【Windows Small Business Server 2003】SBS 2003は2004年1月28日に発表されたWindows Server 2003 Familyの5つ目の製品。主に中小企業向けのサーバー・システム。Windows Server 2003をベースにサーバー・アプリケーション(e.g. メッセージング・ソフトExchange Server 2003、情報共有ソフトWindows SharePoint Services)を統合したパッケージ製品。DBソフトのSQL Server 2000とファイアウオール・ソフトのInternet Security and Accelaration Server 2000が付属する上位版もある。

Windows Server 2003を搭載したサーバー環境を簡単に構築できることを売り物にしている。管理・運用の負担を軽減するツールやウィザードを用意し、専任の管理者を用意しなくても運用できる。

Microsoftの発表を受け、NEC, Dell, 日本ヒューレット・パッカードHP、富士通等8社がSBS 2003をプリインストールしたPCサーバーを発表した。特にDellと日本HPの機種は最小構成価格が8万円台と安い。

Windows Small Business Server 2003（SBS 2003）がある。このSBS 2003は，Windows Server 2003に，」などを組み合わせた。り,

Install

【動作要件】W2K Professionalの動作要件はPentium 133MHz、メモリ32MB、ディスク1GB程度である。ただし、アップグレードの場合、1GB程度の空き容量が必要である。W2KではWindows 95/98のディスク圧縮機能は使えないので、Windows 95/98で圧縮機能が使われている場合はアップグレード前に圧縮を解除する必要がある。従って空き容量は圧縮解除後のサイズで考える。

IDE以外の大容量記憶装置コントローラ(SCSI、RAID)を使用しているPCにW2Kをインストールするには、そのコントローラがハードウェア互換性リスト(HCL)に記載されているかどうかをまず確認する。記載されていない場合には、そのコントローラのデバイスドライバを製造元等から入手する。

W2Kのセットアップの初期段階で [F6] キーを押すように求めるメッセージが画面の一番下に表示され、その後の指示に従えばディスクコントローラのデバイスドライバを組み込むことができる。

W2Kセットアップ実行ファイル(インストールプログラム)

Winnt.exe	MS-DOSで起動しているコンピュータからセットアップする場合
Winnt32.exe	Windows 95/98/NT/2000で起動しているコンピュータからセットアップする場合

【checkupgradeonly】WINNT32.EXEにオプション/checkupgradeonlyを指定して実行すると、W2Kのインストールは行わず、現在の環境のアップグレードへの互換性のみを調査できる。Windows NTでは、調査結果がファイルWinnt32.logへ書き込まれ、インストールフォルダ(デフォルトはWINNT)に格納される。

WINNT32をオプションなしで実行すると、互換性の調査も行われるが、同時にアップグレード作業も行われる。WINNT.EXEには/checkupgradeonlyオプションがない。W2K 対応アナライザは、Microsoft社のWebサイトから無料でダウンロードできる。

【無人インストール】無人インストールは、一般的な情報を集めた応答ファイルとコンピュータ個別の情報を格納したUDBファイルを組み合わせるのが便利である。応答ファイルだけでは、コンピュータ個別の設定をするのが面倒であり保守性に問題がある。

CD-ROMからのブート後、無人インストールを行うには、ファイル名はWINNT.SIFでなければならない。無人インストールを行おうとしたところ、手動インストールが始まった場合は、CD-ROM起動が優先しているということなので、BIOS設定で起動の優先順位を見直す必要はない。

【Auto Install】自動インストールをする場合、WINNT (又はWINNT32) のオプションとしてアンサー(応答)ファイル(Unattend.txt)を指定する。複数のコンピュータの設定を自動化する場合は、コンピュータ毎に異なる応答ファイルを作成するか、UDF(Uniqueness Database File)を利用する。｢/unattend:Unattend.txt /udf:id, Unattend.udf｣を利用する。

望ましい方法は後者である。全コンピュータに共通の設定と各コンピュータ個別の設定が分離されるため、変更の手間が少なくなり、設定ミスも減るからである。

応答ファイルにはインストールする全てのコンピュータに共通して適用する情報を指定する。UDFはコンピュータ固有の設定(ex.コンピュータ名)を指定する。UDFには複数のコンピュータ名を設定でき、コンピュータ名毎に異なる構成を指定できる。UDFは応答ファイルの追加オプションとの位置付けで、応答ファイルの値を上書きする。

応答ファイルやUDFはテキストデータであり、テキストエディタで作成できる。セットアップマネージャーウィザードSetupmgr.exeを利用すると効率よく作成できる。Setupmgr.exeはW2KのCD-ROMからsupport\toolsフォルダのDeploy.cabファイル内にある。Setupmgr.exeは以下の手順でDeploy.cabからファイルを抽出して利用する。

1. エクスプローラを起動する。

2. Deploy.cabをダブルクリックしてDeploy.cabの中を参照する。

3. Setupmgr.exeとSetupmgr.dllを任意のフォルダにコピーする。

4. Setupmgr.exeを実行する。

【Multi Processor】マルチプロセッサは1台のコンピュータに複数のCPUを搭載し、同時に稼動することができるシステムを指す。単体のCPUだけでコンピュータシステムの処理性能を向上させることには技術・コスト的な問題があり、複数の CPU を接続することにより、システム全体での処理性能を向上させられる。冗長的な構成となることにより、耐障害性も高くなる。マルチプロセッサ技術は、システムの構成方法・利用方法によりいくつかに分類される。

l 密結合と疎結合はCPUと主記憶の関係に着目した結合方式の点で分類される。

l 密結合マルチプロセッサTCMP, Tightly Coupled Multi Processorは複数のCPUが同一の主記憶を共有する方式である。システム全体で主記憶を共有するので 1つの OS でシステム全体を稼動させる。

l 疎結合マルチプロセッサLCMP, Loosely Coupled Multi Processorは、CPUが専用の主記憶を占有する方式。個々の CPU が独立しているため、CPU毎にOSを稼動させる。

l 対称型・非対称型マルチプロセッサはCPUの役割分担の視点で分類される。

l 超並列コンピュータは数百以上ものCPUを接続したマルチプロセッサシステムを指す。

マルチプロセッサ構成は、シングルプロセッサ構成の場合と、HAL及びカーネルが異なる。現在の構成は、[デバイスマネージャ] を起動し [コンピュータ] を選べば表示される。マルチプロセッサシステムが、マルチプロセッサシステムとして認識されないほとんどの理由はBIOSのバージョンが古いせいである。マザーボードのBIOSをアップデートして再インストールを試みるべきである。

【Remote Installation Service (RIS)】RISによりW2K Professional OSのコピーを中央のサーバーから組織内の複数のクライアントコンピュータにインストールできる。リモートインストールを行うためには、DNS, DHCP, Active DirectoryがRISサーバー上かネットワーク上のサーバーで動作している必要がある。Active Directory環境ではDHCPサーバーは承認されている必要がある。RISサーバーもDHCPサーバーと同様の手順で承認を行う必要がある。クライアントはDHCPサーバーからIPアドレスを取得する。

リモートインストールを行いたいクライアントコンピュータがプレブート実行環境PXEの仕様に準拠し、リモートブートできるネットワークカードを持たない場合、PXEブートプロセスをシミュレートするRIS起動ディスクを用意する。起動ディスク作成は、リモートインストール用共有フォルダ (\\共有名\Reminst\Admin\I386) に含まれるRbfg.exeコマンドを実行する。

リモートインストールはTCP/IP環境で実行されるので、DLCプロトコルは必要ない。ファイル転送はRISサーバーからTFTPを使って行われる。FTPは使用しない。リモートインストールはW2K Professionalしかサポートしない。

RISは、OSの自動インストールのみを行い、RIPrepと組み合わせない限り、APのインストールはサポートしない。コンピュータ名は原則として事前に定めた規則によって自動的に付けられるが、セットアップ時にカスタムセットアップを選ぶことで、異なるコンピュータ名を指定できる。

【PXE Boot BIOS】PXEブートBIOSは、起動後、DHCPサーバーからアドレスを取得し、RISサーバーへアクセスする。その後、Active Directoryにログオンし、インストールを開始する。DHCPサーバーからアドレスを取得できていないと全く反応しない。

【SYSPREP】SYSPREPは、ディスクイメージの作成支援ツールである。SYSPREP実行後に作成したイメージを復元した場合、ライセンス情報やコンピュータ名など、インストール時に指定した項目を再指定できる。OSだけではなく、APのインストールイメージもサポートする。

SYSPREPを使ったインストールは異なるHALには対応していない。例えば、シングルプロセッサとマルチプロセッサではHALが異なるので、SYSPREPは使えない。

【RIPrep】APとW2K Professionalを同時に配布したい場合、RIPrepイメージを使うと便利である。RIPrepは、SYSPREPと同様、OSとAPの構成を、同一のHALを持つPCに復元できる。但し、いったん作成したRIPrepイメージを修正する方法はない。変更したい場合は新規にイメージを作成する必要がある。

【Dual Boot】Windows NT系列のOSでは、デュアルブート構成にしたとき，boot.iniというファイルに起動するOSの情報が記録される。W2Kの環境にWindows XPをインストールすると、Windows XPがデフォルトで起動するようにboot.iniが書き変わる。従ってboot.iniを編集すれば、デフォルトでW2Kが起動するようになる。

Upgrade

【Upgrade】アップグレードは新規インストールに対し、既存の設定をそのまま使えるというメリットがある。しかし今まで使っていたOSの乱雑さまで持ち込むというデメリットもある(D. Chernicoff｢Windows XP導入前にアプリの設定を引き継ぐ方法｣日経Windowsプロ(2003.11)169)。

直接W2K ProfessionalにアップグレードできるOSはWindows 95/98, NT Workstation 3.51/4.0である。但しWindows 95/98の圧縮されたドライブはアップグレードできない。従ってアップグレードの前に圧縮を解除する必要がある。

直接W2K ProfessionalにアップグレードできないOSは以下の順序を経てアップグレードしていく。

・ Windows 3.1→Windows 95→W2K Professional

・ Windows NT 3.1/3.5→Windows NT 3.51/4.0→W2K Professional

W2Kへのアップグレードは、CD-ROM上のWINNT32.EXEを実行する方法のみがサポートされる。アップグレードするのにサービスパックをインストールする必要はない。

【Upgrade Pack】W2Kに対応していないAPの中には、アップグレードパックを適用することで、W2Kに対応できるものがある。アップグレードパックはW2KのCD-ROMに付属している。APベンダーも提供している。アップグレードパックは、W2Kにアップグレードしている途中で指定する。

【i486 Processor】W2K Serverはi486プロセッサをサポートしないので、どのようなアップグレードパスを経由してもW2Kにアップグレードすることは不可能である。

Resource

【NTFS(NT File System)】W2KがサポートしているファイルシステムはNTFS, FAT, FAT32である。共有及び共有アクセス権の設定はFAT, NTFS共にサポートしている。

NTFSはMicrosoftがWindows NTのために新たに開発したファイルシステムで、ビジネスでの利用が強く意識されている。FATに比べ、データの耐障害性やパフォーマンスに優れている。ファイル名の長さや最大パーティション・サイズといった制約が大幅に緩和された。W2Kの登場時にはNTFSの機能を大幅に改良し，ファイルの暗号化やユーザー単位で使用量を制限するディスククォータが新機能として実現した。

NTFSファイルは操作履歴｢ジャーナル｣を記録することで、突然の電源断やハングアップ等で管理テーブルと実データの間に不整合が生じないようにしている。但しこれはボリューム(記憶媒体の物理的な単位)の管理テーブルのみが対象。ボリューム構造の保護が目的のため、ファイルのデータそのものの破損は防げない(高橋秀和｢次期NTFSはトランザクション単位で管理，誤操作の取り消しが可能に｣IT Pro 2003.10.31)。

FDはNTFSでフォーマットできない。リモート記憶域(テープ等のリムーバブルメディア)を利用したディスクの拡張が可能。

W2KのNTFSとWindows NTのNTFSはバージョンが異なるため、NT 4.0 SP4以上でないとW2KのNTFSパーティションにはアクセスできない。NT 4.0がリリースされた時点で存在していなかったNTFSの機能(ex.暗号化)を使って格納されたファイルには、NT 4.0からアクセスできない。

W2Kをインストールまたはアップグレードすると、全てのNTFSパーティションは、NTFS Ver.5に自動的にアップグレードされる。Windows NT 4.0 SP4以降ならNTFS Ver.5を利用できるが、Windows NT 4.0のCHKDSKコマンドは使えなくなる。W2KからはCHKDSKコマンドを実行できる。回復コンソールでもCHKDSKコマンドが使えるが、回復コンソールの起動にはシステムを停止させる必要がある。

【NTFSの最大サイズ】NTFSの最大サイズは理論上、｢（2の64乗クラスタ）－1クラスタ｣である。W2K以降はNTFSクラスタの最大サイズは64KBであるため、｛（2の64乗クラスタ）－1クラスタ｝×（64Kバイト）が最大サイズになる。

