タグ:Windows ( 58 ) タグの人気記事


Windows10 GPOでドライブを非表示にする。

10年前にこんな記事を書いたのですが、未だにご覧になられる方がいらっしゃるようで気になっていました。

グループポリシーでドライブを非表示にする。

という事で、 Windows10 でも、エクスプローラからドライブが非表示にできるかどうかを試してみました。


Windows のドライブは勿論、アルファベットのA~Zまであるのですが、意図的に見せたくないドライブもあります。例えばC:ドライブに勝手にディレクトリを掘って、そこに重要なデータを保管されたりすると、いざ、PCがご臨終になった場合に、データが無くなったとウルサいエンドユーザさんもいるわけですね。できれば、C:とD: は別なパーティションにわけて、D:ドライブは自由に使ってもいいけどC:ドライブは、システムを復旧した時に保証されないよ、という事もあるわけです。ついでに、ドキュメントフォルダなんかはD:ドライブに割り当ててあげて、タスクスケジューラなんかでD:ドライブだけをNASなどの隠しドライブに Robocopy してあげれば、最低限ユーザのデータのバックアップは為せば成る。

また、USB記憶装置なんかをつないだ時に、ドライブレターが、エクスプローラに表示されなければ、コピーすることもできません。「なぜコピーできないんだ」と言われれば、それは「セキュリティポリシーだから」で済むわけです。そこで、例えばネットワークに割り当てたP:とかS: とか以外は見せたくないという事も考えられるわけです。

という事で、エクスプローラから、見せたくないドライブを隠してしまおう Windows10 版です。もっとも、エクスプローラからは見えないだけで、コマンドプロンプトや、保存したり開く時のアドレスバーに直接ドライブ名を入れてしまえば、見えてしまうのですが、おおよそ9割のエンドユーザさんはそんなことお構いなしに「見えないものは無いもの」と考えてくれるわけですから、それなりに便利だともいえます。



- 基本編 -

さて、グループポリシーエディタ gpedit のドライブを隠す設定は

  1. [ユーザーの構成]、[管理用テンプレート]、[Windows コンポーネント]、[エクスプローラー]
  2. [指定したドライブを [マイ コンピューター] 内で非表示にする] を開く
  3. [指定したドライブを [マイ コンピューター] 内で非表示にする] ダイアログ ボックスで [有効]
  4. ドロップダウン ボックスで該当するオプションをトグルして設定

という手順になるのですが、

a0056607_10500340.jpg


ただ、この gpedit のテンプレートでは、決め打ちのドライブを隠す設定だけなので D: とネットワークに割り当てた P: と S: だけは見せたいとかのカスタマイズができません。という事で、この「隠しドライブ」をカスタマイズしてみましょう、というのがテーマです。



- 不可視ドライブをカスタマイズする -

C:\Windows\PolicyDefinitions の下に WindowsExplorer.adml というファイルがあります。C:\Windows\PolicyDefinitions が本体で、さらに ..\ja-JP\ に翻訳した内容が記述されています。

C:\Windows\PolicyDefinitions\ja-JP>dir WindowsExplorer.adml
ドライブ C のボリューム ラベルは WindowsC です
ボリューム シリアル番号は 1856-98D7 です
C:\Windows\PolicyDefinitions\ja-JP のディレクトリ
2016/07/17 07:15 80,922 WindowsExplorer.adml
1 個のファイル 80,922 バイト
0 個のディレクトリ 25,201,598,464 バイトの空き領域
C:\Windows\PolicyDefinitions\ja-JP>

翻訳はメモ帳で開くとこんな設定が書かれています。gpedit に出てくる内容そのまんまですね。

: 略

<policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"; xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"; revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">;
<displayName>表示名をここに入力する</displayName>
<description>説明をここに入力する</description>
<resources>
<stringTable>
<string id="ABCDOnly">A、B、C および D ドライブのみを制限する</string>
<string id="ABConly">A、B および C ドライブのみを制限する</string>
<string id="ABOnly">A および B ドライブのみを制限する</string>
<string id="ALLDrives">すべてのドライブを制限する</string>
<string id="ClassicShell">クラシック表示のシェルをオンにする</string>
<string id="ClassicShell_Help">この設定を使用すると、管理者は特定の Windows シェルの動作をクラシック表示のシェルの動作に戻すことができます。

