン]ボックスから[ポリシーの結果セット]を選択し、[追加]ボタンをクリックする |
| 6. | [スタンドアロンスナップインの追加]ダイアログで[閉じる]ボタンをクリックする |
| 7. | [スナップインの追加と削除]ダイアログで[OK]ボタンをクリックする |
| 8. | RSoP スナップイン(コンソールルート)の右ペインから[ポリシーの結果セット]アイコンを右クリックし、[RSoP データの生成]を選択する |
| 9. | [ポリシーの結果セットウィザード]が起動したら[次へ]ボタンをクリックする |
| 10. | 「モードの選択」画面で[ログモード]を選択し、[次へ]ボタンをクリックする |
| 11. | 「コンピュータの選択」画面で RSoP を実行するコンピュータを指定して、[次へ]ボタンをクリックする |
| 12. | 「ユーザー選択」画面で RSoP データを収集するユーザーを指定して、[次へ]ボタンをクリックする |
| 13. | 「選択の要約」画面で設定内容を確認して、[次へ]ボタンをクリックする |
| 14. | RSoP データ処理が完了したら[完了]ボタンをクリックする |
タイムサーバーに時刻を同期させても、時刻が9時間ずれる場合がある。場合によっては、システム時計は正常な時刻を示しているにもかかわらず、特定のアプリケーションで使用される時刻がシステム時計と9時間ずれることもある。
この問題は、タイムゾーンのレジストリ値が書き換えられている場合に発生することがある。例えば、「驚速」等のアプリケーションを使用している場合に発生することが確認されている。
以下の手順でレジストリ値を確認、変更する。
| 1. | レジストリエディタを起動する | ||||||||
| 2. | 左ペインから以下のキーを開く | ||||||||
| HKEY_LOCAL_MACHINE¥SYSTEM¥ControlSet001¥Control¥TimeZoneInfomation | |||||||||
| 3. | 右ペインで以下の各エントリの値を確認し、下記の値が設定されていない場合はこの通りに変更する | ||||||||
|
|||||||||
| 4. | レジストリエディタを閉じ、システムを再起動する |
※ レジストリ操作は自己責任の範囲下において操作願います。
【参照】 マイクロソフト 技術情報 882357
Windows XP コンピュータに Service Pack 2(SP2)をインストールすると、Computer Browser サービスが起動しなくなる場合がある。
Windows XP Service Pack 2 以降または Windows Server 2003 において、Windows ファイアウォールで「ファイルとプリンタ共有」で使用されるポートがブロックされると、ブラウザサービスは開始できなくなる。
以下の手順で「ファイルとプリンタ共有」で使用されるポートのブロックを解除する。
| 1. | [Windows ファイアウォール]コンソールを開く |
| 2. | [全般]タブで[有効(推奨)]が選択され、[例外を許可しない]にチェックが入っていないことを確認する |
| 3. | [例外]タブを開く |
| 4. | [ファイルとプリンタ共有]にチェックを入れ、[OK]ボタンをクリックする |
【参照】 マイクロソフト 技術情報 875362
Windows 2000/XP/2003 では、ドメインコントローラに接続できない場合でも、クライアントのローカルにキャッシュされた前回ログオン時の資格情報を利用してドメインにログオンすることができる。既定では最大 10 個の資格情報がキャッシュされる。このキャッシュ数を変更したり、あるいはキャッシュされたログオン自体を無効にすることができる。
| 1. | グループポリシーエディタで任意のグループポリシーコンソールを起動する | |
| 2. | 左ペインから以下のポリシーを開く | |
| [コンピュータの構成]→[Windows の設定]→[セキュリティの設定]→[ローカルポリシー]→[セキュリティオプション] | ||
| 3. | 右ペインから以下のポリシーをダブルクリックする | |
| ・ | Windows 2000 の場合: [ドメインコントローラが利用できない場合に使用する、前回ログオンのキャッシュ数] | |
| ・ | Windows XP/2003 の場合: [対話型ログオン: ドメインコントローラが利用できない場合に使用する、前回ログオンのキャッシュ数] | |
| 4. | ログオン数を設定する | |
| ※ | ローカルポリシーの場合、既定で「10 ログオン」が設定されている。 | |
| ※ | ローカルポリシー以外のグループポリシーオブジェクトでは既定で未定義になっているため、[このポリシーの設定を定義する]を有効にした上で、ログオン数を設定する | |
| ※ | 「0 ログオン」に設定すると、キャッシュされたログオンが無効になる。 | |
| 5. | [OK]ボタンをクリックする | |
| 6. | グループポリシーを更新する | |
【参照】 マイクロソフト TechNet
@IT
AT コマンドで設定したスケジュールを一旦[タスク]コンソール画面で開くと、その後は AT コマンドから参照できなくなる。
タスクスケジューラは AT コマンドの機能拡張版である。Windows 2000/XP/2003 では下位互換のため AT コマンドが残されているが、実際にはタスクスケジューラのサブセットの扱いとなる。
AT コマンドで設定したスケジュールは AT コマンド、およびタスクスケジューラのいずれからも参照できるが、一度タスクスケジューラで編集してしまうと、そのスケジュールはタスクスケジューラの機能にアップグレードされるため、AT コマンドからは参照できなくなる。また、最初からタスクスケジューラで設定したスケジュールも AT コマンドからは参照できない。
