次の方法で共有


Windows 7

Windows 7 導入に向けて最初に行うべき 10 のこと

Bill Boswell

 

概要:

  • Windows 7 を知る
  • 最新のボリューム ライセンス認証の要件に対応する
  • ロードマップを作成する
  • 新しい分散セキュリティ機能を扱う
  • デスクトップとインフラストラクチャを仮想化する
  • ユーザーのローカル管理者権限を削除する

目次

1. Windows 7 について詳しく知る
2. Windows PowerShell について学ぶ
3. ライセンスを理解する
4. 戦略的な改善に重点を置く
5. 展開範囲を拡大する
6. 分散セキュリティの準備をする
7. デスクトップを仮想化する
8. エンタープライズ機能を評価する
9. 互換性対策を確立する
10. ユーザーのローカル管理者権限を削除する
つかの間ではないヒーローになれます

Windows 7 の一連の新機能と機能強化 (windows.microsoft.com/ja-jp/windows7/products/compare の機能比較表を参照) を確認したら、どうしたらこれらの新しいテクノロジを把握して、多くの混乱を引き起こすことなく、ユーザーに提供できるかを思案することになるでしょう。

この記事では、その目標を達成するための 10 のステップを紹介します。

1. Windows 7 について詳しく知る

まずは、ご自分で体験してみると良いでしょう。つまり、ラボをうろうろするだけでは不十分です。社内のすべてのワークステーションと、自宅で使用しているコンピューターに Windows 7 をインストールして、リモート アクセスの問題を確認してください。すべての機能が動作するように取り組まざるを得ない状況に、自分自身を置いてください。

Windows 7 から Windows サーバーを管理するためのツールの大部分は、別途ダウンロードできる Windows 7 用のリモート サーバー管理ツール (RSAT) に収録されています。本稿執筆時点では、最終版の RSAT パッケージは完成していませんでしたが、現時点では、www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d から最終版をダウンロードできます。

RSAT パッケージのインストール直後に、管理ツール フォルダーにツールが展開されていなくても問題ありません。RSAT ツールは、コントロール パネルのプログラムと機能アプレットを使用して、別途有効にしなければならない Windows 機能セットとして提供されています。図 1 の例を参照してください。理由は不明ですが (しかし、完全に正当な理由だと確信しています)、インストールするには、各機能を個別にクリックして選択する必要があります。親のチェック ボックスをオンにしても、子のチェック ボックスは自動的にはオンになりません。

boswell.fig1.rsattools.gif

図 1 Windows 7 用 RSAT の機能の一覧 (画像をクリックすると拡大表示されます)

Active Directory 用の RSAT ツールは、Windows 2003 および Windows 2008 のドメイン コントローラーと使用できますが、Active Directory のごみ箱など一部の機能には、Windows Server 2008 R2 の機能レベルが必要です。

Windows 7 ワークステーションから Exchange Server 2003 を管理するのは一筋縄では行きません。というのも、Exchange Server 2003 のインストール CD に同梱されている Exchange システム マネージャー (ESM) コンソールは、Windows 7 では実行できないからです。ですが、tinyurl.com/esmvista (英語) からダウンロードできる Vista 用の特別なバージョンの ESM があります。このコンソールは Windows 7 で問題なく実行できますが、インストーラーでは Windows Vista (Windows バージョン 6.0.0) であるかどうかの確認を行っているため、このチェックは Windows 7 では不合格になります。このバージョン チェックは、マイクロソフトが提供している Orca という名前の無料ツールを使用して MSI ファイルを変更し、削除または変更できます。Orca は Windows Installer SDK にも収録されています。ダウンロード方法については、tinyurl.com/orcamsi を参照してください。ただし、XP モードで ESM を読み込む方が、はるかに簡単だと思います。これについては後述します。

2. Windows PowerShell について学ぶ

今後数年間で Windows 管理者が必要になる最も重要なスキルを 1 つ挙げるとすれば、Windows PowerShell を使いこなせることと言っても過言ではないでしょう。Windows 7 と Windows Server 2008 R2 では、Windows PowerShell Version 2.0 がオペレーティング システムに組み込まれており、既定で有効になっています。その他 Windows サーバーとコンピューターにも Windows PowerShell 2.0 をインストールして、1 つのスクリプト テクノロジを使用して環境全体を管理できるように計画することをお勧めします (ただし、Windows PowerShell 2.0 は Exchange Server 2007 を実行しているサーバーとワークステーションにインストールできないことに注意してください。Exchange Server 2007 コンピューターには PowerShell 1.1 をインストールする必要がありますが、1.1 でも、さまざまな機能を利用できます)。

2000 年以降コマンド プロンプトを開いたことがない GUI 一辺倒の管理者であったとしても、マイクロソフトの最新の GUI ツールでは、Windows PowerShell コマンドレットを基盤にしたグラフィカル フロントエンドの形が採用されていることに気付くでしょう。目的のコマンドについてどこを参照すればよいかわかっていれば、これらのツールの多くから、基盤となっているコマンド文字列を学習できます。これは、コマンドレットのしくみを理解する簡単な方法の 1 つです。