: 略

実体を開くと

C:\Windows\PolicyDefinitions>dir WindowsExplorer.admx
ドライブ C のボリューム ラベルは WindowsC です
ボリューム シリアル番号は 1856-98D7 です
C:\Windows\PolicyDefinitions のディレクトリ
2016/07/17 07:20 41,886 WindowsExplorer.admx
1 個のファイル 41,886 バイト
0 個のディレクトリ 25,188,646,912 バイトの空き領域
C:\Windows\PolicyDefinitions>

例えば翻訳では 「AB のみを制限する」内容がこのように記述されています。翻訳版の ja-JP の "string id=" の部分を "item displayName=" で定義しています。

: 略

<item displayName="$(string.ABOnly)">
<value>
<decimal value="3" />
</value>
</item>

: 略

ここで問題となるのが "decimal valu=" の部分です。





- 不可視ドライブの値を決定する -

ここで Decimal Value は Z~A をビットに見立てて、0 は見せるドライブ、1 は見せないドライブです。
Dex:3 は 0011b: 0x03 ですから "D:C:B:A: ドライブの B: と A: はビットが立って、制限して見せない"という事になります。

右からZ:Y:X: .... C:B:A: とビットで制限して、内容を10進数で表記しているわけです。実に面倒くさい。

例えば D:E:F:P:S: ドライブだけ見せて、他のドライブをエクスプローラーに表示させたくない場合、次の様なバイナリデータが、7桁の十六進数 0x3FB7FC7 となり、 Decimal 十進数では 66812895 となります。


**ZW|XWVU|TSRQ|PONM|LKJI|HGFE|DCBA <<-- Drive Letter
0011|1111|1011|0111|1111|1100|0111 <<-- Binary 1:Hide, 0:Show
0x03|0x0F|0x0B|0x07|0x0F|0x0C|0x07 <<-- Hex
66812895 <<-- Decimal

という事で、ドライブの見せ方を決定するには面倒で使えない Windows10 の「電卓アプリ」を使って、二進、十進の計算するわけです。

しかし電卓アプリよりこの面倒な数値を求めるサイトが、まだあるのでご紹介しておきます。とても便利です。


Drives to show/hide

不要なデフォルトの Show Only を Delete して、表示したいドライブレターをチェックします。"New" ボタンを押すと、必要最低限の情報だけを作ってくれます。

a0056607_10505797.jpg




Export すると、この様な hidedrive.adm が作成されてダウンロードできるので、参考にすると良いでしょう。 D:E:F:P:S: を表示する値は 66813895 になりました。0 は全部ビットが落ちて "ShowAll" で 67108863 は全部にビットが立って "HideAll" になります。

  : 略

CATEGORY !!WindowsComponents
CATEGORY !!WindowsExplorer
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ShowAll VALUE NUMERIC 0
NAME !!HideAll VALUE NUMERIC 67108863 DEFAULT
NAME !!DEFPS VALUE NUMERIC 66813895
END ITEMLIST
END PART
END POLICY
POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoViewOnDriveDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ShowAll VALUE NUMERIC 0
NAME !!HideAll VALUE NUMERIC 67108863 DEFAULT
NAME !!DEFPS VALUE NUMERIC 66813895
END ITEMLIST
END PART
END POLICY
END CATEGORY ; WindowsExplorer
END CATEGORY ;; WindowsComponents

: 略




- 実装してみる -

メモ帳などのテキストエディタで、 C:\Windows\PolycyDefinitions の中身を書き換えて追加する隠しドライブのポリシーを追加します。上書きできないのでいったん保存して、ファイルのバックアップを取ってから、ファイルを PolicyDefinicions にコピーして実装します。

C:\Windows\PolicyDefinitions>type WindowsExplorer.admx

: 略

<item displayName="$(string.DEFPSonly)">
<value>
<decimal value="66813895" />
</value>
</item>

