マシン・グループを作成して特定マシンだけ管理する
 マイドメインのスキャンは手軽に行えるが,機能が制限される。例えば,後述するスキャン・ユーザーの設定などは行えない。あるいは,ドメイン内のすべてのマシンをスキャンするのでなく,特定のマシンだけを対象にしたいこともある。

 実際の運用に当たっては,「マシン・グループ」を作成することをお勧めする。マシン・グループとは管理されるマシンをグループ化する機能である。マシン・グループに対するスキャンでは定時スキャンをはじめ,スキャン・ユーザーの指定も行える。Active Directoryの組織単位(OU)などもここで登録するとよいだろう。

 マシン・グループを作成するには,「HFNetChkPro4ホームページ」(管理コンソール)の左側の[新しいマシングループ]をクリックする。

 すると,図21のような[新しいマシングループの作成]画面が開くので,マシン・グループの名称などを入力して,[保存]ボタンをクリックする。空のマシン・グループが作成されたら,そこにマシンを追加する(図22)。[ネットワークの参照]をクリックすることで,あとは直感的な操作で追加が可能である。


△ 図をクリックすると拡大されます
△ 図をクリックすると拡大されます
図21●[新しいマシングループの作成]画面で名称を決める
図22●作成されたマシン・グループ


△ 図をクリックすると拡大されます
図23●[スキャン実行]画面

マシン・グループの定時スキャン設定
 マシン・グループを表示させ,図22の右ペインにある[スキャン開始]のアイコンをクリックすると,図23のような[スキャン実行]画面が開くので,スケジュールを指定できる。

 スケジュールはWindowsの「タスク」として実行される。スケジュールが作成できたら,HFNetChkPro4は終了しても構わない。作成されたタスクを修正することで,スケジュールを変更することもできる。[スキャン実行]画面のスケジュール部分の表記は少し分かりづらいので,作成されたタスクで確認することをお勧めする。


管理者権限ユーザーのパスワードについて
 前述したように,NTドメインやADドメインに参加しているのではなく,ワークグループ環境においてHFNetChkPro4でスキャンを行うには,管理マシンからスキャン対象のマシンに管理者権限でログオンできる必要がある。そのために,管理者権限ユーザーのパスワードを合わせなければならない。Administratorのパスワードを統一しておいて,Administratorでスキャンするのがお勧めである。この方法とは別に,マシン・グループ内のマシンに対し,管理者権限ユーザーとパスワードを指定できる。


△ 図をクリックすると拡大されます
図24●[セキュリティ属性の設定]画面

 マシン・グループに画面を切り替えて,右側のマシン名リストにある“鍵のマーク”をクリックすると,[セキュリティ属性の設定]画面が開く(図24)。ここで,「\\(管理されるマシン名)\(管理者ユーザー名)」の形式でユーザー名を入力し,パスワードを入力すればよい。



△ 図をクリックすると拡大されます
図25●セットアップ・ウィザードにおけるパスワード設定

 この設定はマイドメインのスキャンには使用されない。マイドメインのスキャンにおいて,Administratorのパスワードが統一できないマシンに対しても,スキャンを有効にするには次のようにするといいだろう。まず,管理コンソールと管理対象マシンの双方で,新しく管理者権限ユーザーを作成し,パスワードを共通にしておく。次にこのユーザー名で管理コンソールにログオンし,スキャンを行うように設定する。新しいユーザーでログオンして,HFNetChkPro4を起動すると,セットアップ・ウィザードが起動するので,ここでパスワードを指定する(図25)。

マイドメインの定時スキャン
 管理対象マシンのAdministratorのパスワードが統一できるなどの条件が整っている場合は,ちょっとした工夫で,マイドメインの定時スキャンが可能になる。


△ 図をクリックすると拡大されます
図26●管理コンソールの左ペインで[お気に入り]をクリックして,右ペインで[編集]をクリックする

△ 図をクリックすると拡大されます
図27●[お気に入り]画面

 マシン・グループの定時スキャンを作成すると,「HFNetChkPro4ホームページ」の左ペインの[お気に入り]にその設定が保管される。この設定を編集することで,マイドメインの定時スキャンが実現できる。まず,作成した[お気に入り]を選択し,[編集]をクリックする(図26)。