しかし、Windows 2003/XP/2000が実装するNTFSは｢（2の32乗クラスタ）－1クラスタ｣までしか対応しない。そのため実装上の最大サイズは｛（2の32乗クラスタ）－1クラスタ｝×（64Kバイト）で、「256Tバイト－64Kバイト」となる。デフォルトのクラスタ・サイズである4Kバイトを変更しない場合、「16Tバイト－4Kバイト」が最大サイズになる。

この最大サイズは、ダイナミックディスクでなければ実現できない。ベーシックディスクではマスター・ブート・レコードが2Tバイトまでしか対応しないため、最大サイズは2Tバイトとなる。

【FAT】FAT(File Allocation Table)ファイルシステムは、MS-DOS ベースまたは Windows ベースのコンピュータで、1981 年から使用されてきた基本的なディスク形式として広く普及していた。Windows 9x系列のWindows (Windows 95/ 98 SE/ Me)までは、ファイルシステムとしてFATのみが利用可能である。

MS-DOSの時代に開発されたFATから比べると、大容量ディスクへの対応やロング・ファイル名への対応など加えられているが、基本的な構成は変わらない(｢FAT→NTFSにファイル・システムを変換する｣@IT Windows TIPS 2003.10.18)。

FATは2 GB を超えるドライブを扱うことはできない。FATを拡張した FAT32 では、2 TBまでのドライブに対応している。FAT32では、以前の FAT よりも小さな単位 (クラスタ) にスペースを割り当てるため、ドライブをより効率的に使用できる(Microsoft Corporation｢Microsoft Windows 95 README：一般情報｣1996)。

FATおよびFAT32は、NTFSよりもフラグメントが起きやすい。特に、ファイルの作成と削除を繰り返した場合に顕著になる。

Win 9xはNTFSをサポートしないため、NTFSでフォーマットされた領域にはアクセスできない。従ってW2KとWin 98をデュアルブート環境で利用する場合、両方のOSが使用するディスク領域は両方のOSがサポートするファイルシステム(FAT, FAT32)でフォーマットする必要がある。

一方、ネットワーク接続を通じて、Win 9xから他のコンピュータのNTFSボリュームにアクセスすることは可能(Microsoft Corporation｢Microsoft Windows 95 README：Q & A集｣1996)。

【CONVERT.EXE】FAT, FAT32からNTFSへはCONVERT.EXEにより、変換できる。OSがインストールされたファイルシステムがFATであった場合、ユーザーアカウントやグループアカウント、ネットワーク設定、デスクトップ環境等を維持したまま、NTFSに変換できる。変換はフォーマットと異なり、既存のファイルをNTFSでも使用できるが、フォーマットに比べるとパーティションは断片化され、パフォーマンスは悪くなる(Microsoft, Windows 2000 Server First Step Guide (2001) 60)。

FAT等からNTFSへは変換できない。そのためNTFSでフォーマットされた領域をFAT等に変換するには、その領域を削除して再度領域を作成し直さなければならない。

変換はドライブへの排他的なアクセスを必要とするため、変換はCONVERTコマンドを実行した後の再起動時に行われる。CONVERTコマンドはカレントドライブに対しては変換できない(天野司・Windows DOSプロンプトポケットリファレンス(技術評論社1998)138)。

起動時に自動変換が失敗する場合、イベントビューアで、表示するログをアプリケーションにしておき、表示されるイベント一覧からWinlogonをダブルクリックして、その詳細を参照する。アプリケーションログは、変換が失敗した原因を一覧表示する。特異なファイル名が付けられているためにファイルの変換が困難な場合には、/nametableスイッチを使い convert コマンドを再発行して、自動変換を行う。自動変換中に、システムは convert が作成した名前テーブルを参照する。

【NTFSアクセス許可/圧縮】NTFSファイルシステム内のファイルやフォルダには、NTFSアクセス許可や圧縮の設定を行うことができる(FATはサポートしていない)。ファイル単位でアクセス権の制御が可能となっており、ファイルの所有者やアクセスを許可されたユーザー以外からの不正なアクセスを防止できる。

NTFSアクセス許可や圧縮は同一ドライブ内でファイルを移動した場合のみ、移動元の設定が保存される。それ以外はコピー先・移動先フォルダの属性を継承する。NTFSアクセス権を維持したい場合はXCOPYコマンドを使用する(｢共有データを移動したらファイルの編集ができなくなった｣日経Windowsプロ(2003.9)80)。

圧縮されたファイルを他のボリュームへコピー(移動)する場合、コピー(移動)先のボリュームに圧縮属性が設定されていたとしても、コピー(移動)元ファイルの非圧縮時でのサイズ以上の空領域が必要となる。

【共有】共有とは、ローカルコンピュータのリソース(ex.フォルダ、ファイル、プリンタ)に、ネットワーク経由で他のコンピュータからアクセスできるようにするWindows 95以降の機能である。ファイルのみの共有はできない。

W2Kで共有を行うためには、Microsoftネットワーク用ファイルとプリンタ共有サービスがインストールされており、このサービスが起動している必要がある。W2Kはインストールするとサービスが自動的にインストールされ、自動起動するように設定されている。

W2K Professionalでは共有設定と削除は権限を持ったグループ(Administrators, Power Users)のメンバーでなければ行えない。W2K ServerではServer Operatorsグループも共有フォルダの設定が可能。

W2Kでは、エクスプローラ等を使って、共有フォルダのプロパティを表示させるか、あるいは、[コンピュータの管理] ツールの [共有フォルダ] のプロパティで最大ユーザー数を指定できる。実際には、W2K Professionalの最大接続数は10なので、あまり大きな効果はない。Active Directoryでは、共有に実際にアクセスするための制約は設定できない。また、レジストリエディタを使うのは望ましくない。

【アクセス権】複数のアクセス権を持つ場合、その全てが有効になる。拒否のアクセス権は他のアクセス権に優先する。Authenticated Usersは認証を受けた全てのユーザーを意味し、Guestアクセスを含まない。EveryoneはGuestアクセスを含む全ユーザーを意味する。

グループアカウントに与えた権限は、グループの全メンバーに対して有効である。グループアカウントを使うと、複数のユーザーに対する設定が容易になる。

ネットワーク経由でアクセスする場合、共有アクセス権とNTFSアクセス権の両方で与えられる権利が有効になる。前者はネットワーク経由でアクセスする際の入り口であり、後者は共有フォルダにアクセスが可能になった後に適用されるファイルシステムレベルのアクセス権である(板垣智和｢基礎から固めるドメイン管理｣日経Windowsプロ(2003.11)150)。NTFSアクセス権で権利が与えられていても、共有アクセス権で与えられていなければ、その権利は与えられない。

例えば共有アクセス権でEveryoneに読み取りの権利のみしか与えられていなければ、NTFSアクセス権で変更の権利を持っていても、ネットワーク経由でアクセスする場合は、読み取りの権利のみ与えられる。従って、ファイル内容の表示はできても内容の変更はできない。

【アクセス許可の継承】W2Kでは、デフォルトでアクセス許可を継承する。継承されたアクセス許可を変更するには、いったん継承を解除する必要がある。アクセス許可が継承されている場合でも、拒否の権利を追加できるが、この場合、Everyoneにフルコントロール-拒否を設定すると誰もアクセスできなくなってしまう。所有権やグループポリシーは無関係である。

【ACL】アクセス制御リストACL はフォルダやファイル毎に存在し、NTFSアクセス許可の情報を格納する。具体的にはユーザー、グループ、コンピュータ用のアクセス制御エントリACEとアクセス許可の種類を格納する。

W2Kではユーザーのログオン時にそのユーザーがどのグループに所属するかという情報Access Tokenが作成される。W2KはAccess TokenとACLを比較し、ユーザーに割り当てられている実際のアクセス権を求める。Access Tokenはログオン時に作成され、ログオフするまで保持されるため、ユーザーが所属するグループの情報が変更された場合にその情報をAccess Tokenに反映させるためには、ログオフして再度ログオンする必要がある。

【DFS】ネットワーク上の複数のサーバーに分散している共有フォルダを、エクスプローラ等から1つのツリー構造で表示させるようにするには、DFSを使用する。DFSを使用するには、まずDFSルートを作成し、1つのツリー構造の下に表示させたい共有フォルダをDFSリンクとして設定する。

DFSにはスタンドアロンDFSとドメインDFSの2種類がある。ドメインDFSを使用するためには、Active Directoryドメイン環境が必要となる。Windows 98、W2KはどちらもDFSクライアント機能を標準で搭載している。

Webページの作成は管理コストが高く、共有を変更した場合、管理者にかかる負担が大きい。

【Internet Information Service】W2K ServerにはIIS 5.0が備わっている。IISには主にWWW, FTP, NNTP(Network News Transfer Protocol), SMTP(Simple Mail Transfer Protocol)の４つの機能が組み込まれている。

IISのデフォルトでは匿名アクセスが可能になっている。匿名でアクセスするユーザーに対して特定のHTMLファイルの参照を拒否するには、匿名アクセスで使用されるユーザーに対してそのファイルのNTFSアクセス権を読み取り拒否に設定する。

通常、匿名アクセス用のユーザーはIUSR_コンピュータ名である。このユーザーアカウントはGuestsグループのメンバーなので、NTFSアクセス権の設定にGuestsグループを使用することもできる。

仮想ディレクトリのプロパティの変更は、仮想ディレクトリ内の特定のファイルではなく全体に影響を与える。仮想ディレクトリのプロパティで [ディレクトリの参照] が無効になっていると、デフォルトページ (e.g. DEFAULT.HTM) がない場合は「このページの表示が認められていません」というエラーになる。「読み取り」が許されていない場合は、一切の情報が表示できないので正しいページも表示できなくなる。これらは認証とは無関係である。

IIS(Internet Information Service)で使用できる認証方式

匿名アクセス	ユーザー名を指定しない方法。デフォルトのアクセス形態。
基本認証	ユーザー名とパスワードをブラウザから指定する方式。クライアントの負担が大きい。
Windows統合認証	イントラネットでのみ利用可能な方式。W2Kのユーザー認証と完全に統合されている。
ダイジェスト認証	Active Directory環境でしか利用できない。事前に、暗号化を元に戻せる状態でパスワードを保存するように設定しなければならない。ファイアウォールを越えた環境でも利用できる。

【FAX Service】FAXサービスでFAXの受信を可能にするには、[FAXサービスの管理]-[デバイス]から、接続されているFAXモデムのプロパティで[受信を可能にする]を有効にする。

【Registry】APをインストールする時には、ディスク上にAPのフォルダを作成したり、レジストリという設定データベースに情報を記録したりする。この時、ディスクやレジストリに対する権限が不足すると適切にAPをインストールできない。管理者グループAdministratorsに所属するユーザーには十分な権限がある。そのためインストールはAdministratorsグループのユーザーでログオンして実行する必要がある。

管理者グループよりやや権限の低いPower Usersグループに所属するユーザーでもインストール可能なAPはあるが、Administratorsが確実。ディスクがFATやFAT32でフォーマットされているときもレジストリのアクセス権は有効。ディスクをFATやFAT32にフォーマットし直すだけでは不十分な場合がある。

Printer

【Printer Server】企業の多くは，1台のプリンタを部門内の複数のユーザーで共用している。プリンタをネットワーク経由で共用できるようにしたサーバー・マシンのことを｢プリントサーバー｣｢プリンタサーバ｣と呼ぶ。

Windows NT/2000/Server2003のプリントサーバーは、印刷終了時に印刷を実行したマシンのデスクトップに印刷終了メッセージを送る機能を備えている(永尾幸夫｢Windowsネットワークに強くなる(第7回)｣Windows Server System Review 2003.10.5)。

プリンタをネットワークで利用できるようにするためには、まずプリンタを管理するW2Kでプリンタの追加・共有の設定を行う。クライアントコンピュータのOSの種類によっては、プリンタサーバーに、サービスやプロトコルを追加する必要がある。

【lpr】lpr(Line Printer)プロトコルはUNIX起源のプリンタ共有プロトコルであり、RFC 1179として標準化されている(横山哲也｢MCP実力チェック｣日経Windowsプロ(2003.9)153)。UNIX/Linuxがネットワーク印刷を行う時に使用する。

lprサーバーを追加するには、[コントロールパネル] - [アプリケーションの追加と削除] で、[そのほかのネットワークファイルと印刷サービス] から [UNIX用印刷サービス] を追加すればよい。

逆にW2KがUNIX/Linuxのプリンタに接続するため、W2Kにlprクライアント機能を追加するには、プリンタの作成時に、印刷ポートとしてStandard TCP/IPポートを作成する。

Standard TCP/IPポートは[プリンタの追加]ウィザードで[ローカルプリンタ]を選択する。[プリンタポートの選択]画面で[新しいポートの作成]を選択、種類を[Standard TCP/IPポート]にして[次へ]をクリックすると[標準TCP/IPプリンタポートの追加]ウィザードが起動する(永尾幸夫｢トラブル解決Q&A｣日経Windowsプロ(2003.11)102)。

【Printer Driver】プリンタを共有する場合、W2K以外のWindowsクライアントから利用するためには、クライアント上にプリンタドライバが必要になる。しかし、W2Kでプリンタを共有する時点で、他のWindows用のドライバを追加ドライバとしてインストールしておくと、クライアントからの接続時に適切なプリンタドライバが自動的にダウンロードされる。