: 略

C:\Windows\PolicyDefinitions\WindowsExplorer.admx は所有者が Administrator でなければ上書きできません。ファイルのセキュリティの詳細から所有者を Administrator グループなどに変更する必要があります。一応バックアップをとってから書き換えることができました。

C:\Windows\PolicyDefinitions\ja-JP>type WindowsExplorer.adml

: 略

<stringTable>
<string id="ABCDOnly">A、B、C および D ドライブのみを制限する</string>
<string id="ABConly">A、B および C ドライブのみを制限する</string>
<string id="ABOnly">A および B ドライブのみを制限する</string>
<string id="ALLDrives">すべてのドライブを制限する</string>
<string id="DEFPSonly">DEFPSのみ見せる</string>
<string id="ClassicShell">クラシック表示のシェルをオンにする</string>
<string id="ClassicShell_Help">この設定を使用すると、管理者は特定の Windows シェルの動作をクラシック表示のシェルの動作に戻すことができます。

: 略

この様な感じで、追加したポリシーを書き換えて保存します。

このC:\Windows\PolicyDefinitions\ja-JP\WindowsExplorer.adml ファイルはいったん別なディレクトリに保管して管理者として上書きします。

実装前

G: I: が見えています。

a0056607_10542889.jpg




"DEFPS のみ見せる"が出てきました。「有効」にポリシーを設定して「適用」します。

a0056607_10562741.jpg


グループポリシーを即座に適用します。

C:\WINDOWS\system32>gpupdate.exe
ポリシーを最新の情報に更新しています...
コンピューター ポリシーの更新が正常に完了しました。
ユーザー ポリシーの更新が正常に完了しました。
C:\WINDOWS\system32>

エクスプローラからC: H: I: ドライブが消えました。

a0056607_10552891.jpg



S:にネットワークの共有記憶領域を割り当てます。S:は見えるようです。



--


今回は、単体PCで実施しましたが、 ZENworks Configuration Management では、変更したPCで iManager から設定し、サーバーにアップすれば良いかと思います。 Windows ドメインを使う場合は、たぶんどこぞの隠し共有フォルダにこのファイルがあるので、書き換えて管理できるでしょう。

このグループポリシー自体をカスタマイズする方法は、他で紹介されているような、直接レジストリを書き換える方法より安全でしょうし、また、他にいくつかの Hide Drive Policy を作っておけば、ドメインユーザや ZENworks ユーザによって、管理者、ヘルプデスク、一般パワーユーザ、一般ユーザ、先生、生徒の様に様々なパターンが二つのファイルのカスタマイズでできるので便利です。





-Keyword-

Windows, Windows10 特定のドライブ, ドライブが見えない, ドライブを不可視, ドライブを隠す, 特定のドライブを非表示, グループポリシー, How to Hide Drive letter from Explorer,

[PR]
by islandcenter | 2017-10-19 11:14 | ZENworks | Trackback | Comments(0)

ここでは Linux, Windows のシャットダウン、リブートの方法について説明します。

1) .Linux のシステムを停止、電源遮断する

Linux システムのシャットダウン、再起動コマンドは shutdown コマンドを
実行します。

- 参考ページ -

シャットダウンして、電源遮断(Halt)をするには

# shutdown -h 0 または
# shutdown -h now

シャットダウンして、再起動(Reboot)をするには

# shutdown -r 0 または
# shutdown -r now

-h は halt, -r はリブートの意味です。0 は「0分後」つまり今すぐの意味です。

SLES11の場合

SLES11sp4:~ # shutdown --help
shutdown: invalid option -- '-'
Usage: shutdown [-akrhHPfnc] [-t secs] time [warning message]
-a: use /etc/shutdown.allow
-k: don't really shutdown, only warn.
-r: reboot after shutdown.
-h: halt after shutdown.
-P: halt action is to turn off power.
-H: halt action is to just halt.
-f: do a 'fast' reboot (skip fsck).
-F: Force fsck on reboot.
-n: do not go through "init" but go down real fast.
-c: cancel a running shutdown.
-t secs: delay between warning and kill signal.
** the "time" argument is mandatory! (try "now") **

SLES12 の場合

sles12sp3:~ # shutdown --help
shutdown [OPTIONS...] [TIME] [WALL...]