 すると[お気に入り]画面が開くので,スキャン対象をマイドメインに変更すればよい(図27)。



仮想マシン・ソフトを使ったOSも管理できる
 最近はVMwareの「VMware」やマイクロソフトの「Virtual PC 2004」などの仮想マシン・ソフトが,普及している。仮想マシン・ソフトは,パソコン上に仮想的にパソコンを稼働させ,そこで別のOSを起動させることができる。リアルなマシンで稼働するホストOSと,仮想的なマシン上のゲストOSは,ネットワークを通じて通信できる。このような仮想マシンも,セキュリティ・リスクになり得るので,パッチ管理できるほうがよい。

 筆者は,Virtual PC 2004を使い,ゲストOSがスキャン対象となり得るかを試してみた。スキャンもパッチ適用も問題なく行われた。そのため,事前評価用にVirtual PCを使用できる。これはテストを十分に行いたいユーザーにとって朗報であろう。

HFNetChkPro4の利点は導入が簡単で使いやすいこと
管理対象マシンは電源をオンにしなければならない
 HFNetChkPro4の最大の利点は,インストールのしやすさであろう。管理コンソールとする1台のマシンにインストールすれば,前提条件を満たしたネットワーク全体のマシンを管理できるようになる。また,何らかの理由で,インターネットに接続させたくないマシンが存在しても,問題なくパッチが適用できる。

 一方,スキャンを行うという性格上,管理対象マシンがスキャン時に稼働状態でなければならない。また標準設定では,再起動を伴う。そのため,事前にエンドユーザーに対して,パソコンの電源が入っていて,Windowsが起動していること,そして再起動によって,アプリケーションなどで作業途中の場合は,中断される可能性があることを周知徹底しておく必要があるだろう。

使用方法の提案
 通常はパソコンの電源を落として帰宅する会社がほとんどなので,夜間などにスキャンをするといった運用はできない。そこでどのような使用方法が適当か考えてみた。

 各マシンの電源が入っていて,稼働率が低いと思われる昼休みに定時スキャンを行い,午後1時ごろにパッチの不足状況を調査する。不足しているパッチの緊急度が高い場合は,各マシンに電子メールや社内の電子掲示板などで告知をする。そのとき,パッチ適用後は再起動することを理解させる(同報メッセージ機能は,HFNetChkPro4に含まれていない)。

 不足しているパッチの緊急度が低いと判断した場合,パッチ適用は夜間にスケジューリングして,エンドユーザーには,電源をオンにした状態で帰宅してもらう。筆者の環境では,管理対象マシンをログオフ状態で放置した場合,パッチ適用は成功したが,再起動が行われなかった。これは,Shavlikによると,「サービス・パックを当てていないWindows XP」と「Service Pack 1が適用されているWindows XP」にだけ起こる不具合である。従って,これらはログオフはせずに,アプリケーションだけを終了した状態にして放置しておくことをお勧めする。

 このほか,緊急度の高いパッチがリリースされたときは,就業時間でも手動スキャンを行い,上記のような対応を検討する。

 この使用法なら,管理クライアントはサーバーでなくてもシステム管理者が常に使用しているクライアント・マシンでも問題ない。むしろ,サーバーの負荷を増やさないという意味からクライアント・マシンのほうがお薦めである。

おわりに
 HFNetChkPro4は導入が容易で,効果が期待できるソフトである。パッチ適用がクライアント・マシンのユーザー任せでは不安であると考えるシステム管理者には導入をお薦めする。

 HFNetChkPro4は多機能で,パッチ適用は様々な方法で行える。まだ,紹介しきれていない適用方法がある。このツールに興味を持った方は,評価版をダウンロードして実際に触ってみてほしい。

 筆者が試した範囲で,ドキュメントやソフトの表記の不具合と思われる点は見受けられた。ただし,これらは販売元のネットワールドも把握しているので,改善が期待される。