クライアントがW2K Serverが管理する共有プリンタに接続すると、サーバー上のPRINT$共有から自動的にドライバをDLする。PRINT$共有はプリンタを共有すると自動的に作成され、W2K用のドライバは自動で組み込まれる。クライアントにWindows 9x/NTがある場合はそれら用のドライバを手動で追加インストールできる(横山哲也｢MCP実力チェック｣日経Windowsプロ(2003.11)177)。[プロパティ] の [共有] タブで追加ドライバとして、Windows 9x/NT用のデバイスドライバをインストールする。

【Spooling】スプーリングは、入出力データを一旦高速の補助装置に書き出しておくことで、遅延無くプログラムの処理を継続する方法である。Spoolは糸巻きの意味で、データを巻き取っているイメージである。プログラム実行中にプリンタ等、低速の周辺装置に対する出力があると処理待ちが生じる。これを解消し、throughputを向上させる。

APが印刷処理をする場合、スプーラと呼ばれるプログラムへ印刷データを出力する。後はスプーラがプリンタの進行状況を見ながら少しずつ印刷するので、印刷を依頼したAPは他の処理を実行できるようになる。

書類を決裁してもらおうと上司の席に行ったら電話中で、電話が終わるまでの間、ポカンと待っている状態に似ている。スプーリングにより、書類を決裁してもらおうと上司の席に行った際、電話中でも机上の決済箱に放り込んで自席に戻れば、決済印が押されるまでの間に他の仕事ができる。

【Spool Folder】Windows の場合、印刷を実行すると、タスクバーの中にプリンタのアイコンが表示される。アイコンが表示されている間が｢スプール中｣にあたり、HDに書き込んでいる最中である。プリンタのキューへデータの転送が完了するとアイコンが消える。スプールが終われば、印刷を指示したAPを終了することができる。後は専用プログラムが印刷処理を行う。

印刷ボタンを押してからは、見た目上、今までと何も変わらず引き続き作業が出来ているが、実はバックグラウンドで順次印刷情報をプリンタへ送り、プリンタから印刷物が出てくる、という仕組みになっている。

W2Kが管理するプリンタに印刷データが送信されると、そのデータはHDのスプールフォルダに保存され、その後印刷装置に印刷データが送られる。スプールフォルダの作成されたドライブに空き領域が少なければ、印刷データがディスクに書き込めず、印刷できない。

スプールフォルダの変更は[プリンタ]フォルダの[ファイル]メニューにある[サーバーのプロパティ]を選び、表示されるダイアログボックスの[詳細設定]タブで行う。スプールフォルダを変更する前に、スプールフォルダ用のフォルダを作成する必要がある。レジストリエディタで直接レジストリ値を変更することも可能だが推奨されていない。

【Printer Pool】プリンタプールは、プリンタサーバーのフック数のポートを通じ、複数の印刷装置をまとめて、論理的な単一のプリンタを構成する。そのため、クライアントからは1台のプリンタに見えるが、印刷はその時点で空いている印刷装置を使用する。プリンタプールを使うと、印刷装置のスループットが向上する。

プリンタサーバーの物理ポートに直接接続しているローカル印刷装置だけでなく、ネットワークを経由してプリンタサーバーに接続しているネットワークインターフェース印刷装置もプリンタプールの一部とすることができる。印刷装置が全く同じである必要はないが、同じプリンタを使用しなければならない。

ユーザーから印刷ジョブが送信されると、プリンタは利用できるポートを調べ、最初に見つかった利用できるポートに印刷ジョブを送信する。ポートは追加された順番にチェックされるので、高速な印刷装置を先に追加する。プリンタプールの設定はプリンタのプロパティで[ポート]タブを開き、[プリンタプールを有効にする]のチェックボックスをオンにする。

【Internet Printing Protocol】IPP(インターネット印刷プロトコル)はW2Kからの新機能で、クライアントからHTTPを使用してプリンタに接続することができる。IE 4.0以上のブラウザが必要。

URLは｢http://サーバー名/printers/プリンタ共有名/.printer｣である。但し、IPP対応のネットワークプリンタは、プリンタ毎に決められた別のURLを使う。IPPを使用するには、プリンタを公開するサーバーにIIS (Internet Information Server) が必要である。

ファイアウォールがHTTP(ポート80)を通していれば、これを越えることも可能である。ただし、通常のプリンタ共有ではRPCを使うため、ファイアウォールを越えることができない。

IPPは内部ではADSI(Active Directory Service Interface)のWindows NTプロバイダを使って接続する対象のコンピュータからプリンタ一覧を取得する(｢DNS名でWebプリンタに接続するとエラーが発生する｣日経Windowsプロ(2003.9)90)。

Windows 95/98からインターネット印刷機能を利用して印刷したい場合は、予めWindows 95/98にIPPクライアントソフトウェアをインストールしておく必要がある。この手順はW2KサーバセットアップCD-ROM内の\CLIENTS\WIN9XIPP.CLI\WPNPINS.EXEを実行することにより行われる。

【アクセス権】W2Kでプリンタを構成する場合、プリンタに対するフルコントロールアクセス権を持つユーザーはプリンタへのアクセス権を設定できる。CREATOR OWNERは印刷ジョブを作成したユーザーのことである。

プリンタを一般ユーザーに公開するためには「Authenticated Users - 印刷」を許可するのが最も簡単である。特定のユーザーやグループからの印刷を禁止するには印刷拒否の権利を割り当てる。

拒否の権限は許可の権限よりも優先する。あるユーザーが所属するグループに対し拒否の権限を設定した場合、そのユーザーが所属する他のグループやユーザー自身に許可の権限を与えてもそれは有効にならない。そのためEveryoneグループの印刷を拒否すると、誰も印刷できなくなる。

プリンタに対する既定のアクセス権

アカウント	アクセス権の種類
Administrators	プリンタの管理、ドキュメントの管理、印刷
CREATOR OWNER	ドキュメントの管理
Everyone	印刷
Power Users	印刷

プリンタの各アクセス権で行えるタスク

アクセス権の種類	実行できるタスク
アクセス権なし	なし
印刷(Default)	プリンタへの接続、文書の印刷、ユーザーが所有する文書の一時停止・再開・再印刷・削除
ドキュメントの管理	｢印刷｣権限のタスク、印刷待ちになっている全ての文書の一時停止・再開・削除
プリンタの管理	｢ドキュメントの管理｣権限のタスク、プリンタの共有、プロパティの設定、プリンタの削除、アクセス権の設定

Device

【Plug & Play】Plug & Playは新しい装置を接続plugすると、すぐに使えるplayという機能を指す。新しい装置をPCに接続すると、その装置を制御するためのプログラム｢デバイスドライバ｣のインストールと設定を自動的に行う(矢沢久雄・プログラムはなぜ動くのか(2001)189)。W2Kでは、ほとんどのデバイスはPlug & Playで自動的にドライバが組み込まれる。管理者は、デバイスマネージャで動作を確認するだけでよい。

Plug & Playが完全に動作するためには、OS(W2K)、BIOS、デバイス、デバイスドライバの全てがPlug & Playに対応している必要がある。この中の1つでも条件を満たさなければ、Plug & Playの機能が動作しない可能性がある。例えば、デバイスがPlug & Playに対応していない場合は、そのデバイスが自動的には認識されない。その場合は、[ハードウェアの追加と削除]で、デバイスを手作業で追加する必要がある。

ハードウェアは認識したがドライバが組み込めない場合は、ログオン時にウィザードが動作するので、指示にしたがってドライバを組み込む。デバイスマネージャで“?”のついたデバイスとして認識されるので、そこからドライバを更新できる。W2Kで、その存在すら認識できないカードの場合は [コントロールパネル] の [ハードウェアの追加と削除] でドライバを追加する必要がある。

【Peripheral Components Interconnect】PCIは、パソコン内部の各パーツ間を結ぶバス(データ伝送路)の規格。多くのベンダーがサポートする業界標準規格であり、Plug & Playが可能である。Intel社を中心とするPCI SIG(Special Interest Group)によって策定された。長い間業界標準だったISAバスに替わる標準規格として急速に普及し、現在は殆どのパソコンに採用されている。

最初のPCI規格はバス幅(1回の転送で送れるデータ量)32ビットで動作周波数(1秒あたりの転送回数)は33MHz。最大データ転送速度は133MB/sであった。最新の規格ではバス幅64ビット、66MHz動作で最大533MB/sの高速な仕様も規定されている。PCIをサーバー向けに拡張したPCI-Xという規格もある。

ISAはPlug & Playが不完全で、リソースの競合を起こす場合がある。EISAは構成情報の設定が面倒である。MCAはW2Kではほとんどサポートされない。

【Universal Serial Bus】USBはW2Kからサポートされる。USBバスではPlug & Playによるデバイスインストールがサポートされるため、コンピュータをシャットダウン、再起動しなくてもデバイスの接続と切断が行われる。そのため普段は外しておき、必要になった時だけ接続し、使用後は取り外す、という使い方ができる(NEC・Value Star NX拡張!活用!バリュースター(1999)34)。

1つのUSBポートにはUSB対応デバイス(e.g.スピーカー、電話、CD-ROMドライブ、DVDドライブ、ジョイスティック、テープドライブデバイス、HDD、フラッシュメモリ、キーボード、マウス、スキャナ、カメラ)を最大127台まで接続可能。

USBデバイスが正しくインストールできない場合、USBがBIOSで友好化されていない可能性がある。特にWindows NT 4.0以前はUSB機能が使えなかったため、Windows NTからW2K Professionalにアップグレードしたマシンは、BIOSでUSBを無効化している場合が多い。この場合、コンピュータの起動時にBIOS設定モードに入り、USBを有効にする。これにより自動的にUSBを認識するようになる。

BIOSでUSBが有効化されているのに、USB Host Controllerがデバイスマネージャに表示されない場合や、黄色い警告アイコンがHost Controllerの横に表示される場合は、BIOSのバージョンが古くなっている可能性がある。この場合はコンピュータベンダから最新バージョンのBIOSを入手する。

USBデバイスのハブには自己給電式とバス給電式のハブがある。ハブを電源コンセントに接続する自己給電式ではデバイスに最大の電力が供給され、デバイスを別のUSBポートに供給するバス給電式では最少の電力が供給される。大きな電力を必要とするデジタルカメラ等のデバイスでは自己給電式のハブに接続する必要がある場合がある。

【赤外線ポート】W2Kで赤外線ポートが有効になっている場合、自動的に通信相手を検出し、タスクトレイにアイコンが現われる。ファイル転送はこのアイコンを起動して行う。また、IRFTPコマンドを直接実行してもよい。赤外線ポートをダイヤルアップアダプタのように使ってネットワークを構成することも可能だが、単にファイル転送をするだけならその必要はない。

【PC Card】PCカードはPlug & Playに対応しているため、カード挿入の前に行う作業はない。また、交換はいつでも可能である。但し、カードを取り外す前に、タスクトレイのPCカードアイコンを使ってサービスを停止しなければならない。

【Graphic Card】グラフィックカードを交換した場合、単に再起動しただけでは、新しいドライバが正しく組み込まれず、表示できない場合がある。そこで、起動時に [F8] キーを押して表示されるメニューから[VGAモード] を選び、VGAモードで起動する。特殊なものを除いて、グラフィックカードは全てVGAモードを持っているため、これで、正常に表示できる。その後、適切なドライバを組み込めば作業は完了する。

Driver

【Device Driver】デバイスドライバのインストールを完了するためには、Administratorsグループのメンバとしてログインしている必要がある。ドライバをインストールするには、以下のアクセス許可と権限が必要になるが、Administratorsグループのメンバにはこれらのアクセス許可が与えられている。

・ドライバのロード/アンロード特権

・ system32\driversフォルダへファイルをコピーするのに必要なアクセス許可

・レジストリに設定を書き込むのに必要なアクセス許可

【Signature】W2Kのドライバ及びシステムファイルはその品質を保証するため、Microsoft社によりデジタル署名が施されている。このデジタル署名は規定の試験をクリアしていること、及び当該ファイルが別のプログラムのインストール処理で置換・上書きされていないことを保証する。

コンピュータに新しいデバイスドライバを追加する際、署名のないファイルや互換性のないファイルによってシステムファイルが上書きされ、システムが不安定になることがある。そこでW2Kでは管理者がコンピュータを設定する際、デジタル署名のないデバイスドライバを検出できる仕組みが用意されている。

[コントロールパネル] - [システム] のプロパティの [ハードウェア] タブにある [ドライバの署名] では、デバイスドライバのインストール時に、デジタル署名のないデバイスドライバはインストールしない、あるいは警告を出すなどの動作を決めることができる。[ブロック] が選択されていると、署名のないデバイスドライバはインストールすることができない。

Active Directoryドメイン環境を構築している時は、グループポリシーで署名のないデバイスドライバのインストールをできないように設定することができる。デバイスマネージャや、ハードウェアウィザードには署名のないデバイスドライバの組み込みに関する設定オプションはない。

ドライバの署名の確認はSIGVERIFコマンドを使用する。SFCコマンドは、システムDLLなどがオリジナルファイルかどうかを確認するコマンドで、署名の検査はしない。