Shut down the system.

--help Show this help
-H --halt Halt the machine
-P --poweroff Power-off the machine
-r --reboot Reboot the machine
-h Equivalent to --poweroff, overridden by --halt
-k Don't halt/power-off/reboot, just send warnings
--no-wall Don't send wall message before halt/power-off/reboot
-c Cancel a pending shutdown
sles12sp3:~ #



2). Windows のシステムを停止、電源遮断する(特にリモートデスクトップ)

通常にスタートボタン(田ボタン)からシャットダウン、リブートします。

Windows Server 系ならリモートデスクトップでも「田ボタン」から、シャットダウン、再起動のメニューが使えますが、Windowsクライアント系(VDIデスクトップ)の場合、リモートデスクトップから、再起動のメニューが出ません

もしWindows のリモートデスクトップを使ってシャットダウンする場合はDOS プロンプトを開いて

> shutdown /s /t 0 (シャットダウン)
> shutdown /r /t 0 (再起動)

か、

必ずフルスクリーンモード alt+f4 キーでシャットダウンのダイアログが出ます。

a0056607_13562995.jpg

こちらをご参考ください。



Windows2008 系を KVM/XEN で仮想化している場合、「シャットダウンしています...」が60秒以上かかる場合、あるいは、シャットダウンし切れない場合があります。

動きがない場合 virt-manager & から Force Off しても構いません。

あるいはコマンドラインで

# virsh(あるいは xm or xl ) destroy my-vmachine-Name_or_vmID_num

で強制終了させます。


3).仮想化ハイパーバイザホストで fsck する場合がある

なお、長期連続運用後、再起動させた場合、fsck プロセスが走る場合があります。

これは長期間 fsck をしていない場合に必ず行う checkdisk の様な物なので、進捗具合を見ながら放置してください。

数分から数十分かかる場合がありますので、慌てて電源を切らない事です

OS起動時のfsckのチェック間隔 (※SLES11の場合)

Superblock があるパーティションで

sles11sp4:~ # tune2fs -l /dev/sda9 | grep interval
Check interval: 15552000 (6 months)
sles11sp4:~ #
sles11sp4:~ # tune2fs -l /dev/sda8 | grep -i mount
Last mounted on: <not available>
Default mount options: (none)
Last mount time: Fri Sep 29 13:39:19 2017
Mount count: 44
Maximum mount count: -1

デフォルトでは6か月以上 fsck をしない ext3 パーティションは強制的に fsck されるようです。マウント回数は -1 なので無限大の様です。強制的に fsck させない場合は shutdown コマンドで

-f: do a 'fast' reboot (skip fsck).

オプションを使います。

※ このケースは SLES11 の ext3 フォーマットでのデフォルトです。SLES12 では BtrFS と XFS をデフォルト使用しませんのでこの限りにあらずです。



SUSE SLES11, ハイパーバイザーのメンテナンス、Linux, Windows, シャットダウン、再起動



[PR]
by islandcenter | 2017-10-03 14:00 | SUSE | Trackback | Comments(0)

- 目的 -

全社、あるいは多くの部署で読み書き可能だったファイルサーバーのフォルダのアクセス権を特定の部署、あるいはグループに特定できるように変更したい。

- OES Linux での操作 -

次の OES ファイルサーバーのフォルダ VOL:test には O=ACE(組織全部)と Yoiko.Uses.Osaka.Ace(グループ)に権限が与えられています。

既に O=ACE に [ RWCEFM ] の権限が与えられているため、全社 O=ACE がこのファイルサーバーのフォルダを読み書きできる状態です。グループオブジェクト Yoiko.Osaka.Ace にもトラスティが与えられていますが、この権限はこの場合は余分です。
a0056607_11070253.jpg
したがって、OES ファイルサーバーの VOL:test には グループに関係なくすべてのユーザに権限が与えられています。

これを Users.Tokyo.ACE の OU にのみ解放したい場合 ....