【参照】 @IT
Active Directory ドメインユーザーアカウントのドメインへのログオンの記録をとりたい場合、アカウントログオンの監査を設定する。
以下の方法でアカウントログオンの監査を有効にする。
| 1. | グループポリシーエディタで、ドメインコントローラに対してリンクされているグループポリシーオブジェクトのグループポリシーコンソールを起動する | |
| 2. | 左ペインから以下のポリシーを開く | |
| [コンピュータの構成]→[Windows の設定]→[セキュリティの設定]→[ローカルポリシー]→[監査ポリシー] | ||
| 3. | 右ペインで[アカウントログオンイベントの監査]ポリシーをダブルクリックする | |
| 4. | [アカウントログオンイベントの監査のプロパティ]ダイアログの[セキュリティポリシーの設定]タブで以下の設定を行い、[OK]ボタンをクリックする | |
| ・ | [これらのポリシーの設定を定義する]: チェックを入れる | |
| ・ | [成功]: ログオン成功時の監査を行いたい場合にチェックを入れる | |
| ・ | [失敗]: ログオン失敗時の監査を行いたい場合にチェックを入れる | |
| 5. | グループポリシーを更新する | |
[ディスクの管理]コンソール上でダイナミックボリュームの状態が「正常 (危険)」と表示される場合がある。
ダイナミックボリュームは現在アクセス可能だが、ボリュームが存在しているダイナミックディスクで I/O エラーが検出されていることを示す。ダイナミックディスクのいずれかの部分で I/O エラーが検出されると、そのディスク上のすべてのボリュームの状態が「正常 (危険)」となり、ボリューム上に警告アイコンが表示される。
ボリュームの状態が「正常 (危険)」となっている場合は、通常、そのボリュームが存在しているディスクの状態も「オンライン (エラー)」となっている。
| 1. | [マイコンピュータ]右クリック→[管理]を開く |
| 2. | [コンピュータの管理]コンソールの左ペインから[コンピュータの管理 (ローカル)]→[記憶域]→[ディスクの管理]を開く |
| 3. | 右ペインで「正常 (危険)」と表示されているディスクを右クリックし、[ディスクの再アクティブ化]を選択する |
上記の操作を行っても「正常 (危険)」状態が続く場合、ディスクに障害が発生している可能性がある。できるだけ早くデータをバックアップし、ディスクを置き換える。
【参照】 マイクロソフト TechNet
Windows XP コンピュータにおいて、[アカウントロックアウトポリシー]で設定した内容が正しく動作しない場合がある。このとき、[アカウントロックアウトのしきい値]で設定した値に達していないのにアカウントがロックアウトされてしまう。
[ようこそ]画面では、ユーザーのアイコンがクリックされた際にパスワードなしでログオンを試みるが、パスワードが設定されているために失敗し、そのパスワード入力を促すメッセージを表示する。そこで、ユーザーアイコンをクリックするたびに1回ログオンに失敗することになるため、[アカウントロックアウトのしきい値]に達していないのにアカウントのロックアウトが発生するように見える。
この現象を発生させないためには、[ようこそ]画面を使用せず、[Ctrl]+[Alt]+[Delete]キーを同時に2回押して通常のログオン画面を表示させ、この画面にユーザー名とパスワードを入力してログオンする。
【参照】 マイクロソフト 技術情報 913564
「Xcacls.vbs」というスクリプトを使用して、フォルダに設定された NTFS アクセス権について、一覧の参照、設定、変更などを行うことができる。
【参照】 マイクロソフト 技術情報 825751
Windows Server 2003 Service Pack 1(SP1)以降には、ネットワーク経由で共有フォルダにアクセスする場合に、アクセス権のないフォルダを非表示にする「Access-based Enumeration(ABE)」という機能がある。
通常は共有フォルダ内にアクセス権がないフォルダが存在する場合、すべてのフォルダが表示され、実際にクリックした段階でアクセスが拒否されるという動作になるが、ABE が有効になっている状態ではアクセス権のないフォルダは表示されません。
ABE には以下のような特徴がある。
| ・ | ABE はコンピュータ内に存在するすべての共有フォルダに対して、または個別の共有フォルダ単位で有効にすることができる。 |
| ・ | ABE は既定では無効になっており、有効にするにはマイクロソフトダウンロードセンターからツール(ABEUI.msi)をダウンロードする。ABEUI.msi ツールをインストールすると、インストールしたコンピュータ上では ABE を有効にするためのユーザーインターフェースが利用できる。また同時にインストールされるコマンド「ABECMD.exe」を利用すると、ドメイン内の他の Windows Server 2003 SP1 以降のコンピュータ上で ABE を有効にすることができる。従って、ABEUI.msi をすべてのコンピュータにインストーする必要はない。 |
| ・ | ABE を有効にした共有フォルダそのものは表示される。(「Shared」という共有フォルダに対して ABE を有効にすると Shared フォルダはアクセス権がなくても表示される。) |
| ・ | ドメイン環境でのみ有効。 |
| ・ | 対象クライアントの OS は Windows NT 4.0/2000/XP/2003 |
【参照】 @IT
この広告は90日以上新しい記事の投稿がないブログに表示されております。