Windows PowerShell には、非常に多くの役立つ参考資料があります。たとえば、Microsoft Windows PowerShell チームの一員である Bruce Payette が著した『Windows PowerShell イン アクション』(ソフトバンククリエイティブ、2007 年) という秀逸な書籍があります。この新しいエディションの発売が予定されています。出版元の Web サイト manning.com/payette2 (英語) では、現時点で購入すると、最初の何章かを読むことができ、リリースされた時点で 1 冊入手できるほか、最初のエディションの電子ブックも入手できます。また、別の Windows PowerShell チームの一員である Lee Holmes の著書『Windows PowerShell Pocket Reference』(O'Reilly Media Inc.、2009 年) も参考にしてください。それから、Windows PowerShell チームのブログ (blogs.msdn.com/PowerShell、英語) も参照してください。これは、とても活発な対話が行われている開発チームのブログです。このブログのどの内容も一読の価値があります。1 回だけではなく、2 回読む価値もあると思います。

ここでさらに良いお知らせがあります。Windows 7 用の RSAT スイートには、Windows Server 2008 R2 に付属しているものと同じ Active Directory 用の Windows PowerShell コマンドレットが含まれています。その例を 図 2 に示します。詳細については、Active Directory PowerShell のブログ (tinyurl.com/psadblog、英語) を参照してください。

boswell.fig2.ad powershell.gif

図 2 ADPowerShell コマンドレットの実行例 (クリックすると拡大画像が表示されます)

これらの AD コマンドレットを使用して、Windows 2003 と Windows 2008 を実行しているドメインを管理できますが、まず、AD 管理ゲートウェイ サービス (通称 AD Web サービス、ADWS) を少なくとも 1 つのドメイン コントローラーにインストールする必要があります。本稿執筆時点では、ADWS はベータ版が提供されており、connect.microsoft.com からダウンロードできます。

ADWS サービスには、Windows Server 2003 SP2 (または R2) または Windows Server 2008 (RTM または SP2) が必要です。.NET Framework 3.5 SP1 (www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=ab99342f-5d1a-413d-8319-81da479ab0d7) と、Netlogon の Web サービス フラグのサポートを実現する修正プログラム (support.microsoft.com/kb/969429/en-us、英語) をインストールする必要があります (この修正プログラムは、Windows Server 2008 SP2 に組み込まれています)。

ドメイン コントローラーに変更を加えるための承認に多大な時間と労力がかかる組織で作業をしていて、まだ余裕があるうちに Windows PowerShell を使用した Active Directory の管理に着手したいと思われる場合は、Quest (quest.com/PowerShell、英語) で公開されている無償の Active Directory コマンドレットを検討してみてください。

3. ライセンスを理解する

社内で Windows Vista を展開していない場合は、Windows の最新のボリューム ライセンス認証の要件を詳しくご存じないかもしれません。社内に 25 台以上のデスクトップまたは 5 台以上のサーバーが配置され、会社がエンタープライズ アグリーメントやマイクロソフト セレクト契約などのボリューム ライセンス プログラムを利用していて、Windows 7 Professional または Ultimate を購入する (またはソフトウェア アシュアランスの一環として、これらのバージョンにアップグレードする) 場合、IT 管理者は次の作業を行うことをお勧めします。tinyurl.com/volact (英語) からダウンロードできる一連のボリューム アクティベーション関連のドキュメントを印刷し、トスカーナのボールド ワインを数杯引っかけて勉強に取り掛かります。

完全にちんぷんかんぷんだと思ったら、このプログラムの微妙な違いを見事に説明しているプロダクト マネージャー Kim Griffiths の Web キャストをダウンロードします。この Web キャストについては、tinyurl.com/win7rcrsat (英語) を参照してください。

簡単に説明すると、ボリューム ライセンスを使用して Windows 7 デスクトップ コンピューターを展開するには、おそらくキー マネージメント サーバー (KMS) を配置する必要があります。"おそらく" という表現を使用したのは、KMS ライセンス認証に対応できるだけの台数のコンピューターが社内に存在しない場合があるからです。最低 25 台のデスクトップまたは 5 台のファイル サーバーのライセンス認証が要求されないと、KMS によるライセンス認証の定期的な更新は行われません。これは、非良心的なベンダーが、複数の少数のクライアントに同じボリューム ライセンス キーを使用することを防ぐための措置です。ライセンス認証を行っても、クライアントでは、6 か月ごとに再度ライセンス認証を行う必要があります。正しくない情報が出回っているようですが、Windows 7 には機能を制限したモードはありません。ライセンス認証キーの有効期限が切れると、デスクトップの背景が黒くなり、オペレーティング システムが正規の状態でないことを示す通知のバルーンが表示されます。

KMS に必要な台数のコンピューターがない場合は、マルチ ライセンス認証キー (MAK) を取得できます。MAK は、購入したボリューム ライセンス数と補正発注ライセンス数の差分から追加可能なコンピューターの台数に基づく本数のライセンス認証が提供されます。MAK キーは、マイクロソフトが管理するサービスによって認証されるため、OS のインストール後にインターネット接続が必要になります。

Windows 7 と Windows Server 2008 R2 で導入された変更は、KMS のライセンス認証に必要なコンピューター数に、仮想マシンを含められるようになった点です。この変更により、多数の仮想デスクトップや仮想サーバーを使用している小規模な店舗などにおいて、カウントされるコンピューター数を増やすことができます。