【ドライバの更新】正常に動作しているドライバの更新を行う場合は [ハードウェアの追加と削除] ではなく、[デバイスマネージャ] を利用する。

W2Kには、英語版に日本語を利用するためのドライバが付属し、日本語版には英語を利用するためのドライバが付属する。

ネットワークアダプタカードのドライバは、[ネットワークとダイヤルアップ接続] の [ローカルエリア接続] のプロパティでも更新できる。ネットワークアダプタカードをいったん抜いても、以前と同じドライバが使用される。

【H/W Profile】ハードウェアプロファイルは、特定のデバイスドライバとサービスの組み合わせに名前を付けたものである。一般的には、動作させたくないデバイスドライバやサービスを無効にして、名前を付ける。W2Kはデフォルトのハードウェアプロファイルを持つ。複数のハードウェアプロファイルを作成した場合、起動時にどちらのプロファイルを使うか選択できる。ハードウェアプロファイルの設定は以下の手順で行う。

1. [コントロールパネル]-[システム] の [ハードウェア] タブで [ハードウェアプロファイル] を選択する。

2. 任意のハードウェアプロファイルを別の名前でコピーする。

3. 再起動して、設定したいハードウェアプロファイルを選択する。

4. [デバイスマネージャ] で各デバイスのプロパティを表示し、現在のプロファイルで無効/有効を選択する。

5. [管理ツール] の [サービス] で各サービスのプロパティを表示し [ログオン] タブで、プロファイルごとに無効/有効を選択する。

Power

【電源】W2Kでは、電源管理が有効な場合、デフォルトでシャットダウン時に自動的に電源を切る。シャットダウン時に電源が切れないのは電源管理が有効になっていないからだと考えられる。Windows NTで使用していたレジストリエントリPowerdownAfterShutdownの値は無視される。

W2K Professionalで、電源管理が有効になるのは以下の場合である。

・ 1999年1月1日以降のACPI BIOSが存在するか、動作確認リストに搭載されている。

・ APM 1.2に完全準拠している。

・ APM BIOSが存在し、[コントロールパネル] の [電源オプション] でAPM(Advanced Power Management)を開始している。

[電源オプション] にAPMタブが存在しない場合、そのPCのAPM BIOSはW2Kではサポートされないと考えられる。ACPIが有効であればAPMは使用しない。

[電源オプション] の [アラーム] タブでバッテリ使用中、残容量が一定のレベルに低下したら、音やメッセージで通知するように設定できる。[APM] タブはAPMの有効/無効の設定を行うときに使用し、停電時の動作とは無関係である。

【Uninterruptible Power Supply】無停電電源装置UPSは外部から供給される電源の瞬断や短時間の停電時に、コンピュータシステムを停止させないために設置する非常用電源装置。システムの動作を不安定にする電源ノイズや電圧の変動を抑える役割も果たす。

システムを終了させるのに必要な時間だけ電源供給することが主目的であるが、企業向けのシステムでは数時間から１日程度の電源供給が可能なUPSもある。このようなシステムでは UPS だけでなく、自家発電装置と組み合わせて電源を確保する。

消費電力が大きい機器(e.g.レーザプリンタ)はUPSに接続すべきではない。

W2KでUPSを設定した場合、[UPS] タブで [アラーム時にこのプログラムを実行する] 機能を使うことで、停電時に任意のAPを実行できる。

【休止状態】休止状態は、現在の状態(メモリの内容)を全てハードディスクに保存してOSを終了する。そのため、休止状態を維持するのに必要な電力は最低限に抑えられる。ただし、復帰にはハードディスクから物理メモリへの復元が必要になるため、多少の時間がかかる。コントロールパネルの［電源オプション］で［休止状態］を有効にする設定が必要である。

【Standby / Suspend】スタンバイ状態はコンピュータを低電力モードにして、通常使用より電源消費を抑える。HDの電源は切れるが、メモリへは電源が供給され、データは保持される(中島省吾｢面倒なシャットダウン操作がなぜ必要なのか?｣日経Windowsプロ(2003.9)125)。停止や休止状態に比べ素早く復帰させることができるが、状態を維持するのに余分の電力が必要である。

対応していないAPや周辺機器でスタンバイ状態にすると正常に動作しなくなることがある(NEC・Value Star NX困った時のQ&A(1999)39)。プリンタの使用中、インターネットに接続中、CD-ROMの読み込み中等にスタンバイ状態にすると正しく復帰できない場合がある(NEC・Value Star NXまずこれ!接続と準備(1999)89)。

Disk

【Disk Management】W2Kはディスク装置でもPlug & Playが有効である。ディスクの状態が自動認識されない場合は [コンピュータの管理] の [ディスクの管理] でディスクを再スキャンすればよい。

【Disk Quota】ディスククォータはユーザー毎に使用するディスク容量を制限できる機能である。ディスククォータはNTFSファイルシステムでのみ利用可能。FATでフォーマットされている場合、クォータは設定できない。

ディスククォータは、ユーザーからはディスクの容量として認識される。ユーザーはクォータを超過した場合、｢ディスクが満杯｣という意味のエラーを受け取る。NTFSファイル圧縮を使った場合でも、圧縮前のファイルサイズで計算されるので、10MBのファイルは、圧縮サイズにかかわらず、ディスククォータ管理上10MBの領域を利用したものとして計算される。

［クォータ制限を超過したユーザーのディスク割り当てを拒否する］の設定がオフの時は、クォータは有効にならない。

ディスククォータは管理者権限を持つユーザー(Administratorsグループに所属)に対しては有効にならない。あるユーザーが制限ユーザーを示すUsersグループと管理者ユーザーを示すAdministratorsグループの両方に所属している時には、Administratorsグループに所属していることが優先され、やはりクォータは有効にならない。

【S/W RAID】W2KはNTが備えるS/W RAID機能を引き続き搭載している。但しS/W RAIDを構成するには、ベーシックディスクという基本状態をダイナミックディスクに変更する必要がある。対象となる複数のディスクが共にダイナミックディスクになっている必要がある。ミラー先のディスクは、領域が未割り当ての状態でなければならない。

・シンプルボリュームは1台の物理ディスクに作成した領域。

・スパンボリュームは複数のディスクの空き領域を1ボリュームとして構成する。このボリュームにファイルを保存すると、ディスク番号の小さいものから順に領域を埋めていく。NTFSでフォーマットした場合は後から領域を拡張できる。ストライプボリュームと同じサイズを実現できるが、性能が向上しない。

・ストライプボリュームは複数の物理ディスクの同じサイズの空き領域を1ボリュームとして構成する。ファイルは64KB単位で構成する各ディスクに分散して保存される。そのため、最大の記憶領域と最大の性能を実現でき、複数ドライブで高速な論理ドライブを作る場合に使われる。

・ミラーボリュームはRAID-5と共にフォールトトレラント構成である。ミラーボリュームは既存のパーティションに追加できるので、バックアップと復元の作業は必要ない。ミラーリングは可用性の確保を図ることができ、セキュリティコントロールの回復の観点からの対策になる。ミラーリングが可能なのはサーバーOS版のW2Kだけである。

・ RAID-5ボリュームはW2K Professionalでは構成できない。フォールトトレランス性は高まるが、3台で構成した場合、容量が2/3になってしまう。

システム/ブートパーティションはシンプルボリューム・ミラーボリュームのみ構成でき、ストライプボリュームやスパンボリュームは構成できない。複数ディスクにまたがる論理ドライブはダイナミックディスクでしか構成できない。ブートドライブをダイナミックディスクにしても動作する。ドライブ文字を最低限に抑えるには、マウント機能を使う。

ディスクドライブで何らかのエラーが発生した場合、[ディスクの管理] では、[オフライン]、[オンライン(エラー)]と状態が表示されることがある。この場合、[ディスクの管理] でエラーの発生しているディスクを右クリックし、[ディスクの再アクティブ化] を選ぶことで、エラー状態を修復することができる場合がある。これによりディスクの状態が正常に戻ればディスクの交換等の作業は必要ない。もしもディスクの状態が正常に戻らない、あるいは、その後再度同じディスクでエラーが発生する場合は、ディスクを交換し、ボリュームの修復作業を行う。

【PUSHD】｢PUSHD \\サーバー名\共有名｣を実行すると，ネットワークドライブの割り当てが実行され、割り当てられたドライブにカレントディレクトリが移動する。POPDコマンドを実行するとPUSHDを実行した時点のディレクトリに戻る。同様の操作がローカルドライブのディレクトリについても可能である。

【Check Disk】セクタ検査を含めて、ディスク状態を検査する場合、CHKDSKコマンドとエラーチェックの2通りの方法がある。

CHKDSKの /R オプションは /F オプションを含んでいるため、/R オプションだけで修復が完了する。/F オプションだけではセクタ検査はしない。

エクスプローラなどでディスクのプロパティを表示し [ツール] タブの [エラーチェック] グループにある [チェックする] をクリックし [不良なセクタをスキャンし、回復する] を選ぶ。

CHKNTFS /Cコマンドは、ブート時にドライブを検査するようにスケジュールする。ドライブにエラーがある場合、再起動時にCHKDSKが起動されるが、セクタ検査はしない。

Reliability

コンピュータは｢マシンが起動しなくなるかもしれない｣というリスクを抱えている。Windowsシステムの安定性は徐々に向上しており、意識することは少なくなっているが、Xデーはある日突然やってくる。この際に活躍するのが復旧のための機能である(回復コンソール、セーフモード、自動システム回復)。

【システム修復ディスク】システム修復ディスクはバックアップツールを使用して作成する。RDISKコマンドはWindows NT 4.0の修復ディスク作成コマンドである。MAKEBT32コマンドはW2Kのセットアップディスクの作成コマンドである。[ディスクの管理] にはシステム修復ディスクを作成するメニューはない。

【復元】ブートレコードが壊れていない場合は、必要なファイルをシステムパーティションにコピーするだけで復元できる。NTLDRは、W2K ProfessionalのCD-ROMに含まれるので、EXPANDコマンドで復元できる。システム修復プロセスでも復元は可能だが時間がかかる。

MS-DOSからW2Kの起動フロッピーディスクは作成できない。但し、別のW2Kシステムが使えれば、そこから起動フロッピーディスクを作成できる。

【Bind】コンピュータに複数のプロトコルがインストールされている場合、その使用する優先順位を設定するためには、バインドを使用する。バインドの設定は、[ネットワークとダイヤルアップ接続]の[詳細設定]メニューの[詳細設定]から行う。[アダプタとバインド]タブの[ローカル接続のバインド]で優先して使用したいプロトコルを上に設定する。

【前回正常起動時の構成】システム構成に変更を加えた後、STOPエラーが発生し、W2K Serverが正しく起動しない場合は、まず、｢前回正常起動時の構成｣を試みる。これにより、レジストリ情報を、デバイスドライバを更新する前の状態に戻すことができる。

｢前回正常起動時の構成｣はレジストリ値を以前の値に戻すが、ファイルを復元するわけではない。そのため、ドライバの更新によるトラブルには対処できない。「前回正常起動時の構成」はWindows NT 4.0と変わっていない。

【Safe Mode】セーフモードは、基本的なファイルとドライバ(マウス、キーボード、大容量記憶装置、VGAドライバ)のみを使って起動する。ほとんどのサービスとデバイスドライバは停止した状態である。この状態で起動すれば、追加したデバイスドライバを無効にする等の作業を行うことができる。

セーフモードでも、バックアップツールは起動できる。システムファイルが破損・消失している場合やHDに損傷・障害が発生した場合はセーフモードでも動作しないことがある(森美咲=仲山浩太郎・MCP/MCSE攻略ハンドブック(リックテレコム2001)252)。

STOPエラー発生時には、再起動を繰り返しても意味がないし、再インストールを行うのは、前回正常起動時の構成やセーフモードでの作業を行ってもシステム状態を修復できない時である。

【回復コンソール】回復コンソールは、W2KのCD-ROMやセットアップディスクなどから起動した後、セットアップの最初の画面から修復を選択することで起動できる。起動時の [F8] キーでは回復コンソールを選べない。起動時の [スペース] キーはWindows NTの機能である。

W2KのCD-ROMから\I386\WINNT32 /CMDCONSを実行すると、回復コンソールをコンピュータにインストールできる。回復コンソールをインストールすると、オペレーティングシステムの選択メニューに回復コンソール起動用のメニューが加わる。ネットワークインストールでも回復コンソールは実行可能であるが、時間がかかるので適切ではない。

W2Kでは、回復コンソールを使うことで、ウィンドウシステムを含め、ほとんどのデバイスが動作していない状態で起動することができる。回復コンソールのコマンドDISABLEコマンドを使って、デバイスドライバを停止状態に設定すれば、再起動してもデバイスドライバが起動しない。ドライバを更新した場合、以前のファイルが上書きされている可能性がある。

【ファイル保護機能】Windowsファイル保護機能により、W2Kのシステムファイルは以下の4種類の方法でしか変更できない。修正されたファイルは保護の対象になるので、削除した場合は以前のファイルではなく新しいファイルで復元される。

