Windowsは管理者泣かせのOSだった。ひとたびトラブルが起これば,問題のあるマシンの前に行かなければ十分な情報が得られなかった。 Vistaでは,設定やログを遠隔から集中管理する機能を強化。エンドユーザーを支援する機能もあり,管理作業の省力化に一役買いそうだ。

 ネットワーク運用における“蟻の一穴”は,時に数万台にも及ぶクライアントの設定にある。設定の不統一やエンドユーザーの設定変更によるトラブル経験は,管理者であれば誰しもあるはずだ。ところがXP以前のWindowsでは,OSの機能を遠隔から集中管理しにくかった。Windows NTから集中管理の機能を備え始めてはいたが,企業における大規模導入を支えるには管理用のサーバー・ソフトが必要になる場面が多かった。

 これに対しVistaでは,ほぼすべての設定を管理サーバーなしで集中管理できる。またクライアントの状態を把握するのに欠かせないイベント・ログについても,特定のマシンに集約して分析できるようになった。

 管理性を高めるための工夫は大きく三つある(図1)。(1)「グループポリシー」の機能強化,(2)「イベント・ログ」と「タスクスケジューラ」の統合,そして(3)エンドユーザーが自力でトラブルを解決できるように支援する機能の追加だ。(1)と(2)の改善によって,OS標準の機能だけでクライアント管理の最低要件が整う。これに(3)が加わることで,管理者のサポート負担軽減が期待できる。

図1●Windows Vistaの主な管理機能
図1●Windows Vistaの主な管理機能
(1)グループポリシーの機能強化,(2)イベント・ログとタスクスケジューラの統合,(3)エンドユーザーによる自己解決の支援機能の提供により,運用管理機能が大幅に強化された。
[画像のクリックで拡大表示]

「これが設定できないの?」が激減

 Windowsの設定内容は,おなじみの設定データベースであるレジストリにその多くが書き込まれている。レジストリは『「Tcp1323Opts」という項目を「0」から「1」に書き換える』,といったように,一見しただけでは設定内容の意味が分かりにくい。このレジストリを中心とした設定を,ポリシーの形で分かりやすく管理できるようにしたのが「グループポリシー」だ。

 例えば「現在使用されている電源プランを選択する」というポリシーを「有効/無効」で指定する。クライアント1台の設定を変更するのに便利なのはもちろんのこと,ドメイン環境であればActive Directoryの管理下において任意のユーザーやコンピュータのグループに一括適用できる。

 機能としてはごく当たり前のことだが,これまでグループポリシーで管理できなかった設定は数多い。先に例として挙げた電源管理のポリシー設定も, Vistaから利用できるようになった(表1)。エンドユーザーに設定作業を代行させたり,管理者が自ら各クライアントのデスクトップ画面と向き合わなければならないケースがかなり減るはずだ。

表1●Vistaのグループポリシーで管理可能となった主な機能
表1●Vistaのグループポリシーで管理可能となった主な機能
従来は設定スクリプトの配布などが必要だった機能を管理対象に含めた。
[画像のクリックで拡大表示]

 もちろんVistaで拡充されたポリシーは,Vistaおよび2007年末の出荷を予定するサーバー版「Windows Server 2008」でなければ効果がない。ただしVista/Server 2008向けのポリシーの配布には,既存のWindows 2000 Server/Server 2003を利用できる。Window Server 2008を待つ必要はない。

 なおグループポリシーの項目を大幅に増やしたVistaには,ささやかながらも管理者にとってありがたい変更点がある。ポリシーのソート順がデフォルトで50音順となったことだ。英数字,50音,漢字の順で並ぶ。ポリシーの順番を暗記するほど習熟した管理者は例外として,ほとんどの管理者にとって改善点といえる。

USBメモリーなどハード増設を監視

 充実したポリシー項目の中で特に使い出がありそうなのが,デバイス・ドライバのインストールを制限する機能である。これにより,容易に機密データを持ち出せるUSBメモリーはもちろん,あらゆるハードウエアの増設を制限することが可能になった(図2)。

図2●USBメモリーなどの新規増設を禁止できる
図2●USBメモリーなどの新規増設を禁止できる
グループポリシー周辺機器の分類,個々の製品のIDなどを識別子にデバイスドライバのインストールを禁止する機能が加わった。ただし既にインストール済みのドライバを排除することはできず,未導入またはドライバを削除した状態でポリシーを適用する必要がある。
[画像のクリックで拡大表示]

 デバイス・ドライバの指定は,「usbstor」といった名称や,デバイス固有のIDなどで指定する。外部接続のストレージの接続を拒否すれば事足りる場合は,「リムーバブルデバイスのインストールを禁止する」ポリシーを有効にするのが手っ取り早い。

 管理者が許可したハードウエアだけを利用させるようにするには,「他のポリシー設定で記述されていないデバイスのインストールを禁止する」というポリシーを使う。これを有効にしたうえで,許可するハードウエアを追加していく。

 ただし,既に接続済みでデバイス・ドライバがインストールされているハードウエアに対しては効果がない。いったんデバイス・ドライバを削除する,設定済みのVista搭載マシンをシステム部門がエンドユーザーに引き渡す,といった運用が必要になる。

ドメインがなくてもポリシーを使い分けられる

 設定可能なポリシーの充実と合わせて,ポリシーの適用範囲をより細かに設定できるようになった。改善したのは,ワークグループ環境で1台のマシンを共有する際のふるまいだ。XPまではドメイン環境でなければ,ユーザー・アカウントごとの使い分けはできなかった。

 Vistaではローカルのグループポリシーを,ユーザー・アカウントやセキュリティ・グループごとに割り当てられるようになった(画面1)。例えばワークグループ環境でパソコンを共用するケースでも,ユーザーごとに違うポリシーを指定できる。

画面1●ユーザー・アカウントごとにポリシーを使い分けることが可能に
画面1●ユーザー・アカウントごとにポリシーを使い分けることが可能に
1台のパソコンを複数ユーザーで使い分ける際に,異なるグループポリシーを適用できる。