既に Windows Vista と Windows Server 2008 の KMS をお持ちの場合は、Windows 7 と Windows Server 2008 R2 コンピューターのライセンス認証用の更新版をダウンロードできます。

4. 戦略的な改善に重点を置く

Windows 7 のツールを使用したシステム管理に慣れてきて、デスクトップのライセンス認証を行うテクノロジをセットアップしたら、エンド ユーザーへの展開の計画に着手できます。この時点で実行すべき最も大切なことは (聞きたくないことだと思いますが)、会議を開くことです。

落ち着いて話を聞いてください。これは、普通の会議とは異なる種類のものになります。Windows 7 を操作している IT 関係者すべてを招集します。アーキテクトだけでも、デスクトップ担当者だけでもなく、サーバー チーム、ヘルプ デスクの技術者、社内開発者、プロジェクト マネージャーだけでもありません。すべてのチームから代表者を招集します。これは公会議のようなものです。この会議は 1 日かけて行います。参加候補者全員に、重要な人物しかこの会議には参加できないことを伝えて、この会議を逃したくないと参加候補者に考えてもらえるようにします。

会議の前には、数値データを集めて知識武装をすることをお勧めします。これは、ある時点で、必ず次のような質問が出てくるからです。「互換性テストに使用できる、エンタープライズ アプリケーションのカタログをまとめる必要がありますね。本当に社内のすべてのコンピューターで Windows 7 を実行できるのでしょうか」という質問です。それから、1 ~ 2 時間かけてカタログを編成する方法、なぜそれができないか、なぜデスクトップ チームの John は既にその情報をまとめた Excel ファイルを持っているのに、しばらく更新をしていなくて、ヨーロッパ、中東、およびアフリカのコンピューターの情報が含まれていないか、などのようなことを話し合うことになります。

2 つの無料のインベントリ ツールと分析ツールを使用することで、このような一連のやりとりを省略できます。1 つ目は Microsoft Assessment and Planning Toolkit (MAP Toolkit 4.0) で、technet.microsoft.com/ja-jp/solutionaccelerators/dd537566.aspx からダウンロードできます。このエージェントが不要なツールを使用すると、デスクトップの統計情報を収集し、Windows 7 に対応しているデスクトップ、ハードウェアのアップグレードが必要なデスクトップ、どんなことをしても Windows 7 対応には決してならないデスクトップについてのレポートを生成できます。MAP Toolkit では、管理に便利な円グラフ (図 3 参照) と各デスクトップの詳細情報の表 (図 4 参照) を生成します。

boswell.fig3.mapexampleresult.gif

図 3 Microsoft Assessment and Planning Toolkit 4.0 による評価の概要 (画像をクリックすると拡大表示されます)

boswell.fig4.mapspreadsheet.gif

図 4 Microsoft Assessment and Planning Toolkit 4.0 による評価の詳細 (画像をクリックすると拡大表示されます)

このツールを実行するときは、ハードウェア要件を厳しく設定しすぎないようにする必要があります。私はこの記事の最初の原稿を、バックグラウンドでさまざまな基幹業務アプリケーションが実行されている、CPU Celeron プロセッサ 1.6 GHz と 512 MB の RAM を搭載した Windows 7 デスクトップで、Office 2007 を使用して執筆しました。パフォーマンスは、まったく問題ありませんでした。

2 つ目は Microsoft Application Compatibility Toolkit (ACT) 5.5 で、tinyurl.com/appcompat55 (英語) からダウンロードできます。このツールは、選択したデスクトップのソフトウェアの統計情報の収集に使用します。ACT の評価では、レジストリに登録されているインストール済みソフトウェアの一覧を走査するだけでなく、あらゆる種類のレガシ インストーラーによって溜め込まれているアプリケーションがないか、隈なく検索します。この機能を実行するには、調査するコンピューターのローカルにエージェントをインストールする必要があります。このエージェントは、ACT 管理サーバーから展開され、数日おきにレポートをサーバーに送信し、最終的には自動的にアンインストールされます。

図 5 からわかるように、ACT は非常に包括的にデータを収集するため、ACT を実行するにはある程度高性能なサーバーが必要です。調査対象が数千台ものコンピューターに及ばなければ、収集したデータは、SQL Server Express を使用して保存できます。ただし、部門や職能別の作業グループごとに使用するソフトウェアが異なる場合は、サンプルとして各グループから数台のコンピューターを選択して調査することもできます。数万台のデスクトップがある場合でも、2 ~ 3% をサンプルとして、今後の作業がどのようなものになるかを把握することは可能です。

boswell.fig5.act_analyze.gif

図 5 Microsoft Application Compatibility Toolkit 5.5 によるアプリケーション レポート (画像をクリックすると拡大表示されます)

では、先ほどの大事な会議の話に戻りましょう。会議は適切に実施してください。経費を少しばかり使って、中型恐竜並に食欲旺盛な参加者を満足させられるだけのドーナッツとピザを用意します。また、壁一面の巨大なホワイトボードがある部屋を手配します。参加者全員が 1 つの会議室に入れない場合は、会議室の境界に巨大スクリーンを用意し、任意のネットワーク会議ソフトウェアを起動して、どこからでもマイクとカメラを使用できるようにします。