・サービスパックをインストールするUPDATE.EXE

・修正モジュールをインストールするHOTFIX.EXE

・ WINNT32.EXEによるOSのアップグレード

・ Windows Update

【Offline Folder (File)】オフラインフォルダは、ネットワークドライブ上にあるファイルやフォルダを、ローカルのハードディスクにコピーしておき、オフラインでもアクセスできるようにする機能である。ネットワークが切断されても、ネットワーク上にファイルがあるかのように利用することができる。

オンライン／オフラインを問わず、同じファイルパスでアクセスすることができる(本田雅一｢Windows 2000とモバイル機能｣Impress PC Watch 1999.6.29)。オフラインファイルはHDが壊れた場合の復旧の道具になり得る(A. Sugano｢あなたの災害復旧計画を検証する｣日経Windowsプロ(2003.11)168)。

オフラインファイルの機能を利用するにはサーバー、クライアントの両者で設定が必要である。サーバーではオフラインでの利用を許可する共有フォルダのプロパティ画面を表示し、[共有]タブから[キャッシュ]ボタンをクリックする。[キャッシュの設定]画面で[この共有フォルダで、キャッシュを可能にする]を有効にする。

クライアントでは[エクスプローラ]で[ツール]の[フォルダオプション]の[オフラインファイル]タブで[オフラインファイルを使えるようにする]を有効にする。W2K Professionalはデフォルトで有効になっている。W2K Serverはデフォルトで無効である。

オフラインで使用するファイルをクライアントコンピュータに保存する方法は、サーバーの共有フォルダのプロパティ画面で[キャッシュ]ボタンをクリックして[設定]のドロップダウンリストから選択する。以下の3項目から選択する。

・ドキュメントの自動キャッシュ…クライアントがアクセスしたファイルは自動的にキャッシュされる。自動キャッシュの設定を行えば、ユーザーが意識しなくてもオフラインで使用できるようになる。

・ドキュメントの手動キャッシュ…クライアントがキャッシュするファイルを右クリックして、メニューから[同期]を選択することでキャッシュされる。

・プログラムの自動キャッシュ…クライアントがアクセスしたファイルは自動的にキャッシュされる。これは読取専用のデータやAPプログラムをキャッシュする際に利用する。

Performance

【Task Manager】タスクマネージャは、多くの情報を入手することはできないが、通常のプロセスよりも高い優先度クラスで動作しているため、高い負荷がかかっている状況でも利用しやすい。

タスクマネージャでは現在のメモリ使用量を確認できる。タスクマネージャの [パフォーマンス] タブにある [コミットチャージ] は、システムで使われているメモリの総計である。仮想記憶の仕組みにより、コミットチャージは搭載されている物理メモリのサイズを超えることができる。

しかし、コミットチャージよりも物理メモリの方が多い場合に最適なパフォーマンスを発揮する。コミットチャージ以上に物理メモリを搭載した場合、ファイルキャッシュ等に動的に割り当てられる。また、新規にAPがメモリを要求した場合に迅速に割り当てることができるようになるため、さらに性能向上が期待できる。

コミットチャージの制限値は、利用可能なメモリ空間サイズの最大制限値。物理メモリ・サイズ＋ページ・ファイル・サイズになっている。ページ・ファイル・サイズのデフォルト値は物理メモリ・サイズの1.5倍なので、合計で物理メモリ・サイズの2.5倍まで増やすことができる。ページ・ファイル・サイズをより大きなサイズにすることもできるが、スワップ・イン、スワップ・アウトによるパフォーマンス低下が大きくなるので、メモリを増設する方が望ましい。

[プロセス]タブではプロセス一覧が表示され、プロセス別のメモリ使用量も把握できる。[表示]から[列の選択]をクリックして、[スレッドの数]ボタンをチェックすると、タスクマネージャ上で各プロセスが生成したスレッド数を確認できる(宇野俊夫｢基礎から固めるPC Server｣日経Windowsプロ(2003.11)163)。

【Counter Log】長時間に渡って性能を監視する場合、[パフォーマンス] ツールの[カウンタログ] を利用すると便利である。[カウンタログ] では、監視結果をファイルに保存することができる。保存された結果は [システムモニタ] により後から参照できる。

[システムモニタ] では観察したいオブジェクトを登録し、利用状況をグラフ化して観察できる。リアルタイムで表示されるが、記録には向かない。[タスクマネージャ] の使用も同様である。[トレースログ] を利用して記録することは可能であるが、ログを解析するためにプログラムを書く必要があるので現実的ではない。

【Counter】パフォーマンスの傾向をつかむには以下のカウンタを使う。カウンタとは特定のオブジェクトにつき、利用可能なデータの種類を定義したものである。

Processor: %Processor Time (_Total) カウンタはCPUが使用されている時間の割合を示す。この値が頻繁に80%を超える場合、CPUにかなりの負荷がかかっていることが考えられる。

System: Processor Queue Length カウンタはCPUの実行待ちをしているスレッドの数で、この値が頻繁に2を超える場合、CPUにかなりの負荷がかかっていることが考えられる。

Process: %Processor Timeは特定のプロセスのためにCPUが使用されている割合が表示される。

Memory: Pages/secカウンタは1秒あたりのページングの回数である。即ち、要求されたデータがメモリに存在しない時に、ディスクから読み出す必要があった回数。この値が常時大きい場合(20以上)はメモリが足りないことが考えられる。

【CPU使用率】CPU使用率が100%近くに達しているが目標とする性能が出ない場合はCPUリソースにボトルネックがあるため、更にパフォーマンスを向上させるためにはCPUを強化する必要がある。

CPU ボトルネックの主要な原因は、CPU を専有するAPと、ディスクまたはネットワークサブシステムの不適切なコンポーネントによって発生する過剰な割り込みである。AP内のCPUリソース消費の高い部分を見つけ出し高速化することによりボトルネックを除去することができる。

【メモリ使用量】全体的なパフォーマンスを最適化するには、メインメモリをできるだけ効率的に使用して、ページングを最小限に抑えるような処置が必要。メモリにボトルネックがある場合、ページフォールトが頻発する。その場合は物理メモリの増設を検討しなければならない。

メモリ増設はシステムの性能低下を回避するが、それ自体はシステムを高速化する効果はない。但し余剰物理メモリをシステム・キャッシュとして利用することにより、I/Oのパフォーマンスを向上させることができる。

負荷テスト中に使用メモリが一方的に増加する場合、APにメモリリークが発生していることが考えられる。APのメモリ使用量が異様に低い場合、APに十分なメモリとキャッシュが割り当てられていることを確認する。

APの実行を速くするためには、メモリ使用量の構成でプログラムを優先する。

【Disk I/O】高いディスクパフォーマンスは、仮想メモリのパフォーマンスを強化し、大量のI/Oを行うプログラムのロード時間を削減する。ディスクI/Oにボトルネックがある場合、スループットを向上させる処置を講じる(ex.ファイルの移動、より高速なボリュームの導入、ファイルのストライプ化)。

ディスクI/Oが高い場合は、ログの出力量が最適化されているかを確認する。ログ出力量が多いと、システムに負担をかけ、結果的にユーザー要求の処理に多くの時間を要する。

ディスクアクセス用のカウンタはPhysicalDiskオブジェクトのみデフォルトで使用可能である。Physical Disk: %Disk Timeはディスク入出力を行っている割合を示す。論理ドライブ用のLogicalDiskオブジェクトは、ディスクアクセス時間を増加させるので、システム起動時には自動的に起動しない(Microsoft｢Windows NT Serverの最適化とチューニング｣(1997))。

LogicalDiskを有効にするには、コマンドプロンプトからDISKPERFコマンドを実行する。DISKPERFのオプションは以下の通りである。何れの場合も、再起動後に有効になる。

-YV(-NV) LogicalDiskオブジェクトを有効(無効)にする。

-YD(-ND) PhysicalDiskオブジェクトを有効(無効)にする。

-Y(-N) 両方のオブジェクトを有効(無効)にする。

【Fragmentation】断片化はファイルがディスク上の連続していない領域に分散して保存された状態である。ファイルの作成や削除を繰り返すことにより、ディスク上の空き領域が分散し、新たなファイルは分散した空き領域に保存されることになるため、生じる。断片化はディスクアクセスのパフォーマンスを低下させる。

断片化はデフラグで解消する。デフラグはHDのファイルや未使用領域を再配置し、プログラムの実行速度を上げる効果をもたらす。Windowsのデフラグ・ツールは、フラグメント化がひどく進んでいたり、作業領域がほとんどなかったりすると、ディスクを処理できなくなる。頻繁にデフラグ・ツールを走らせるように心がけていればこの問題はめったに表面化しない(D. Chernicoff｢ディスク管理ツールの正しい使い方｣Windows Server System Review 2003.11.12)。

Windows 2K/XP/2003の最適化ツールは、一部のファイルを最適化しない。例えばシステムを休止状態にするときにメモリー・イメージを書き出すhiberfil.sysファイルを標準の最適化ツールは処理しない。仮想記憶に使われるpagefile.sysも標準のツールでは最適化しないし、［ごみ箱］の中のファイルや開かれているファイルも対象外となる。

Desktop

【Security Dialogue Box】W2Kにユーザーがログオンした状態で、CTRL-Alt-Deleteキーを押すと、セキュリティダイアログボックスが開く。ここからは、コンピュータのロック、タスクマネージャの起動、シャットダウン、ログオフ、使用中のユーザーのパスワード変更を行うことができる。

【Locale】W2Kは、ユーザー毎にロケールの設定を変更できる。あるユーザーがログオンしてロケールを変更しても、別のユーザーには影響しない。管理者はデフォルトのロケールを変更できる。設定はログオンし直さないと有効にはならない。

言語の切り換え、IMEの設定変更、一般ユーザーの権限で可能である。但し、管理者によって、事前にその言語がインストールされている必要がある。言語やIMEの追加、キーボードドライバの変更には管理権限が必要である。

英語版W2Kでは、従来のロケール設定に加えて、外国語の表示と入力、キーボードドライバをサポートしている。ほとんどのAPのインストールも可能である。ただし、ヘルプとメニューは英語版のままである。これらの一部は、英語版W2KにMulti Language Versionをインストールすれば解決する。

使用言語の設定はコントロールパネルから[地域のオプション]を起動し、[全般]タブの[ロケール]から使用する言語を指定し、[入力ロケール]タブで使用する言語に対応したMS-IMEを既定のそれとして設定する。この設定はユーザープロファイルに保存されるため、ユーザー毎にログオンして設定することにより、各ユーザーのユーザープロファイルに設定情報が保存される。

【ユーザー補助のオプション】W2Kには、標準のキーボードやマウスが使いにくい人のために、シリアルキーデバイスを利用する機能がある。[コントロールパネル] の[ユーザー補助のオプション] では、シリアルキーデバイスを接続したCOMポートを指定し、正しい通信速度を設定する必要がある。BIOS設定の通信速度は無視される。LPTポートはシリアルキーデバイスには使えない。

ユーザー補助の｢固定キー｣機能を使うと、シフト、コントロール、Alt、Windowsキーを1度押した場合、他のキーを押すまでそのキーが有効になる。1台のPCを複数のユーザーで使う場合、一定時間たつと自動的に固定キーの機能を無効にすることができる。無効になった場合でも、Shiftキーを5回押すと固定キーが有効になるように設定することもできる。複数のキーを同時に打鍵すると「そのユーザーには固定キーの機能は不要だ」と判断して、固定キーの機能が無効になる。これらの設定は全て [ユーザー補助のオプション] で設定する。

【日付と時刻の設定】Windowsでは、内部で日付や時間を管理していて、それを基にタスクバーに時刻を表示する。この時刻は、普通の時計に比べて非常に狂いやすく、しばらく見ていなかったら、数十分ずれていたということもある。これを修正するには、コントロールパネルの "日付と時刻" を使う。タスクバーの左端にある [スタート] をクリックする。[設定] の上にマウスの矢印を動かす。

[コントロールパネル] をクリックする。開いたウィンドウの中に "日付と時刻" というアイコンがあるので、そのアイコンをダブルクリックする。時刻を変更するには、右側にある入力欄の数値をクリックして、↑キーや ↓キーを押す。変更後、OKをクリックする。これで、時計に表示される時刻が変更される。

【enviromental variament】環境変数にはユーザー環境変数とシステム環境変数がある。。ユーザー環境変数はそのユーザーでログオンしている間のみ有効で、システム環境変数は、ログオンしているユーザーに関わらず、システム全体に適用される。システム環境変数は、Administrator か、Administrator グループに属しているユーザーでないと設定・変更できない。

環境変数は、コントロールパネル・マイコンピュータのプロパティから追加、変更、削除できる。変更を加えた後で再起動する必要はない。変更は、[システムのプロパティ] ダイアログボックスを閉じた後すぐに有効になる。環境変数変更後に起動するAPでは、新しい設定が使用される。変更を加える前に実行されたAPでは、変更は認識されない。

