Category: Windows Server 2008

Windows 7 で使用する GPO(グループポリシー)をスターター GPO として Windows Server 2008 で作成し、一定時間の未使用でスクリーンロックがかかるように設定する

1

Windows 7 で快適な生活を送っているけれども、これから企業やヘビーユーザーなどがどんどん Windows 7 を使い始めてくると思う。この際にだいたいにして問題となるのは、ユーザーが勝手な行動をとってしまったばっかりに、IT 管理者の手間が増えてしまう、というもの。

これに対抗するために、いろいろな企業ではグループポリシーをあらかじめ設定しておいて、一元的に「できる、できない」を管理している会社も多いと思う。今回は、このグループポリシーのひな形ともいえる、スターター GPO を作成、使用してそのポリシーを Windows 7 に適応するまでの流れを解説したい。

強化された Windows Server 2008 の Active Directory サービス

こちらのサイトでも書かれているように、Windows Server 2008 になって大きく変わったものの 1 つに、ポリシーの項目数がある。Windows Server 2003 と Windows XP のころには 1600 超だったものが、Windows Server 2008 と Windows Vista では約 2700 項目に増えた。

このため、各機能ごとに設定できる数は増えているけれども、管理が煩雑になりがちになってしまった。これを防ぐために導入されたのがスターター GPO だ。いくつかの定義済み項目をスターター GPO として登録しておけば、新しくグループ・ポリシーを作成する際にテンプレートとして選択可能になり、同様の作業を繰り返さずに済むようになる。

スターター GPO の作成

2

グループポリシーの管理を立ち上げて、自分のドメインをクリックして掘り下げていくと、スターター GPO の項目が顔を出す。

3

スターター GPO を選択して、右クリックで作成を選択。

4

名前を入れる項目が出てくるので、好きな名前を入れる(ここでは screen lock )。

6

するとスターター GPO が作成された。

作成したスターター GPO を編集する

先ほど作成したスターター GPO は、ただ存在するだけで、それ自体は何の意味も持たない。そこで、内容を一定時間の未使用でスクリーンロックがかかるように設定する。

6

ユーザーの構成を右クリックして、編集。

7

そうするとグループポリシースターターエディタが立ち上がる。

11

ここからは見やすいようにシャドウをかけています(笑)。ユーザーの構成から、管理用テンプレート、コントロールパネル、画面の順にクリックして降りていく。

そうすると、画面に関する項目が現れるので、ここで以下の項目を設定する。

  • スクリーンセーバーを使用する。
  • スクリーンセ-バーの実行ファイル名
  • スクリーンセーバーをパスワードで保護する
  • スクリーンセーバーのタイムアウト
12

多くの設定のほとんどは有効か無効化しかチェックするところがないけれども、スクリーンセーバーのファイル名を指定するところは、ファイル名の入力が筆意宇になる。

13

スクリーンセーバーが起動する起動時間を設定したところ。ここでは 15 分(900 秒)にしている。

14

以上でスターター GPO の設定が完了した。次はこれを適応するところに進む。

スターター GPO をドメインに適応する

Active Directory オブジェクト(例えば組織単位 OU)などに対して適応できるスターター GPO だけれども、ここではドメイン全体に対して適応してみたい。

9

適応させたいドメインを右クリックし、このドメインに GPO を作成し、このコンテナにリンクするをクリック。

するとどのスターター GPO を適応したいか聴いてくるので、先ほど作成した screen lock を選択する。

10

これで差規制したスターター GPO が適応されているのがわかる。

Windows 7 でポリシーの強制アップデートを行う

サーバーでの設定はこれで完了したのだけれども、クライアントの設定が終わっていない。一般的にはぎにログインしたユーザーからこのポリシーが適応になるのだが、ここでは強制的にアップデートを行うことにした。

15

gpupdate /force

16

これで先ほどのポリシーが適応された。

会社だけではなく、複数台の PC を所有しているなど、自宅に Active Directory があるユーザーは非常に使えるテクニックだと思うので、ぜひとも試してみて欲しい。

関連書籍

Tags: , , , , , ,

categories Windows 7, Windows Server 2008 | kenzo | datetime 2009 年 9 月 25 日 10:00 AM | comments コメント (0)

見る、知る、使う、IIS7 ( IISUGユーザーミーティング #01)に参加しました

1

IISユーザーグループ( IISUG)は、サーバーからコンテンツまでの幅広い話題を共有していくためのコミュニティ(参考ページ)。今回、IISUG運営委員長の小野さんと厚意にさせていただいている関係で、参加させていただきました。

今回のイベントの趣旨

IISUGとして初めてのイベントとして、最新の IIS7 を取り上げる IISUGユーザーミーティング。IIS7についての情報交換をする場として、また IISUGの活動を皆さんにお知らせするキックオフの意味も含めたミーティングになっていました。