会議の前半では、日常業務を改善するために、どのように Windows 7 を活用できるかを参加者に質問します。学習に時間がかかったものを把握します。愚痴に耳を傾けます。参加者の知恵を寄せ合い、大幅にユーザーの生産性を向上し、セキュリティを強化し、モビリティを高め、作業プロセスを簡略化できる機能の組み合わせを探ります。

会議の後半では、おおまかな展開計画を策定します。考えられる互換性、相互運用性、作業プロセスの問題を解決することに、時間を浪費しないようにします。数年間 Windows XP を運用してきた企業であれば、これまでに培われてきた手順が時代遅れになるものです。問題を特定し、分類して、先に進みましょう。

新しい油田を調査している地質学者になったつもりで、まず大きなオイル プールを見つけることに集中し、採掘方法は後で考えるようにします。

この会議の成果物は、だれが、何を、いつ、どこで、どのように実行するかを示すロードマップです。このロードマップには次のような情報が含まれます。展開する機能、準備作業を行う担当者、準備にかかる時間、最も影響を受けるのユーザー、最も影響を受けるユーザーの協力を得る方法、ハードウェアとソフトウェア費用として展開にかかる費用、考えられる障害点、テストに必要なリソースなどです。そして、最も重要なことは、作業を開始するタイミングです。これらを 5 ページのスライドにまとめて、経営陣に提出し、後はひたすら実行あるのみです。

5. 展開範囲を拡大する

Windows 7 の最も便利な機能の中には、多少のインフラストラクチャの変更を必要とするものがあります。たとえば、私が特に気に入っている機能に、フェデレーション検索と新しいエクスプローラー シェルのライブラリの連携があります。これらは連携して機能することで、分散しているデータを一元的でありながら柔軟に把握できるビューを提供します。

フェデレーション検索を使用する鍵は、Web ベースのデータ リポジトリに接続するためのコネクタを見つけるか作成することです。コネクタは、.OSDX ファイル内に設定する一連の構成項目です。これらの項目では、Web サイトを指定して、コンテンツの処理方法を定義しています。次に Bing 用コネクタの例を示します。

<?xml version="1.0" encoding="UTF-8"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/"
xmlns:ms-ose="https://schemas.microsoft.com/opensearchext/2009/">

<ShortName>Bing</ShortName>

<Description>Bing in Windows 7.</Description>

<Url type="application/rss+xml" 
template="http://api.bing.com/rss.aspx?source=web&amp;query=
{searchTerms}&amp;format=rss"/>

<Url type="text/html" template="https://www.bing.com/search?q={searchTerms}"/>

</OpenSearchDescription>

.OSDX ファイルを右クリックすると、エクスプローラーのプロパティ メニューに [検索コネクタの作成] オプションが表示されます。このオプションをクリックすると、コネクタは、お気に入りの一覧に追加されます。コネクタを選択し、エクスプローラー ウィンドウの右上隅にある検索フィールドにキーワードを入力すると、コネクタによる検索が開始されます。数秒で、エクスプローラーの結果ウィンドウに検索結果が表示されます。[プレビュー] をクリックすると、選択したページの内容が表示されます。図 6 に例を示します。

boswell.fig6.searchbing.gif

図 6 エクスプローラーの検索コネクタ (クリックすると拡大画像が表示されます)

コネクタは簡単に作成できます。社内開発者を説得して、イントラネット サーバー (会社のポータル、SharePoint ファームなど) 用にいくつかのコネクタを作成してもらいましょう。Windows 7 関連のあらゆるトピックが集まる非常に便利なサイトの SevenForums (tinyurl.com/srchcon、英語) では、多数のサンプル コネクタが公開されていることを、社内開発者に伝えてください。標準のパッケージ展開ツールを使用して、社内で開発したコネクタをユーザーに配布します。その後、それらのコネクタを使用して、分散 Web データの標準ビューを作成できます。

フェデレーション検索では Web サイトのコンテンツを問題なく処理できますが、ファイル サーバーにある数テラバイトもの大量のデータを検索する場合は、苦労をしがちです。つまり、ドライブ マッピングとネットワーク データ記憶域を明確に理解していないユーザーは、たとえば先月作成したレポートを W: ドライブから検索するのに、数時間もの時間を費やさなければならない可能性があります。

ここで活躍するのが、ライブラリです。ライブラリでは、さまざまなソースのファイル情報を収集して、検索可能なオブジェクトにまとめます。Windows 7 の既定のライブラリには、通常と同じ種類の個人用データとフォルダー (ドキュメント、ミュージック、ピクチャー、およびビデオ) が含まれています。このライブラリの一覧は、簡単に拡張してサーバー ベースのリポジトリを追加できます。リポジトリを追加するのに必要な操作は、一覧を右クリックし、[新しいライブラリ] をクリックし、共有フォルダーの UNC パスを追加するだけです。

注意しなければならないのは、追加するフォルダーは、インデックスされている必要があることです。Windows Server 2008 以上では、ファイル サービスの役割をインストールし、役割サービスの Windows サーチ サービスをインストールします。Windows Server 2003 SP2 サーバーでは、www.microsoft.com/downloads/details.aspx?familyid=070B6969-6205-4A03-82BE-8AF7320A663D&displaylang=ja から無料でダウンロードできる Windows Search 4.0 をインストールします。ただし、Windows サーチのインターフェイスの制限により、最終的なターゲットである DFS フォルダーが、インデックスされたファイル サーバーであっても、DFS パスを指定することはできません。