User Profile

【User Profile】W2Kでは、ユーザー固有の情報(プログラムの項目、画面の配色、ネットワーク接続、マウスの設定、ウィンドウのサイズと位置、デスクトップの設定)をユーザープロファイルに保存する。これにより同一コンピュータであってもログオンするユーザー毎に異なる作業環境を提供できる。プロファイルにはローカルユーザープロファイル、移動ユーザープロファイル、固定ユーザープロファイルがある。後二者を利用するには、ネットワークサーバが必要。

【Local User Profile】ローカルユーザープロファイルがデフォルト。利用するコンピュータ毎にユーザーのデスクトップ環境を保存する。ユーザーがログオンすると、システムはインストール時にブートパーティションに作成されたDocuments and Settingsフォルダに、そのユーザーのローカルユーザープロファイルがあるか確認する。

ユーザーが初めてログオンした時は、ユーザー名と同じフォルダが自動生成され、そのユーザーのローカルユーザープロファイルがNTUSER.DATとして保存される。初めてのログオンの時はデフォルトのプロファイルが適用されるが、2度目以降は各ユーザーのプロファイルが適用される。ユーザーが行った変更はログオフ時にプロファイルに保存される。

ユーザーが利用するコンピュータを変更すると、そこで新たにデスクトップ環境が作成され、保存される。他のコンピュータで保存した環境を使用することはできない。

【移動・固定ユーザープロファイル】移動プロファイルと固定プロファイルはシステム管理者が作成するプロファイルで、ネットワーク上の共有フォルダに保存する。ユーザーアカウントのプロパティで、システム管理者が作成したプロファイルを設定する必要がある。

移動プロファイルはユーザーがドメインにログオンした時に有効になるので、ユーザーが利用するコンピュータを変更しても、常に同じデスクトップ環境を使用することができる。移動プロファイルは、ユーザーがログオフする際、サーバーに自動的に更新される。

固定プロファイルはドメインを利用する複数ユーザーに同じデスクトップ環境を提供する。固定プロファイルを変更できるのは、システム管理者のみで、ユーザーは自分で設定を変更できない。

【User Setting】ユーザーの設定を初期化する最も簡単な方法はプロファイルの削除である。Documents and Settingsフォルダを削除してもレジストリ情報は削除されない。ユーザーアカウントを削除するとSecurity ID(SID)が変化するため、以前作成したファイルへアクセスできなくなる可能性がある。別のコンピュータを使ってもプロファイルは初期化されるが、以前使っていたコンピュータに保存されたプロファイルは消えない。

Network

【TCP/IPの構成】Windowsでは98以降、ネットワークの標準プロトコルとなり、デフォルトでTCP/IPプロトコルがインストールされる。W2Kでは「マイコンピュータ」→「コントロールパネル」→「ネットワーク」を開いて構成を確認し、そこに"TCP/IP" 又は "TCP/IP->ダイヤルアップアダプタ" があればインストールされている。もし存在しない場合は、以下の方法で追加する。

1.「追加」をクリックし、「プロトコル」を選択し、さらに「追加」をクリック。

2.製造元から「Microsoft」を選択。

3.ネットワークプロトコルから、「TCP/IP」を選択して「OK」をクリック。

4.その後は画面の指示に従って再起動する。

TCP/IPが存在していても、ダイヤルアップアダプタとのバインド状態に異常をきたしている場合がある。以下の方法で一旦アンバインドし、TCP/IPの再インストールを行えば、問題が解消される可能性がある。

1."TCP/IP" 又は "TCP/IP->ダイヤルアップアダプタ"を選択し、「削除」をクリック。

2.「追加」をクリックし、上記の「追加方法」に従って、TCP/IPをインストールする。

ネットワークの変更作業はPCが通信不能になる等の危険を伴う作業であり、必ず重要なファイルを、フロッピーディスク等にバックアップし、windowsのCD-ROMを手元に用意した上で作業を行う。

TCP/IPプロトコルの構成は、ネットワークが1つのサブネットワークで構成されている場合は、IPアドレスとサブネットマスクの設定だけでよいが、ルータを介して複数のサブネットワークで通信する場合は、デフォルトゲートウェイの設定が必要になる。コンピュータはリモートネットワーク上のコンピュータと通信する際に、デフォルトゲートウェイに指定したルータにパケットを送信し、ルータはそのパケットを目的のコンピュータに転送する。

【Domain Suffix】ドメインサフィックスは、TCP/IPプロパティの [詳細設定] にある[DNS]タブで [以下のDNSサフィックスを順に追加する] で追加すればよい。デフォルトでは親ドメイン、プライマリサフィックス ([コントロールパネル] の [システム] から [ネットワークID] で設定可能)、接続用のサフィックスの検索ができる。ドメインツリーや信頼関係、DNSサーバーとは無関係である。

【IPX/SPX】IPX/SPXプロトコルは、複数のフレーム種類をサポートする。Ethernetの場合、Ethernet 802.2、Ethernet 802.3、Ethernet II、Ethernet SNAPの4種類があり、どのタイプを使用するかは、NetWareサーバーがそれぞれ決めている。特定のNetWareサーバーと通信するためには、そのサーバーの使用しているフレーム種類と同じタイプのものを使用する必要がある。

NetWareは、過去の経緯により、Ethernetフレームの利用方法のデフォルト値が3.11以前(802.3)と3.12以降(802.2)とで異なる。デフォルトでは、NWLink(Windows 2K/NT上でのIPX/SPXインプリメント)はフレームタイプを自動検出するが、NWLinkがIPXパケットを検出しない場合や802.2フレーム以外の種類のフレームが検出された場合は、フレームの種類を802.2に設定する。そのため、フレームタイプの混在環境では802.3フレームとの通信に支障をきたす場合がある。

【WINS(Windows Internet Name Service)】TCP/IPの場合、全てのネットワーク機器は、IPアドレスを使ってネットワーク接続する。しかし、IPアドレスは機械にとっては分かりやすくても、人間にとっては無機質で扱い辛い。これを補う方法として、WindowsではNetBIOS名を使用している。最も分かりやすい例では、コンピュータ名がこれにあたる。WINSサーバーは、このコンピュータ名等、NetBIOS名を管理し、IPアドレスに変換(もしくは逆)する。

【NetBIOS over TCP/IP】LAN Manager for UNIXは、NetBIOS over TCP/IPを使う。NetBIOS over TCP/IPは、W2K ProfessionalにTCP/IPをインストールすると自動的に使えるようになる。

【Local Area Network】ネットワークアダプタカードが検出され、正しくデバイスドライバが組み込まれ、動作すると、[ローカルエリア接続]は自動的に表示される。[ローカルエリア接続]が表示されないということは、これらが正しく行われていない可能性がある。従って、[デバイスマネージャ]でネットワークアダプタカードが正しく組み込まれているか、デバイスドライバが正しく動作しているかを確認する必要がある。[ローカルエリア接続]を手動で追加することはできない。

【Internet Connecting Sharing】インターネット接続の共有は、W2K ProfessionalおよびW2K Server(スタンドアロンサーバー)で設定可能である。インターネット接続の共有は、内部から外部ヘ通信する時、アドレスとポート番号の付け替えを行う。具体的にはネットワークインターフェースのアドレスを強制的に192.168.0.1に設定してしまう。同時にDHCPサーバーの機能を持つため、他のコンピュータをDHCPクライアントにするだけでインターネットへのアクセスが実現できる。

Webサーバーや電子メールの利用は問題なく行える。しかし既存のLAN環境と整合性が取れなくなる。既に静的にIPアドレスを割り当てていた場合は、通信ができなくなる可能性が高い。また、IPSecのAH(Authentication Header) は、IPアドレスとポート番号が変更されていると不正なパケットとして処理してしまう。DCOMはポート番号をダイナミックに割り当てるため、ポート番号の単純な変換処理ができず、インターネット接続共有からは使えない。

インターネット接続の共有機能を使ってVPNを構築しているが、正しくルーティングできない場合、ルーティングテーブルの更新を自動的に行う必要がある。そのためには、RIPバージョン2またはOSPFが必要である。

インターネット接続の共有では、イントラネット上で稼動する幾つかのサーバサービスをインターネットに公開することができる。この機能を利用するには、［インターネットの共有の設定］画面で、［サービス］タブを選択し、サービス一覧からFTPサーバーを選択して、FTPサーバーが使用するIPアドレスを設定する。

【NAT(Network Address Translation)】ネットワークアドレス変換NATは、プライベートアドレスとグローバルアドレスの変換を1対1で行い、インターネットアクセスを可能にする。一般のルーターに付いている機能である。

オフィスや家庭内のLANからインターネットに接続する時は、プライベートアドレスをグローバルアドレスに変換することで、複数のパソコンをインターネットにつなぐ。ブロードバンド化が進んだことで、ルーターを用いて家庭内LANを組む家も増えている。

NATは多数のプライベートIPアドレスを1つ又は数個の共有グローバルIPアドレスに変換し、インターネット上でプライベートアドレスが利用されるのを防ぐ(中島省吾｢ネットワーク上のマシンとなぜ通信できるのか[前編]｣日経Windowsプロ(2003.11)140)。

NATはW2K Serverでのみ設定可能であり、インターネット接続共有と比べて自由度の高い設計が可能である。1対多でアドレス変換する機能をIPマスカレードと言う。こちらは複数のプライベートアドレスで、1つのグローバルアドレスを利用することができる。

NATを使用するには、まずインターフェースを作成する必要がある。NATを有効にするインターフェースはインターネット側、LAN側の両方である。デフォルトルートはインターネットインターフェースに設定する。最低限必要な手順を考えるとDNSサービスを構成する必要はない。他のコンピュータが実行するDNSを使用できる。

NATやインターネット接続の共有は、外部からのアクセスに制限が強く、自由なアクセスができるわけではない。また、セキュリティの確保も困難な場合が多い。国際電話は通信コストが極めて高い。

【ping】pingコマンドではパケットを指定したホストに送信し、接続が確立しているかどうかを調べる(田端健二｢システム管理の基礎｣日経Windowsプロ(2003.9)117)。pingを各機器に定期的に打つ(送信する)ことにより、該当の機器が｢生きて｣いるか｢死んで｣いるかの判別がつく(秋山浩一｢ネットワーク健全化の実作業はこれだけある｣@IT Master of IP Network 2004/1/15)。

PingにはIPアドレス以外にコンピュータ名を指定できる。コンピュータ名しか分からないWindowsマシンのIPアドレスを調べる場合はpingコマンドを使う。｢ping ComputerName｣とコマンドを入力する。結果は｢Reply from 192.168.0.6:bytes=32 time<1ms TTL=128｣という具合にIPアドレスで表示される。

IPアドレスを調べる場合はipconfig /allを使う。Windows95･98･MeではWinipcfg.exeというプログラムを実行する。

【DHCP: Dynamic Host Configuration Protocol】W2K Server は、DHCP サービスを提供する。このサービスを使用すると、サーバーコンピュータはDHCPサーバーとして機能し、ネットワーク上で DHCP の有効化されたクライアントコンピュータを構成できる。

クライアントコンピュータのTCP/IPのプロパティで [IPアドレスを自動的に取得する] が選択されていると、DHCPサーバーがある場合、このサーバーからTCP/IPの構成情報を取得し、TCP/IPが自動構成される。

【Auto Private Internet Protocol Addressing】自動プライベートアドレス指定APIPAはIPアドレスを自動的に割り当てる機能である。DHCPサーバーがない場合又は通信できない場合、169.254.0.0/16のアドレスを各コンピュータで自動生成する。APIPAはDHCPクライアントを設定すると同時に有効になるようにデフォルトで設定されている(｢おかしなIPアドレスが割り当てられ、サーバーと通信できない｣日経Windowsプロ(2003.9)73)。

自宅でのプライベートネットワークでは、この自動生成機能を利用するのが最も簡単な構成方法である。ただし、この機能はIPアドレス、サブネットマスクのみ設定されるので、ルーターやDNSサーバーを使用するようなネットワークでは不適切である。

【Port】Windows NT/2000/XP/2003には標準で｢TCP/IPフィルタリング｣機能(NTでは｢TCP/IPセキュリティ｣機能)が搭載されており、特定のポートだけを開ける設定が簡単にできる。

[ダイヤルアップ接続]のプロパティの[共有]タブにある[設定]ボタンは、特定のポートへのアクセスを内部ネットワークのサーバーに割り当てる仕組みである。この機能を使うことで、外部ネットワークから内部ネットワークのホストに存在するサービスを利用できる。

【DNS Server】IPアドレスでのアクセスができて、ホスト名でのアクセスができないならば、DNSサーバーにアクセスできない可能性が高い。DNSはインターネットでの基本サービスであり、サポートしていないISPはない。WINSをサポートするISPは事実上存在しないが、ホスト名解決にWINSは不要である。通常、RASクライアントはDNSサーバーのアドレスなどをRASサーバーから自動的に入手するが、ISPによっては自動的に入手できない場合がある。この場合、[ダイヤルアップ接続] のプロパティを開き、[ネットワーク] タブのTCP/IPプロパティでDNSサーバーのアドレスを指定する必要がある。

【Virtual Private Network】VPNは、パブリックなネットワーク(ex.インターネット、公衆網)をプライベートなネットワークとして使うサービスやシステムである。プライベートなネットワークパケットをパブリックなIPパケットでカプセル化する技術である。