ミーティングのスケジュール

-20090905132102

サイトからのコピペで恐縮ですが、今回のスケジュールは以下の通り。

13:00 – 13:30 : 受付
13:30 – 13:40 : IISユーザーグループのご紹介
13:40 – 14:30 : IIS7 での Web サイト共有サービス構築
14:30 – 14:40 : 休憩
14:40 – 15:30 : 書き換え被害を防げ! Web サーバーのセキュリティ対策の基礎
15:30 – 15:40 : 休憩
15:40 – 16:00 : [ Try! Step by Step] Server Core での IIS7 インストール
16:00 – 16:20 : [ Top of a Tech] Application Request Routing エクステンション
16:20 – 16:30 : クロージング & ディスカッション

参加して感じたこと 講演者のキャパシティの広さに感服

優秀だな~と感じたのは、ハンズオンセッション(実演)が多いにもかかわらず、進行がしっかりしていて、大きなスケジュールの乱れがなかったこと。

-20090905152532

また、参加者からの質問には原則すべて返答するというこうしたユーザーミーティングの大原則がきちんと守られていて非常に厚意が持てた。中にはオフレコで、という質問もあったけれども、そうした内容にも丁寧に解答していただいた講演者の方々はすごいと思った。

中には調べて解答する必要があるもの、その場で即答することが難しい内容もあったにもかかわらず、そうした質問者の方にはミーティングが終わった後でしっかりと名刺を渡しに行く姿をお見かけした。

こういう姿勢はとても大切だと思うし、実際に名刺をもらった参加者の方も、決して悪い印象を受けることはないと思う。

最近のこうしたカンファレンスに感じること

twitter
http://twitter.com/#search?q=%23IISUG

ミーティングが始まる際にも出てきたのが twitterのタグ決め。
twitterをやっている人は #IISUG で当日の様子がわかるけど、こうしたミーティングにもしっかりと twitterの文化が根付くようになった。

また、自分はミーティングの様子を HT-03Aのアプリ qikでリアルタイムストリーミングしていた(笑)。

もちろんオンデマンドで再生できるので、興味のある方は再生してみてください。

まとめ IIS7や Windows Serverに興味がある方へ

こうして始まった IISUG。
このページを見ている方で、 IISの設定や、Windows Serverに興味がある方はぜひとも IISUGのミーティングに参加してみてください。会社が主催するカンファレンスとちがって、ユーザーが参加して作り上げていく一体感や、アットホームでコアな話が聞けると思います。おすすめです。

1
http://iis.itadmin.jp

関連書籍

Tags: , , ,

categories IT, Windows Server 2008 | kenzo | datetime 2009 年 9 月 7 日 10:00 AM | comments コメント (0)

Microsoft IIS FTP 7.5をインストールし、パッシブモードで接続できるように設定する(レビュー)

11-01-41

みなさんは IIS6.0か IIS7.0の FTPサービスって使ってますか?

おそらくあまりにも使いづらく、また設定できる項目も多くないため、ほとんどの人はサードパーティー製のソフトを使っていると思う。

実はうちも同じような理由で、FTPは FreeBSDに ProFTPDを入れて使っていた。ところが今回、マイクロソフトから IIS FTP 7.5がリリースされ、その内容が十分に実用に耐えうると判断したのでインストールして、使用してみることにした。

サーバーOSは Windows Server 2008を用意し、Active Directoryにもちろん参加してある。この OS自体にはコンテンツを何も持たせておらず、他マシン(正確にはWindows Storage Server 2008上の)共有フォルダへアクセスするようにしている。よって、FTPユーザーの認証と各フォルダへのアクセス権制御は Active Directoryで行う。

それでは早速インストールしてみよう。

ソフトウエアのダウンロード

What Is New for Microsoft and FTP 7.5- - FTP 7 for IIS 7.0 - Publishing Content to Web Sites - The Official Microsoft IIS Site_1250009445112

IIS.netのサイトから、32bitか 64bit自分の環境に適合する物をダウンロードする。

ソフトウエアのインストール

11-07-11

ダウンロードしたソフトを早速実行する。次へを押下して、どんどん進める。

11-08-01

ところが、すでに FTPサービスが動いているとこのようにエラーになってしまうので、次にサーバーマネージャーを立ち上げて既存の FTPサービスを削除しなくてはいけない。

既存の FTPサービスのアンインストール

11-10-43

今回は FTPサービスのみアンインストールすることにする。他の物を消してしまうと、当然 IIS7.5が入らなくなってしまうので注意。

11-10-54 11-12-11

ソフトウエアのインストールの再開

11-29-46

これでようやく、インストールの続きができるようになるので、進める。すると、以前のエラーが何事もなかったかのように完了する。

Microsoft IIS FTP 7.5の設定

11-44-21

これが新しい管理画面。以前のように独立した管理コンソールではなく、サーバーマネージャーに統合された形となっている。

だから、リモートデスクトップなどの画面解像度が VGAだとけっこうつらい :-x

新しい FTPサイトを作成する

サイト → FTPサイトの追加

11-45-54

右クリックで設定していくだけなので、非常に簡単。

バインドと SSLの設定を行う

11-46-44

どの IPアドレスを割り当てるのか、ということと、SSLによる接続をどのように扱うか、という項目を設定する。特に何もなければ、SSLは無しでかまわない。

認証および承認の情報の設定を行う

11-47-02

ここでは認証をどのように扱うかと、承認をの権限に何を付与するかを扱う。今回は Active Directoryで認証するので、基本にチェックを付け、承認も書き込みと読み取りの両方にチェックを入れた。