ライブラリを作成するコマンド ライン ユーティリティはなく、本稿執筆時点では、Windows PowerShell コマンドレットもありません。ただし、Windows 7 SDK には、プログラムでライブラリを操作するツールが収録されるので、近いうちに、ちょっとしたユーティリティが提供されるようになるでしょう。このようなユーティリティのリリースに対するアンテナを高めておいてください。

ライブラリの既定の動作について、1 つ注意があります。エクスプローラーでは、コモン ファイル ダイアログにライブラリが表示され、ユーザーがドラッグ アンド ドロップ操作でファイルをライブラリに保存できるようになっています。1 つのライブラリに複数のリンクがある場合、そのうちの 1 つを既定の保存先として構成する必要があります。

6. 分散セキュリティの準備をする

最初の戦略会議で、Windows 7 のさまざまな分散セキュリティ機能をどのように扱うかを話し合う時間を取ります。この決定内容はテスト マトリックスに大きく影響するため、プロジェクトの早い段階で行動計画を立てておく方がよいでしょう。

まず、デスクトップ ファイアウォールを有効にするかどうかを検討します。OS ベースのデスクトップ ファイアウォールが Windows XP SP1 で初めて導入されたときに、多くの企業では、グループ ポリシーを使用してこれを無効にして、それきりになっています。Windows 7 のファイアウォールは、はるかに柔軟性が高く、再考に値することは確かです。コンピューターがドメインに接続しているときは、ファイアウォールを無効にし、自宅または仕事用ネットワークやインターネットに接続しているときは有効にすることができます。また、より詳細な例外規則も定義できます。最初のパイロット ユーザーに対して複数の方法を組み合わせて試し、フィードバックを収集する共に、セキュリティ チームからの意見も取り入れて、最終的なファイアウォールの設定を決定します。すべてのファイアウォール設定は、グループ ポリシーを使用して構成できます。

次に、AppLocker を使用して、デスクトップで実行を許可するアプリケーションを制限するかどうかを検討します。AppLocker を使用すると、承認済み実行可能ファイルのホワイトリストを作成できます。各実行可能ファイルは、ファイル ハッシュによって個別に選択でき、場所別または発行元別にグループ化できます (ただし、発行元別にグループ化するには、発行元の証明書によって署名されている必要があります)。規則を構成すると、構成した規則は、アプリケーション ID サービスを実行している Windows 7 クライアントによってダウンロードされます。それ以降は、ホワイトリストに登録されているアプリケーションしか実行できません。その他の実行可能ファイルは、すべて脇に追いやられます (まるで高校時代の運動会のときの私のようにです)。

AppLocker による許可はグループ ポリシーによって適用されるため、OU、グループ メンバーシップ、または WMI フィルターに基づいて規則を適用するコンピューターを厳密に制御できます。

アプリケーションの山をかき分けて、AppLocker のホワイトリストに含めるアプリケーションを決める作業は、楽しいようには聞こえませんが、状況はそんなに悪くありません。ほとんどの基幹業務コンピューターに展開されているのは、一定の限られたアプリケーションです。そこからスタートしてください。夜勤スタッフがウィジェットの作成をそっちのけで、フラッシュ ドライブを工場のキオスク コンピューターに接続してゲームに興じないようにできれば、業務上の問題の多くは解決されます。事務管理部門のコンピューターは、後で対応します。

最後に、暗号化テクノロジを使用してラップトップとフラッシュ ドライブを保護するかどうかを検討します。役員、管理者、およびナレッジ ワーカーが、貴重な知的財産の詰まったデータ ドライブを持ち歩く場合は、暗号化が必要なのは明らかです。BitLocker を使用すると、ハード ドライブ全体とドライブ上のすべてのデータを暗号化できます。BitLocker To Go を使用すると、さらにフラッシュ ドライブなどのポータブル メディアも暗号化できます。この機能はぜひとも展開する必要があります。

しかし、単純にグループ ポリシーで BitLocker ポリシーを有効にし、多数のドライブを暗号化して、それで完了だと言っているわけではありません。他の暗号化ベースのテクノロジと同様に、入念に使用するオプションを検討する必要があります。長年にわたり「年次会議の 1 時間前に CEO がラップトップを起動できなくなったときに、あの哀れな古株の <あなたの名前> が会社の回復キーを作成していなかったのを覚えてるかい」などと、噂されるような人にはならないでください。エンタープライズ レベルのドライブ暗号化と BitLocker の実装について豊富な経験を持っているコンサルタントを雇うのも、賢明でしょう。重要なのは、複雑だからといって、及び腰にならないことです。この機能を導入しない方が、よほど恐ろしい結果を招きます。何しろ、「CFO のラップトップが組織犯罪による被害に遭って、倒産に追い込まれた企業がありましたね」などという話が、長年にわたる語り草となる可能性がありますから。

7. デスクトップを仮想化する

次の例について考えてみましょう。標準の Windows 7 デスクトップ イメージの設計に、数週間または数か月もの時間をかけてきました。懸命に働いて技術的な問題を解決し、コンピューター間で迅速にアプリケーション データとユーザー データを移動する手段を見つけ、移行による影響を軽減しました (Windows 自動インストール キットに収録されているユーザー状態移行ツールは、このような作業に着手する足がかりとして便利です。チュートリアルのデモについては、tinyurl.com/usmtwt (英語) を参照してください)。フィールド技術者は、よく訓練されています。ヘルプデスク チームは、チームの SharePoint サイトにあなたが提供したガイダンスのおかげで、平穏な日々を過ごしています。そして、ついに、展開に取り掛かる準備ができました。