拠点間を専用線のように相互に接続するため、安全な通信が可能である。インターネット上を流れるデータは、暗号化された上でパブリックなIPパケットでカプセル化されるため、セキュリティを保つことができる。

サーバー、クライアントともにインターネットに接続するだけでよいので、通信コストを大幅に削減できる。そのため、コストのかかる専用線やフレームリレーの代替になる新しいインフラとして、企業を中心に着実に浸透している。

VPNを利用した通信を行うには、接続点にVPN機能を備えた専用装置が必要となる。VPN装置はセキュリティにかかわる技術を実装しているので、ソフトウェアやファームウェアは常に最新に保つ必要がある。従って、バージョンアップやパッチの適用は小まめに行うべきである(松島正明｢【特集】VPNの実力を知る(前編)｣@IT 2003.12.13)。専用のVPNサーバーは高速で安定しているが、RASサーバーをVPNサーバーとして使った方がコストを低く抑えられる。

IP-VPNはIPしか通せないサービスであるため、VPNサービスを導入する場合は、全てのAPがIP化する必要がある(大宅宗次｢VPNでQoSの確保は難しいのか｣@IT Master of IP Network 2003.11.29)。

【Tunneling Protocol】トンネリングプロトコルはVPN回線を作成する時点での認証である。

・ L2TPは、セキュリティを確保するために、コンピュータ証明書を使ったIPSecを利用する。W2KでVPNを使った場合のデフォルトである。デフォルトではKerberos認証を使うが、その他にコンピュータ証明書と仮共有キーによる認証が利用できる。証明書サービスが必要であり、コンピュータ証明書を使用するには以下の何れかの設定を行う。

Ø W2Kドメイン内のコンピュータの場合は、コンピュータ証明書の自動割り当てを構成する。

Ø 証明書マネージャを使用してコンピュータの証明書を取得する。

・ PPTPは、ユーザー認証のみを使用するので、コンピュータ証明書は必要ない。PPTPによる接続が正常に完了していれば、ユーザー認証の設定は問題ない。

【ユーザー認証】

・ MS-CHAP(Microsoft Challenge Response Authentication Protocol)はMicrosoft独自の認証方式。Challenge Response方式により認証を行い、パスワードとデータが暗号化される。

・ MS-CHAP Version 2はMS-CHAPの暗号化機能を強力にし、セキュリティ上のリスクを削減した認証方式。パスワードとデータが暗号化される。W2Kのみが使用可能。

・ SPAP(Shiva Password Authentication Protocol)はShiva LAN Roverで使う認証方式。パスワードのみ暗号化され、データは暗号化されない。

・ CHAP(Challenge Response Authentication Protocol)はインターネット標準。MD(Message Digest)5ハッシュ方式を使用して暗号化された認証を行う。PPPのリンク確立後、一定の周期でチャレンジメッセージを送り、それに対して相手がハッシュ関数による計算で得た値を返信する。パスワードは暗号化されるが、データは暗号化されない。

・ PAP(Password Authentication Protocol)はクリアテキスト認証ともいう。パスワードもデータも暗号化されない。Windows以外のRASサーバーに接続する際に使用する場合がある。

【Extensible Authentication Protocol】拡張認証プロトコルEAPはPPP (Point-to-Point Protcol)を拡張したユーザー認証プロトコル。セキュリティデバイスと組み合わせて使用する。認証後の通信データも暗号化できる。

・ TLSはスマートカードベースのプロトコルである。クライアントとサーバー双方に登録された電子証明書を使う。

・ IEEE802.1xは主にRADIUSサーバーを使用して、一元的な無線LANのアクセス管理を行う。

【Internet Authentication Services(IAS)】WindowsサーバーでRADIUS(Remote Authentication Dial-In User Service)サーバーを実現するための機能。VPNやダイヤルアップ環境といった外部からのネットワーク接続要求に対し、ユーザー情報やアクセス情報を集中的に認証・認定・監査・管理する。

このIASはWindows NT Server 4.0の初期パッケージには含まれておらず、Option Packでダイヤルアップ接続向けとして最初に提供された。その後のW2K ServerとWindows Server 2003では標準機能で搭載している。W2K以降のIASでは、Active Directoryと連携し、全社単位のユーザー情報を使ったリアルタイムでのアクセス制御を実現できる。

【RAS】RASサーバーは、RASクライアントにDHCPから取得したIPアドレスを与えることができる。但し、DHCPオプションはRASサーバーの設定がそのまま使われてしまう。これを防ぐにはRASサーバーにDHCPリレーエージェントをインストールすればよい。

W2K ProfessionalをRASサーバーとして構成した場合、接続可能なユーザーは、[ネットワークとダイヤルアップ接続] フォルダの [着信接続] アイコンのプロパティで設定する。ユーザーのプロパティでは設定できない。W2K Professionalがドメインメンバーの場合は、ドメインユーザーのプロパティで接続を許可できる。ドメインのアカウントを使ってRASサーバーに接続する場合は、RASクライアントで｢NetBIOS Domain Name\User Name｣又はUPN(User Name@Active Directory Domain Name)を指定する。

【Remote Authentication Dial In User Service】RADIUSは米Livingston Enterprisesによって開発されたリモート・アクセスにおけるユーザー認証方式。IETFにより、RFC 2138, 2139として標準化されている。ISP(Internet Service Provider)のように、複数のアクセス・ポイントがあっても統合した認証データベースを運用できる仕組みになっている。

ダイヤルアップ・ユーザーがリモート・アクセスする場合は通常、アクセスサーバーにユーザーIDとパスワードを送信する。認証プロトコル(e.g. PAP, CHAP)でやり取りする。アクセスサーバーはRADIUSを使い、受け取ったユーザーIDとパスワードを認証サーバーに転送し、認証サーバーはアクセスの許可を判断する。ここでいうアクセスサーバーがRADIUSクライアント、認証サーバーがRADIUSサーバーである。W2K/2003サーバーはRADIUSクライアントと同サーバーの機能をともに標準で用意している。

RADIUSはユーザー認証の他、接続時間や入出力されたデータ量といったattributeと呼ばれるデータも収集できる。このため、接続情報等を収集するアカウンティング課金accountingの機能も実現できる。

【直接接続】ネットワークカードがない場合でも、2台のW2K Professionalで、[新しい接続]として[ほかのコンピュータに直接接続する]を選び、ホストとゲストを構成すれば通信できる。通信デバイスとしては、赤外線ポート、シリアルポート(COMポート)、パラレルポート(LPTポート)が利用できる。接続が完了したら、ネットワークアダプタとして利用できる。

【File Transfer Protocol】IE (Internet Explorer) を使ってFTPサーバー(ftp.hayariki.com)へ匿名アクセスする場合は、アドレス欄に｢ftp://ftp.hayariki.com｣と入力する。ユーザー名(user)とパスワード(password)を入力する場合は、アドレス欄に｢ftp://user:password@ftp.hayariki.com｣と入力する。@の前にユーザー名、@の後にホスト名が来るのはメールアドレスと同様である。基本認証のかかったWebサイトでも同様の表記法を利用できる(｢頻出Q&A｣日経Windowsプロ(2003.11)107)。

Security

【IPSecの設定】IPSecの設定を複数のコンピュータに対して行う場合、Active Directoryドメインのグループポリシーを使用するのが簡単である。例えば特定の部署に対して設定するなら、その部署のOUを作成してOUに対してグループポリシーを設定する。

クライアントがIPSecを利用できるサーバーとそうでないサーバーの両方に接続するためには、IPSecの設定で[クライアント(応答のみ)]を指定する。この場合、IPSecを使うサーバーとの通信は暗号化され、使わないサーバーとの通信は暗号化されない。

【EFS】暗号化ファイルシステムEFSはNTFSでしか使えない。ファイルやフォルダの暗号化を行うためには、回復エージェントが定義されていることが必要。ファイルやフォルダに圧縮属性が設定されていると暗号化することはできない。ファイルやフォルダに対して、圧縮属性と暗号化属性の両方を設定することはできない。暗号化を行うためには、読み取りと書き込みのアクセス権が必要である。

暗号化属性は、圧縮属性と異なり、移動の場合でもコピーの場合でも属性を維持する。フォルダが暗号化されている場合は、移動の場合でもコピーの場合でもそのフォルダ内のファイルを暗号化する。但し、コピー先がFATである等、EFS機能がなければ暗号化は解除される。

ファイルの暗号化属性は、アクセス権に影響を与えない。従って、暗号化されていても、削除のアクセス権を持っているユーザーはファイルを削除できる。アクセス権の変更も可能である。但し、ファイルの内容を参照することだけはできない。コピーや別ドライブへの移動もファイルの内容を参照しなければならないので不可能である。同一ドライブ内の移動は、ファイルの内容を読み取らずに操作するので、書き込み先のフォルダにアクセス権があれば移動できる。

【暗号化】暗号化にはファイルやフォルダのプロパティで暗号化を指定するか、CIPHERコマンドを使う。ファイルにだけ暗号化属性を指定した場合、APが作成する一時ファイルは暗号化されない可能性が高い。そのため、フォルダに暗号化を設定した方がよい。コンピュータの属性やユーザーの属性は暗号化とは無関係である。

暗号化する際に、ファイル暗号化キーFEK、パブリックキー、プライベートキーの3種の鍵が作られる。暗号化はFEKキーで行われる。FEKを暗号化したファイルに格納し、パブリックキーでFEKを暗号化する。復号化はまずプライベートキーでFEKを復号し、FEKでデータを復号する(｢外付けハードディスク上のファイルを暗号化したら自宅のマシンで読めない｣日経Windowsプロ(2003.9)79)。

【暗号化の確認】ファイルが暗号化されているか確認するには以下の2つの方法がある。

１．エクスプローラを起動し、確認したいファイルのプロパティで[全般]タブを選択し、暗号化属性の設定を確認する。但し、確認したいファイルが多い場合は手間がかかる。

２． CIPHERコマンドを使用する。パラメータを指定せずにCIPHERを実行すると、現在のディレクトリとディレクトリに含まれる全ファイルの暗号化状態を表示する。暗号化されたファイルはファイル名の先頭に｢E｣と表示される。

【復号】暗号化したファイルは、暗号化した本人か回復エージェントしか参照できない。このため情報の安全性を保つには便利だが、万一トラブルにより本来のOSが起動できなくなった場合にデータを読み出せなくなる危険性がある(中田敦｢Windowsで暗号化したファイルを“救出”するユーティリティ｣IT Pro 2003.2.28)。

回復エージェントの指定は、[管理ツール]から[ローカルセキュリティポリシー]を起動して、[公開キーのポリシー]の下の[暗号化されたデータの回復エージェント]で行う。Administratorはデフォルトで回復エージェントになっている。

EFSはWindowsへのログオンと同じ認証情報で暗号化/複合化を行うので、ログオン・パスワードを破られてしまった場合は防御にならない(園田道夫｢基礎から固めるWindowsセキュリティ｣日経Windowsプロ(2003.11)147)。

【File Security】ファイルセキュリティで、Administratorsローカルグループのアクセス権を削除した場合でも、Administratorsグループは、所有権を強制的に取得し、アクセス権を変更できる。そのため、PCの管理権限を損なうことはほとんどない。また、所有権を元に戻すことはできないので、管理者がアクセスした記録を残すことができる。

AdministratorsローカルグループからDomain Adminsグローバルグループを削除した場合は、ドメイン管理者による管理作業に支障が出る。また、デフォルトでは、Domain AdminsはAdministratorsのメンバーなので、Domain Adminsグローバルグループのセキュリティ設定を制限しても意味がない。

【Local Group】ローカルグループ及びローカルユーザーアカウントはActive Directoryではなく、ドメインコントローラを除く全てのW2Kファミリに存在する。これらのアカウントは、ドメインの管理権限がなくても、自由に作成・変更・削除ができる。但し、そのためにはローカルグループAdministratorsのメンバーとしてログオンしなければならない。

Administratorsのメンバーとして、ドメインのアカウントを加えることもできる。W2Kがドメインメンバーになる時点で、AdministratorsグループにDomain Adminsが自動的に追加されるため、ドメイン管理者はデフォルトでメンバーサーバーの管理が可能である。

【Lock Out】アカウントがロックアウトされた場合は、ロックアウトされたユーザーのプロパティでロックアウトを解除する。ローカルユーザーの場合は、[コンピュータの管理] から [システムツール]-[ローカルユーザーとグループ]-[ユーザー]で、目的とするユーザーのプロパティを表示し、該当するチェックボックスをクリアする。ロックアウトのポリシーを変更しても既にロックアウトされたユーザーに対しては影響ない。

ロックアウト関係のパラメータの意味は以下の通りである。

・アカウントのロックアウトのしきい値…許可されるログオン失敗回数

・ロックアウトカウントのリセット…ログオン失敗回数をリセットする時間

・ロックアウト期間…ロックアウトが継続しログオンできない時間

【Security Policy】ローカルセキュリティポリシーとドメインレベルのセキュリティポリシーの両方がある場合、ドメインレベルのセキュリティポリシーが有効になる。[有効な設定] にはドメインレベルのポリシーが表示される。