完了

11-48-22

これでFTPサイトができあがった。

Passive(パッシブ)モードによる接続を許可する

FTPファイヤーウオールのポートの設定を行う

15-12-38

先ほどできあがったサイトをクリックして、そこに表示される FTPファイヤーウオールの設定アイコンをダブルクリック。パッシブモードで接続するポートレンジを指定する。(今回の場合だと5000-6000)

また、ファイヤーウオールの外部アドレス(グローバルアドレス)をここに設定する。

Windowsファイヤーウオールの設定を変更する

コマンドプロンプトから以下のコマンドを入力

netsh adv set global statefulFTP enable

FTPサービスを再起動する

17-25-32

ここに技あり! 8-O

実はここでハマった。何度設定しても PASVで接続できないので、何でだろうと思っていた。いろいろなところで調べた結果、サービスを明示的にリスタート(再起動)してやらないと、設定がうまく反映されないことが判明。

よってここで明示的に再起動する。

以上で設定が終わり。おそらく普通に接続できていると思う。

その他のスクリーンショット

Tags: , , , , , ,

categories WSS 2008, Windows Server 2008 | kenzo | datetime 2009 年 8 月 13 日 10:00 AM | comments コメント (1)

Windows Server 2008で Active DirectoryとDNSを構築、設定する

幸か不幸か、自宅の ADが一連の騒ぎによって吹っ飛んでしまった 8-O ので、せっかくだし再セットアップを行うことにした。ADは結構何度も設定しているので、それほど今となっては難しいこともないんだけど、おさらいというか、おそらくこのブログを見ている方もいると網ので、少し丁寧にステップを踏んで解説したいと思う。

初期構成タスクから役割の追加をクリック

18-23-15

この画面は Windows Server2008を入れた直後だったら必ず立ち上がる画面なのでそれほど違和感は無いと思う。この画面から、役割の追加をクリックして、Windows Server 2008に役割を追加する。

役割の選択で Active Directory ドメイン サービスを選択

18-24-56

Active Directory ドメイン サービスのみにチェックを入れて次へ。DNSサーバーも一緒に押しそうになるけど、これは後ほど一緒に入れるかどうかを聞かれるときに入れてしまうので、ここでは無視する。

ドメインの概要やインストールオプション

18-25-05

何もドメインが存在していない場所に Active Directoryをたてるわけだから、ここでは何も指定する必要はない。そのまま次へをクリック。

インストール完了

18-26-13

実はお恥ずかしながら、Windows Updateが有効になっていないのでインストールの完了時に1つ警告が出てしまった。後でこれは有効にするので、ここでは無視。

dcpromo.exeを実行する

18-32-34

お待たせしました。毎度おなじみの dcpromo.exeです(笑)。これはスタートメニューに入っていないので、スクリーンショットのようにファイル名を指定して実行することになる。

Active Directory ドメイン サービス インストール ウイザードの開始

18-32-55

今回は標準的なインストールを行うので、詳細モードはチェックを入れずに次ぎへをクリック。

オペレーティングシステムの互換性を確認する

18-32-39

使用している環境に古いマシンが混在している場合などは、Active Directoryのフォレストの機能レベルを、以前のバージョンにあわせる必要がある。この画面は、古い機種が入っていませんか~って確認を促すための物。

展開の構成の選択(フォレストの確認)

18-33-05

今回は新しくドメインを作るので、上から2番目の新しいフォレストに新しいドメインを作成するを選択して次へ。

フォレストの機能レベルの設定

18-34-19

先ほど聞かれた機能レベル。古いマシンや古い Active Directoryが混在していなければ、迷わず Windows Server 2008を選択して次へ。

追加のドメイン コントローラー オプション (DNSサーバーの追加)

18-34-26

ここで DNSサーバーを入れますか、と聞かれるのでチェックボックスをオンにして次へ。

データベース、ログ ファイル、および SYSVOL の場所

18-36-33

ここは各種データを格納するフォルダのこと。特に変更する必要はないので、デフォルトのまま次へ。

ディレクトリ サービス復元モード Administrator パスワードの設定

18-36-36

ディレクトリ サービス復元モードっていうのは、Windows Server 2008を起動するときに ESCを押して、それから F8を押下すると出てくるメニューのことで、その名の通り、ディレクトリサービスの復元などが行えるモードのこと。このモードを選択した時に、ログインで求められるパスワードをここで設定する。

フォレスト ルート ドメイン名 (FQDN) の設定

18-33-25

お好きなお名前をどうぞ。ドメインを持っている人は、それにあわせた方が概念がつかみやすくてイイと思う。

Active Directory ドメイン サービス インストールウイザードの完了

18-39-19

ここまででインストールは終わり。
後はお好きにユーザーを追加してやってください。

その他スクリーンショット

Tags: , , , ,

categories Windows Server 2008 | kenzo | datetime 2009 年 6 月 30 日 3:00 PM | comments コメント (0)

WordPress Themes