ですが、少しお待ちください。Windows 7 では、新しい各コンピューターのハード ドライブに直接オペレーティング システムをインストールするのではなく、ハード ドライブ上の仮想ハード ドライブ (VHD) に OS をインストールできます。OS はこの VHD データから起動します。これは C ドライブになり、実際のハード ドライブは D ドライブとして扱います。適切に計画すれば、この方法でインストールした OS は非常に移植性が高くなります。たとえば、John がシンシナティからシカゴに転勤になった場合、シンシナティのフィールド技術者が VHD をネットワーク経由でコピーしてシカゴのフィールド技術者に渡して、シカゴのフィールド技術者は、この VHD を任意のコンピューターに配置して、John が引越しの車から降り立ってすぐに、使い慣れたデスクトップ環境で作業できるようにすることが可能です。

この構成ではパフォーマンスに問題があるのではないかと思う場合は、考え直してください。仮想化チームのブログ (tinyurl.com/nativevhd、英語) で、ディスク I/O の統計データを確認してください。

ただし、いくつか注意しなければならないことがあります。1 つは、休止状態についてです。VHD から起動したコンピューターでは、休止状態は一切利用できません。ですから、ラップトップには VHD ブートを使用しないことをお勧めします。また、BitLocker で暗号化したドライブでは、VHD から起動することはできません。このことからも、ラップトップには VHD は向かないと言えます。

VHD ベースの展開を扱う複雑さが、そのメリットと見合わないという結果になる可能性はありますが、少なくともテスト計画には VHD を含めることをお勧めします。VHD の展開手順については、この記事では書き切れませんが、いくつか参考になるサイトを紹介します。Max Knor が tinyurl.com/win7bootvhdnativinstall (英語) で説明している方法を使用できます。この方法では、基本的に Windows 7 セットアップ CD から起動し、コマンド プロンプトを操作して VHD を作成して、作成した VHD をインストーラーのターゲットに使用します。非常に賢い方法です。TechNet のチュートリアルの手順 (technet.microsoft.com/ja-jp/library/dd744338.aspx) を使用することもできますし、Microsoft ダウンロード センターからダウンロードできるビデオ (tinyurl.com/win7bootvhdvid、英語) も参考になります。

これらの手法をよく理解したら、Kyle Rosenthal が Vista PC Guy ブログで説明している WinPE ツールを使用してイメージを作成する方法も確認してみてください。たとえば、vistapcguy.net/?p=71 (英語) の手順では、WinPE ツールを使用して起動可能なフラッシュ ドライブを作成し、このドライブ上にインストール イメージを作成する方法を説明しています。このツールを使用すると、CD や DVD を使用することなく、標準イメージをコンピューターにすばやくインストールできます。

8. エンタープライズ機能を評価する

VHD ブートは、BitLocker と AppLocker と並んで、Windows 7 Enterprise または Ultimate が必要な機能です。Enterprise SKU は、ボリューム ライセンス契約を通じてしか取得できません。Windows 7 Enterprise または Ultimate をお持ちの場合は、セキュリティを強化し、運用効率を上げるための、いくつかの追加機能を展開することを検討してください。

BranchCache を使用すると、ブランチ オフィスの中央サーバーまたはデスクトップのピア ネットワークの一環として、ファイル転送をキャッシュできます。クライアントでファイル転送が開始されると、BranchCache では、まず、ローカルにそのファイルがキャッシュされているかどうか、ファイルのハッシュが権限のあるソースのハッシュと一致するかどうかを確認します。ローカルにキャッシュされていて、ハッシュも一致した場合は、キャッシュからファイルをコピーします。これにより、ユーザーの作業時間が短縮されるだけでなく、WAN のネットワーク負荷も軽減されます。これは、ネットワーク担当者が間違いなく顔をほころばせるメリットです (彼らは顔をほころばせることはわかっています。見たことがありますから)。ぜひ、パイロット テストで BranchCache を試して、展開するアプリケーションと関連するファイル トラフィックにメリットがあるかどうかを評価してください。

次は、1 つ前のセクションで説明した VHD ベースのいわゆる仮想化を、Windows Server 2008 R2 サーバーの仮想デスクトップ インフラストラクチャ (VDI) を展開することで、次のレベル (正真正銘の仮想化) に引き上げることもできます。VDI では、各デスクトップ セッションは個別の仮想マシンとして存在し、ユーザーは RDP 経由で接続します。この構成は、より一般的なターミナル サービスを利用してデスクトップを公開する方法とは対照的です。ターミナル サービスの方法では、すべてのユーザーは同じアプリケーション イメージを利用して作業します。ターミナル サービスでは、あるユーザーの作業中にエラーが発生すると、他のすべてのユーザーに影響があります。Caddyshack という映画を観ましたか、と聞けば十分でしょう (アプリケーションを仮想化することで、ターミナル サーバーでの不適切な相互作用を防ぐこともできます。Microsoft Desktop Optimization Pack に収録されている App-V ツールを確認してください)。