【Audit】ファイルやフォルダなどへのアクセスの監査設定は、ポリシーの [オブジェクトアクセスの監査] で行い、さらに、ファイル、フォルダに対して監査を有効にする必要がある。設問の場合、このコンピュータはドメインに参加していないので、ローカルセキュリティポリシーを使用する。また、監査ログは[イベントビューア]の[セキュリティログ]で参照する。

【セキュリティの構成と分析】[セキュリティの構成と分析] スナップインを使えば、あらかじめ定義しておいたセキュリティテンプレートを適用したり、相違点を検出したりできる。SECEDITコマンドも同様の機能を持つ。ただし、SECEDITコマンドはコマンドラインインターフェースのみを持つ。

【Windows Update】Windows Updateは、Windowsシステムに最新のパッチを当てるための最も簡便な手段である。Windows Updateを実行するためには管理者権限が必要。

Windows Updateを起動して、［更新をスキャンする］を選択すれば、システムがスキャンされて必要なモジュールが選択される。そして「更新の確認とインストール」を実行すれば、選択されたモジュールがWindows Updateのサーバーからダウンロードされ、続いて自動的にインストール作業が行われる(デジタルアドバンテージ｢Windows Updateのファイルを個別にダウンロードする（1）｣Windows 2000 TIPS @IT 2002.5.25)。

Windows Updateとの情報のやり取りはSSLで保護される(｢Windows 2000/XPあのトラブルはなぜ起こる｣日経Windowsプロ(2003.9)66)。

Microsoft Windows Critical Update Notificationは定期的にWindows Updateのページを参照し、パッチがリリースされていないかをチェックする。

Active Directory

ADは、Windowsサーバーベースのネットワーク上の人やコンピュータ、その他のオブジェクトに関するデータを論理的・階層的に整備するための基盤として、構造化されたデータ・スキーマを提供する(Michael Cherry｢ADとメタディレクトリ・サービスが切り開く次世代の組織内ID管理｣@IT Windows Server Insider 2003/10/30)。AP固有又は特定目的のディレクトリサービスではなく、多目的に使えるディレクトリテクノロジを目指す。Novell Directory Serviceが競合。

ADはNetBEUIやIPXでは使えない。TCP/IPがないと、ADの機能は一切使えないし、Windows NT互換機能さえ利用できない。社内ネットワークを業界標準プロトコルであるTCP/IPで統一できるのは利点だが、IPXなどを標準として使っている企業にとっては欠点となる。

ADドメインを構築するには、DNSサーバーが存在し、ADで使用するゾーンが作成されている必要がある。そして、ゾーンは動的更新が有効になってなければならない。ゾーンの種類をAD統合モードにするには、ADドメインが必要になる。したがって、ADドメイン構築後にゾーンの種類を変更する。W2K ServerをDNSサーバーとすれば、別途DNSサーバーを用意する必要は特にない。

ADではクライアントがドメインコントローラを検出するためにSRVレコードを登録しておく必要がある。但しドメインコントローラを追加するたびにSRVレコードを登録するのは手間がかかるうえに間違えやすい。そのため、ネットワーク上のコンピュータが自動的にDNSサーバーに自分の情報を登録・更新できるダイナミックDNSを使うとよい。

Windows NT/2000/ XP/2003のマシンがADに参加するには、ユーザーアカウントとコンピュータアカウントの2種類のアカウント情報が必要になる(｢トラブル解決Q&A｣日経Windowsプロ(2003.9)87)。

ADの導入では、ドメインやサイト、OUの構成をかなりトップダウンで決定していかなければならない。この作業は簡単ではないし、ボトムアップ的に広がったWindowsワークグループ・ネットワークの形態とは相いれない部分がある。そのためNTドメインは導入されていても、Active Directoryまでは発展していないところが多い(小川誉久｢ワークグループ・ネットワーク考現学｣@IT 2003.12.10)。

【LDAP: Lightweight Directory Access Protocol】TCP/IPネットワークで、ディレクトリデータベースにアクセスするためのプロトコル。X.500ディレクトリサービスをInternet向けに軽量、簡素化したサービスプロトコル。X.500は非常に汎用性の高いディレクトリサービスプロトコルであるが、その分実装コスト（ソフトウェアの規模や開発コストなど）も高くなっている。そこで、WWWブラウザやメールソフトウェアなどからも簡単に利用できるように、簡素化したプロトコルとしてLDAPが開発された。LDAPはRFC1777、RFC1778で規定されている。

ディレクトリはデータベースに似ているが、より記述的で属性ベースの情報を含むようになっている。一般にディレクトリ中の情報は、書込みよりも読出しの方がずっと多く行われる。従って、一般的なデータベースで大量の複雑な更新を行うために用いられる複雑なトランザクションやロールバック機構をディレクトリでは通常実装しない。

LDAP ディレクトリサービスは、クライアントサーバモデルを基にしている。一つ以上のディレクトリサーバが、LDAP ディレクトリツリーあるいは LDAP バックエンドデータベースを構成するデータを保有している。

LDAP クライアントは LDAP サーバーに接続し、そのサーバーに対して質問する。この質問に対してサーバーは回答を返すか、クライアントがさらに情報を探し出せる場所へのポインタ(通常は別のLDAPサーバ)を返す。クライアントからは、どの LDAP サーバーに接続してもディレクトリは同じように見える。

【Site】ADドメインの中にある，十分な帯域幅を持つネットワーク・セグメントのこと。AD導入時に、ネットワークの物理設計をする上で非常に重要な概念の1つ。例えば複数の拠点を持つ企業が拠点間をWANで結んでいる場合、各拠点内のLANセグメントをサイトとみなして設計することが多い。

一般的な設計では、ユーザーがドメインにログインするときのユーザー認証やADの検索処理を効率よく処理するために、Domain Controller(DC)とGlobal Catalogue (アクセス頻度の高い項目だけを集めたADのサブセット)をサイト、あるいは地理的に近い2,3のサイト毎に設置することが多い。

もしサイトの設計を考慮せず、本社のDCにユーザー認証等を集中化させると、朝の始業時にDCの負荷とWANのトラフィックが著しく増大し、十分なレスポンスが得られない虞もある。サイトを分けていれば、クライアントPCが発行した認証要求は、サイト内のDCとGlobal Catalogueで処理される。

【OU】ADでは、ドメインとOU(組織単位Organizational Unit)という2つの単位を使って各種のアカウントやリソースを管理する。OUはドメイン内に階層構造を与える論理的な概念である。OUの効果的な使用により、ADのスケーラビリティを活かすことができる。アカウントやリソースは必ず何れかの何れかのOUに属している必要がある。OUを最小単位として管理やセキュリティポリシーが適用される。

OUの目的は、ドメインの状況を把握しやすくする、管理権限を委任する、グループポリシーを適用することにある。Active DirectoryではOU毎に管理者を任命し、OUに登録されている情報の管理を委任できる(横山哲也｢初歩から理解するActive Directory7｣Windows Server System Review 2003.10.28)。

OUは、ディレクトリデータベースの単位ではないため、複製トラフィックやログオンの速度とは無関係である。これらの制御にはドメインコントローラの配置を考える必要がある。

地域単位でOUを作成した場合、地域管理は容易になるが、地域をまたがる部門の管理が面倒になる。例えば、大阪と東京の営業部員が共通で使うAPを配布したい場合、同じ営業部であっても別々のグループポリシーを設定する必要がある。

【Group Policy】ADで管理するドメイン内のコンピュータやユーザーに対し、設定するポリシーでW2Kのシステムに関する様々な制御を行うことができる。

全社的な設定を行う場合、ドメインレベルでGPO(Group Policy Object)を作成するのが適切である。グループポリシーはOU単位でも設定できる。割り当てられたOU内のユーザー、コンピュータオブジェクトに対し、ポリシーを適用でする。

OU内のユーザーオブジェクトにポリシーを適用するには、[ユーザーの構成]の項目を設定し、OU内のコンピュータオブジェクトにポリシーを適用するには、[コンピュータの構成]の項目を設定する。それぞれの設定はユーザーのログオン時、コンピュータの起動時に適用される。

OUに設定したポリシーはデフォルトで下位のOUに継承される。継承をストップしたり、OU内の特定のユーザーにだけグループポリシーを適用したりも可能。

特定のユーザーやコンピュータに対するグループポリシーを設定する場合、子OUを作り、子OUにグループポリシーを割り当てればよい。各部門独自のポリシーは、部門に対応したOUで設定すべきである。ドメインレベルで設定し、セキュリティグループによるフィルタリングを行うことでも実現できるが、設定が複雑になり推奨できない。

通常、子OUでGPOを作成した場合、子OUの設定が優先する。但し[上書きなし] の設定を行うことで親の設定を優先できる。

デフォルトで、Authenticated Usersに対してポリシーの適用権利があるので、権利の設定を変更する必要はない。ポリシーを受け取るのに管理権限は不要である。

W2Kのグループポリシーは、NTのシステムポリシーと異なり、ポリシーを受け取らなくなった時点で設定が解除される(但し、一部例外がある)。ユーザーのデスクトップ環境は、ユーザーアカウントが受け取るグループポリシーの設定なので、ユーザーアカウントの位置を移動すればよい。

【System Policy】旧OS(Windows 95/ 98/ Me/ NT Server)はグループポリシーの対象外である。NTにはシステムポリシーがあるが、グループポリシーとは互換性がない。システムポリシーは特定のコンピュータやユーザーに対してWindowsの設定を強制したり、機能制限を一括で有効にしたりするものである(石川祥英｢今から始めるWindows Server 2003｣日経Windowsプロ(2003.9)132)。

W2Kでシステムポリシーを使うには、システムポリシーエディタ POLEDIT.EXEでポリシーファイルを作成し、\\DomainController\SYSVOL\DomainName\SCRIPTSの下に配置する。この場所はNETLOGONという名前で共有され、全ドメインコントローラに自動的に複製される。但し、複製のメカニズムはWindows NT 4.0のDirectory Replication Serviceと互換性がないので、Windows NT 4.0に対して自動的に複製することはできない。また、W2KにはDirectory Replication Serviceが存在しない。

【アプリケーション割り当て】W2Kインストーラパッケージファイルを入手し、ADのグループポリシーを構成することで、組織内のW2Kコンピュータに効率よくAPを展開できる。グループポリシーの設定においてはAPの展開をユーザー、若しくはコンピュータに設定する。展開方法には公開と割り当てがある。

グループポリシーを使用して [ユーザーの構成] に対してAPの｢割り当て｣を設定する場合、ユーザーが次回にログオンすると、そのAPがユーザーに告知される。具体的にはメニューへの追加及びデスクトップへのアイコン追加として現れる。

Application Advertiseはユーザーが実際に使う物理的なコンピュータとは無関係にそのユーザーに表示される。このAPはユーザーが[スタート]ボタンでAPを選択するか、このAPと関連付けられているドキュメントをアクティブ化することでインストールが自動的に開始される。

グループポリシーの [コンピュータの構成] でAPを「割り当てる」と、コンピュータ起動時に自動的にインストールが行われる。コンピュータ上に競合するプロセスがないようなコンピュータの起動時にのみ適用される(｢ADに参加しているWindows XPにアプリケーションが予定通り配布されない｣日経Windowsプロ(2003.9)89)。

【アプリケーション公開】APの｢公開｣は[ユーザーの構成]に対してのみ適用できる。公開を設定してもAPはユーザーのコンピュータにインストールされているようには見えない。デスクトップにも[スタート]ボタンにもショートカットは表示されない。ユーザーのコンピュータのローカルレジストリにも変更は加えられない。

代わりに公開されたAPはそのAdvertise属性をADに格納する。次にAP名及びファイルの関連付け等の情報がADコンテナ内のユーザーに公開される。これによりAPは[コントロールパネル]-[アプリケーションの追加と削除]に利用可能なプログラムとして表示される。

ユーザーは[アプリケーションの追加と削除]から[追加]ボタンをクリックするだけでインストールできる。また、ファイルの拡張子がAPと関連付けられているドキュメントを開いても自動的にインストールが開始される。

【画面】グループポリシーにより、コントロールパネルの[画面]に対する制御を行うことができる。コントロールパネルの[画面]はスクリーンセーバーや画面の解像度を設定する際に利用する。コンピュータの利用者にこれらの操作を実行させたくない場合、グループポリシーを使うと、タブを非表示にしたり、[画面]アイコンそのものを非表示にしたりすることができる。

【パスワードの長さ】AD環境で［パスワードの長さ］は複数のレベルで設定可能である。しかしドメインユーザーのパスワードに対して有効な設定はドメインレベルのものだけである。1つのドメイン内で、あるOUに属するユーザーのパスワードを15文字以上に、別のOUに属するユーザーのパスワードを10文字以上にする設定はできない。

【ADMT】NTドメインからADドメインへの移行を支援する無償ツール。ADMT 2.0には新たにユーザー・アカウントのパスワードを引き継ぐ機能が加わった。Microsoftが提供している。Windows NT Server 4.0のサポートが完全に終了する2004年12月末を目処に、ドメイン移行を計画しているユーザーは少なくなく、そのようなユーザーには重宝されるだろう。