いったんすべてのファイルサーバーの権限を削除して、
a0056607_11072836.jpg

特定の部門、グループにだけ権限を与えます。ここでは Users.Tokyo.Ace に権限が与えられ、Osaka.Ace には与えられていません。全社からではなく、一部の部署がファイルサーバーの特定のフォルダにアクセスできるようになります。

a0056607_11075388.jpg
これで Osaka.ACE のユーザには権限が与えられなくなります。

※ただし、ログインスクリプトで map f:=VOL: などの記述があると、全くボリュームに権限がないと、マップエラーになります。本来であれば、権限がない時点で map のスクリプトを削除するのがベストですが、何か理由があって、ログインスクリプトに手を加えたくない場合は、dummy ファイルを置いて、[ F ] 権だけを与えたファイルを作っておくと良いでしょう。

試しに VOL:dummy.txt のユーザに [ F ] 権のみ与えてみると、東京では見えるフォルダは見えませんし、F権のみなのでフォルダを見ることはできても中身を確認することができません。

a0056607_11081955.jpg
Windows のファイル共有と違って、OES のファイルサーバーのアクセス権(トラスティ)の割り当ては、一か所変えるだけで、メタファイルを一か所変えるだけなので、一瞬で終わります。フォルダの中にどれほどサブフォルダやファイルがあっても、ディレクトリとファイル全体の権限をスキャンして変更しませんので、ファイルサーバーの負荷はほとんど0%です。Windows ファイルサーバーでは数分から数時間かかり、ほとんどその間は、ファイルサーバが利用できない激重状態になります。

次のデモビデオでは、数万ファイルの大量のデータのアクセス権を変える操作を Novell OESでは一瞬、 Windows ファイルサーバーでは30分以上かかり、その間、ほとんどサーバーが使えなくなっている様子を比較したビデオクリップです。

Novell versus Microsoft: Granting Access Rights



また、権限のない不可視のフォルダ共有はエクスプローラにも表示されないため、共有サーバー上に数百、数千の読み書き不可の共有ディレクトリがあっても、ファイルサーバーが返すディレクトリ情報のポケットは「権限のある」ディレクトリだけなので、ネットワークの負荷が少なく高速に表示されます。



- keyword -

ファイルサーバー アクセス権限 変更 共有フォルダを見せない フォルダのアクセス権限を変える 遅い 重い ファイルサーバーの負荷100%

[PR]
by islandcenter | 2017-07-19 11:23 | OES Linux | Trackback | Comments(0)

すっかり落ち着いてしまったようですが、世間が wannacry ランサムウェアで大騒ぎしていた頃、気になる記事を Gigazine に見つけました。

Gigazine

Windows XPでランサムウェア「WannaCry」の被害が少なかった一因は「ブルースクリーン・オブ・デス」

"WannaCryは「MS17-010」で報告されている、Microsoft Windows SMB サーバーというWindowsのファイル共有システムの脆弱性を利用して広がりましたが"

Gigazine のこの記事によると、 wannacry については Windows XP に感染する前にブルースクリーンになり拡散に失敗するケースが多く、 Windows10 では比較的被害が少ないし、Windows8x 系はそもそもサンプルが少ないので、実際に感染したコンピューターは Windows7 の SMB なんだろうなぁ、という事がぼんやりと気になっていました。

そこで SMB のバージョンについて調べてみました。まぁまぁ良く整理されている記事がこちら。

第7回 ファイル共有プロトコルSMBの概要

そこで wannacry に関する情報を探ると出てくる出てくる。Windows サーバーから、おなじみの samba も影響があるのですね。


- 一番初めに試した対策 -

ほとんどどこでも言及している「SMB 1.0/CIFS のファイル共有のサポート」 デフォルト・イネーブルを削除してみました。

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス

「コントロールパネル」>「プログラムと機能」> 「Windows の機能の有効化または無効化」から "SMB 1.0/CIFS ファイル共有のサポート"のチェックを外します。後は「再起動しろ」と言ってくるので、再起動します。すごく再起動に時間がかかります。

a0056607_17592725.jpg
再起動すると見事に samba サーバーが「ネットワーク」から消えました。\\IP\Share_name でアクセスもできません。

全滅

です。

という事でこいつ(SMB1.0/CIFS .....)は元にもどす事になりました。つまりはこれも拡散を防ぐための一時的な対策に過ぎません。

- samba サーバー側で対応してみる -

==========
Workaround
==========

Add the parameter:

nt pipe support = no

to the [global] section of your smb.conf and restart smbd. This
prevents clients from accessing any named pipe endpoints. Note this
can disable some expected functionality for Windows clients.