VDI を使用すると、少しコストがかかる場合もあります。サーバーのメモリとネットワーク アクセスを完備してユーザーの仮想デスクトップをサポートするコストが、PC 自体のコストを上回ることがあります。しかし、分散デスクトップ環境における障害回復としては、これ以上の保護は望めません。

もう 1 つのエンタープライズ機能である DirectAccess を使用すると、VPN を使用せずに、Windows Server 2008 R2 ゲートウェイ経由で社内ネットワークに接続できます。空港にいても、EVDO 対応ネットブックを開いたら、すぐに社内のサーバーに保存されているドキュメントを処理することができます。ただし、この機能をセキュリティ チームに売り込むには、少し時間がかかる可能性があります (というのも、このグループの担当者は、笑顔を見せることがないからです)。

9. 互換性対策を確立する

代表者を召集した会議では、64 ビット デスクトップを展開する準備ができているかどうかについても徹底的に話し合う必要があります。更新サイクルの一環として展開される新しいコンピューターは、ほぼ間違いなく 64 ビットに対応しています。おそらく、新しいコンピューターには現在の RAM の価格であれば少なくとも 2 GB の RAM を搭載し、わずかばかり単位原価の上乗せを経理に承認してもらえた場合は、4 GB の RAM を搭載しているでしょう。プロセッサについては、おそらくデュアル コア (ひょっとしたらクアッド コア) を搭載し、Aero をサポートできるだけのビデオ メモリを備えています。このようなコンピューターであれば、64 ビット OS に申し分ありません。

現在使用している基幹業務アプリケーションと商用アプリケーションのすべてが、32 ビットでも、これまでの投資の有効性をさらに証明できるという以外の理由がなければ、64 ビット版の Windows 7 をインストールすることは理にかなっています。世界は確実に 64 ビット標準に向かって動いているので、ベンダーが下位互換性に対応しなくなるときに備えておいた方がよいでしょう。

64 ビット デスクトップの展開を決めたら、デバイス ドライバー、ウイルス対策製品、管理エージェントなどとの問題がないか徹底的にテストします。現在、32 ビットのプリント サーバーを使用している場合は、印刷キューに 64 ビット ドライバーをインストールする必要があります。または、新しい x64 版の Windows Server 2008 または Windows Server 2008 R2 プリント サーバーを展開して、印刷キューの構築時に、32 ビットと 64 ビットのドライバーをインストールすることもできます。Windows Server 2008 R2 のプリンターの移行ウィザードは、この作業をサポートするようにデザインされています。不良なドライバーによってスプーラーが停止することがないように、印刷モデルが改善されてドライバーがプリント サーバー自体のメモリ領域に保持されるようになっているため、Windows Server 2008 R2 の新しいプリント サーバーを展開する価値はあります。

64 ビットへの移行を妨げる一番の原因となる可能性があるのは、16 ビットのレガシ アプリケーションを実行する必要があることです。というのも、16 ビット アプリケーションは、64 ビット ホストではまったく実行できないからです。この場合の最適な選択肢は、ミネソタの温室農家が長年トマトの栽培に利用している裏技を使用することです。この裏技というのは、ダルースではなくダラスにいるとトマトに思い込ませるような環境を構築することです。つまり、XP モードを使用して、x64 版の Windows 7 デスクトップに、x86 版の Windows XP SP3 インスタンスを配置します。

XP モード仮想マシンにインストールされたアプリケーションは、ネイティブにインストールされているアプリケーションと同様に、Windows 7 のスタート メニューから起動できるため (図 7 参照) 、2 つのモードを使用していてもユーザーが混乱することはありません (この裏技は、直接 XP モードからではなく、実際には特別な RAIL 修正プログラムにより実現されています。したがって、32 ビット版の Vista または Windows 7 で、この RAIL 修正プログラムをインストールして、Virtual PC を実行しても、同様にスタート メニューから仮想マシンにインストールされているプログラムを起動できます)。

boswell.fig7.virtualpcmenu.gif

図 7 スタート メニューに表示される XP モードのアプリケーションの一覧

既定では、XP モードの仮想マシンは、仮想マシン内のローカル アカウントを使用して実行されます。このアカウントの名前は User です。このアカウントのパスワードはインストール時に設定しますが、パスワードは無期限に設定されます。または、仮想マシンを起動して、ドメインに参加させ、ドメイン資格情報を使用してログオンすることもできます。Exchange Server 2003 ESM を古い管理ツールと併せて XP モードに読み込めば、完全に互換性のある管理環境を構築できます。しかも、ホスト コンピューターと仮想マシンの間では、シームレスにカット アンド ペースト操作を行えます。いいですよね。

XP モードには、Intel VT または AMD-V のどちらかのハードウェア ベースの仮想化が必要です。カリフォルニア州ラグーナヒルズにある Gibson Research Corporation (同社の代表製品: SpinRite、ShieldsUP!) の Steve Gibson が、コンピューターが要件を満たしているかどうかをすばやく確認できる SecurAble (grc.com/securable.htm、英語) という無料のユーティリティを提供しています。SecurAble のレポートの例については、図 8 を参照してください。

boswell.fig8.securable report.gif

図 8 Gibson Research Corporation の SecurAble のレポート

数百または数千台の PC がある場合は、この代替環境を処理するための集中管理パッケージが必要です。それには、Microsoft Enterprise Desktop Virtualization (MED-V) という、Microsoft Desktop Optimization Pack のコンポーネントの 1 つを使用できます。MED-V 2.0 は、クライアント側では、ハードウェアの仮想化サポートが必要な仮想マシンをインストールすることで、XP モードと同様に機能します。バックエンド側では、パッケージを作成して仮想マシンに展開するための、さまざまなツールを提供します。詳細については、Windows チームのブログ (tinyurl.com/medvblog、英語) を参照してください。

