Q
Update

Active Directoryの運用を始めたばかりとあって,1点気になることが出てきました。NTのシステム・ポリシーは一括で複数マシンの管理共有を無効にできましたが,後継版ともいえるWindows 2000/2003のグループ・ポリシーにはその機能が見当たりません。2000以降のOSでは管理共有を無効にできないのでしょうか。

Updateは,過去にこの連載で掲載したQ&Aを新しいプラットフォームで検証したものです。

A

Windows 2000以降のOSでも,管理共有を無効にすることは可能です。ただし,NTのシステム・ポリシーのように,GUIでは設定できません。管理共有を無効にしたいマシン上でレジストリ・キーを設定する必要があります。具体的には,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Lanmanserver\parametersに,サーバーの場合は「AutoShareServer」,クライアントは「AutoShareWks」というDWORD型のキーを作成して,値を「0」にします。これで次回の再起動時からは管理共有が無効になります。再び管理共有を有効にするには値を「1」にしてください。

 ただし,この方法では複数のクライアントを抱える管理者は1台1台設定しなくてはならず,かなりの負担がかかります。グループ・ポリシーには管理共有を無効にする機能はありませんが,一括で複数マシンにレジストリを設定できるのでそれで対処できます。


△ 図をクリックすると拡大されます
図8●グループ・ポリシーを使い,複数のクライアントに対してレジストリを登録する

 Active Directoryで管理共有を無効にするには,ドメイン・コントローラの%SystemRoot%\Sysvol\Sysvol\ドメイン名\Policies\{31B2F340-016d-11D2-945F-00C04FB984F9}\Admフォルダにあるsystem.admに図8のコードを追加します。このコードは,前述したレジストリをADM言語で表したものです。



△ 図をクリックすると拡大されます
図9●デフォルトではカスタマイズしたグループ・ポリシーが現れないので注意

 コードを追加すると,フォルダの形をした入れ物(ここではCUSTOM)にポリシーが作られます(図9)。デフォルトではあらかじめWindows 2000/2003が用意したポリシーしか表示されていないためないように見えますが実際は作られています。[管理用テンプレート]を右クリックで[構成されているポリシーのみ]のチェックを外し,現れたポリシーを有効に設定し,対象マシンを再起動すれば,管理共有を無効にできます。

 

編集部