という事だそうです。

smb.conf — Samba の設定ファイル
によると

nt pipe support (G)

この真偽値パラメーターにより、 smbd(8) が Windows NT のクライアントに対して、 Windows NT の SMB 固有の IPC$ パイプへの接続を許可するかどうかが制御される。 これは開発者のデバッグオプションであり、意識する必要はない。

既定値: nt pipe support = yes


意識する必要はないとはありますので、とりあえず 手元の SUSE Linux SLES11 で設定してみます。

yast(or yast2) > Network Service > Samba の Identity タブ Advanced Setting からこの Expert Global Settings を書き換えます。

a0056607_18000345.jpg

Add ボタンで "nt pipe support" にチェック(デフォルト)が入っているので、このチェックを外すと smb.conf が書き換えられます。この状態で yast でOKすると samba が再起動します。

a0056607_18003739.jpg

ところが

a0056607_18010151.jpg

見事にアクセスが拒否られます。また Windows7 とサンドボックスの Windows XP も見事アクセスが拒否されました。
つまり

nt pipe support = no

パラメータはあくまでも一時的なものであり、根本解決には至りません。

という事で SUSE から出ているパッチを探してみました。これの様です。

- SUSE のパッチ -

CVE-2017-7494

結構メンド臭そう。やっぱり公式リポジトリからセキュリティ系のアップデートを全部パッチするのが正解の様です。

怖いのは、Linux のディストリビューション各社はパッチをだしているのですが、よく国道沿いのディスカウントショップで「家族計画用品」の隣で売られているご家庭製品専門のメーカーで出しているような、「なんちゃって我が家のNAS」みたいなものがパッチを出していなかったり、当てるのも面倒だったり、そもそも wannacry に対策しているかどうかもわからないところですね。


ということで

第一段階

SMB1.1/CIFS の利用をやめて Samba や NAS の使用を停止して、エンドユーザに総スカンを食らう
その間にパッチを全部確認する。

第二段階

手に入る限りの Windows パッチ、Samba パッチを当てまくり、リブートしまくり、ついでにあちこちでトラブルが出て、みんなに総スカンを食らう。

第三段階

PCを「安全性が高い」とマイクロソフトが豪語する Windows10 と Windows 2016 Server にリプレースして、SMB3.11 にアップデートして samba も 4.x にアップデートして SMB3.x のみサポートして、動かないアプリケーション続出しまくり、繋がらない古いPCユーザから総スカンを食らい、金をかけた効果はあったのかと経営者に詰問されて、辞表を書く。

というのが対策の手順となりそうです。




- Keyword-

wannacry, 対策, Windows10, Windows7, samba, SMB, CIFS, Linux, 脆弱性



[PR]
by islandcenter | 2017-07-10 18:08 | プライベートクラウド | Trackback | Comments(0)

この記事は書き換える可能性があります。

2016/10 より、Windows Update のポリシーが変わったせいでしょうか、急に WSUS の容量が爆発的にふえてしまったのです。

WSUSを長年運用していると、

1) インストール済のパッチの拒否
2) クリーンアップウィザード
3) WSUS 自身のアップデート
4) 同期
5) 世間のパッチの不具合の話題をチェックしてインストールの承認
6) パッチのダウンロードと配信

という流れが出来てきます。これで毎月運用していれば WSUS の使用ディスク容量なんて20Gから30G程度で落ち着いてくれます。

ところが、ある日、クリーンアップウィザードを実施しても、全然キャッシュが消えないという不思議な現象に出くわしました。WSUS ピンチです。40G確保したD:ドライブを dd コマンドで4Gほど増やしてみて(当然仮想化運用です)も、キャッシュドライブは、大泉洋が作るスパゲッティみたいに膨れ上がる一方です。
a0056607_10515734.jpg
ということで、WSUS の空き容量を緊急に確保する緊急手段です。