10. ユーザーのローカル管理者権限を削除する

まだユーザーにローカル管理者権限を与えている場合は、この時点で、その権限を削除する必要があります。難しい作業であることは十分に承知しています。特にラップトップ ユーザーについては、ヘルプ デスクの担当者が、電話で複雑な修正作業の手順を指示できないため、ローカル管理者権限を取り上げるのは難しいでしょう。しかし、"影の" IT 組織も厄介です。これは、特定の戦術的ニーズに合うアプリケーションを見つけてきては、相互運用性のテストなどはお構いなしに、USB メモリを使用して、こそこそとアプリケーションをインストールしてしまう、各部門内で達人や管理者を気取っているユーザーです。また、一般のユーザーがローカル管理者権限を持っていた場合に、各自のコンピューターにインストールする仕事に関係のないアプリケーションについては言うまでもありません。ヘルプ デスクのサポートなしにはパスワードのリセットもできない、技術的な知識に乏しいユーザーが、買い物やスポーツにかかわる目的のためなら、複雑な複数層のクライアント/サーバー フロントエンド アプリケーションをインストールできるというのは驚きです。

政治的な力を寄せ集めて、ローカルの管理者権限を大半のユーザーに与えないようにすると、この権限を取り上げた途端に、アプリケーションが適切に動作しなくなりました。驚くほど多くのアプリケーションが、ファイル システムの保護領域やレジストリへの書き込みを必要としています。

Windows 7 では、簡単に標準ユーザー モードでの運用に切り替えられます。バックグラウンド プロセスにより、保護領域からユーザー制御領域に変更がリダイレクトされます。それだけでも、Windows XP を標準ユーザー モードで運用する場合に発生したさまざまな問題が解決されます。また、標準ユーザーの役に立つ、シンプルでも重要な機能強化がいくつかあります。たとえば、Windows XP や Vista ではローカル管理者権限が必要だったタイム ゾーンの変更ができるようになりました。また、画面解像度の変更、ipconfig /refresh コマンドによる新しい DHCP アドレスの取得、およびオプションの更新プログラムのインストールを実行することもできます。

Application Compatibility Toolkit (ACT) には、アプリケーションの調査に役立つ Standard User Analyzer (SUA) ウィザードが用意されています。SUA では、アプリケーションを昇格された特権で起動できるプラットフォームが提供されます。次に、SUA は、アプリケーションのインストールおよび実行時に、内部を詳しく調べて、標準ユーザーでの実行を妨げる可能性がある軽微な問題を探します。この処理が完了すると、アプリケーションに問題がないことを示すレポートか、修復が必要な項目の一覧が表示されます。

ACT をダウンロードするときには、アプリケーション検証ツールも (tinyurl.com/appverify、英語) 併せてダウンロードすることをお勧めします。このツールは、SUA ウィザードで使用されますが、ACT パッケージには含まれていません。また、ACT 5.5 のドキュメントは必ず一読してください。ACT 5.5 のドキュメントは、互換性の問題と修正方法について非常に役立つ情報の宝庫です。TechNet Magazine の 2009 年 6 月号でも、アプリケーションの互換性について大きく取り上げています。

しかし、管理者や開発者、ローカルの Administrators グループのメンバーに戻すだけの十分な理由があるユーザーなど、どうしてもローカル管理者権限が必要なユーザーはどうしたらよいでしょうか。ですが、このようなユーザーが、昇格された権限を終日使用して、あちこちアクセスしても本当によいのでしょうか。読者の皆さんが、この 2 点について否定してくれることを願います。そして、この 2 点をクリアするためには、厳しい批判を浴びたユーザー アカウント制御 (UAC) が役立ちます。最近、Mark Russinovich が、このトピックについて詳細な記事 (「Windows 7 ユーザー アカウント制御の内部」、TechNet Magazine、2009 年 7 月号) を執筆しています。新しい UAC スライダーを一番下まで移動して、コンピューターで UAC を無効にする前に、この記事を一読してください。

つかの間ではないヒーローになれます

Windows 7 の準備と展開には多くの作業が必要ですが、ユーザーがこの新しい OS を本当に望むようにする一助になります。Windows 7 を試したユーザーは、新しいインターフェイスを気に入っています。また、適切な仕上がり、応答のよさ、および新機能を評価しています。

システム管理者として人気者になる機会は、めったにありません。私は、この機会が続く限り、しばらく楽しみたいと思います。皆さんもぜひそうしてください。Windows 7 の展開の成功を祈ります。それから、展開の結果を、ぜひお知らせください。

Bill Boswell は、Microsoft Consulting Services のアリゾナ州フェニックス オフィスのシニア コンサルタントです。連絡先は、billb@microsoft.com (英語のみ) です。現在は、大手航空会社の IT アーキテクチャーと計画 (ITAP) アドバイザーとして、職務に当たっています。