Windows Update Service > 「オプション」 > 「更新ファイルと更新言語」を開きます。


a0056607_13493085.jpg
更新ファイルをローカルに保存せず Microsoft Update からインストール」をチェックして「適用」します。

a0056607_13495876.jpg
これで、キャッシュされたアップデートが削除が指示されるので、(その間「OK」ボタンがグレーアウトします。5分待ってください)その後、クリーンアップウィザードを使って、キャッシュのクリーンアップを行います。

空き容量が増えたら「更新ファイルをローカルに保存する」のチェックを入れてOKボタンを押します。次のパッチ配信から、ローカルネットワークにキャッシュされます。

ギリギリだった容量が一挙に回復しました。

a0056607_13502123.jpg
Windows は 2016/10 より、パッチのリリース方法が変わりました。
2016 年 10 月からのロールアップ リリースに伴う WSUS 運用の注意点
これで、WSUS のキャッシュが「ふえるワカメ」になるという記述はありませんが、 WSUS の運用方法に影響が出ることは予測していました。やっぱり、運用は変わりますね。

-ただ今40Gbダウンロード中-

どこまで増えるんだ? 4G のOSパッチがその10倍もあるなんて .....! という事でこの話はまだ続きます。
やっと終わった40Gb、Windows 7, 10/ 10amv Upadte の三つのパッチだけで、本体の3倍のパッチ。これえ40Gbってどういう事よ。

-ダウンロードの取り消しと拒否-

それでもダウンロードが止まらない。という事で、「ダウンロードの取り消し」をやってみました。「全ての更新プログラム」の中で「タイトル」の左にある白の「!」アイコンを押して、ソートして、配信しなければならないパッチのみ黄色の「!」マークをリストします。

配布が不要な無印の更新プログラムの残骸が「拒否、未インストール」でゴッソリ残っています。

この黄色の「!」マーク以外の拒否したリストをShift キーを押しながら選択(やっちゃった後の「キャプチャ」なんでね....)、右ボタンから「ダウンロードの取り消し」「拒否」を行います。(下の図では!マークを選んでいますが...)
a0056607_11414788.jpg
その後、クリーンアップウィザードでディスクをクリーンアップすると、見事にダウンロードの嵐が止み、ディスク容量も回復することが出来ました。

Windows10 のKB3197356には気を付けろ。Edge のパッチだけで 700Mb あるぞ、という事らしいです。このパッチが配布された後は、小康状態です。
良かったみたいです。

isLandcenter.jp



-Keyword-

WSUS 3.0 ディスクが満杯 アップデートの削除 ディスクの節約 容量不足 空き容量 














[PR]
by islandcenter | 2016-10-17 17:20 | プライベートクラウド | Trackback | Comments(0)


Windows10 HOME でパスワードがないゲストユーザを作る

の続きです。

Windows10 に作成した、「ゲストユーザ」にストアアプリを使ってもらう事を想定してみましょう。例えば貴方のタブレットをちょっとの間、パスワードのないゲストアカウントで知人に貸し出したり、リモートデスクトップでVDIサーバーしか使わない、格安シンクライアントにログインした、パスワードなしのユーザ、(VDIは Windows7 だったりするので、ストアアプリは使えない)にストアアプリにある、ニュースアプリや天気予報、乗り換え案内など、業務や、ちょっとした行動に必要なブラウザでは使えないアプリをインストールしておくことがあります。あるいは、"MyHomeUser" など、パスワードを必要としない我が家のガキンチョどもに、ちょっと使わせたい、なんてシーンはゴロゴロしているわけですね。そんな目的で、Microsoft アカウントと紐づけされていないPCに、ストアアプリをインストールする方法をチェックしてみました。


- ストアアプリにサインインしてアプリをインストール -

ストアアプリを起動して、「検索」窓左の人型アイコンをプルダウンして、「サインイン」します。
a0056607_11364611.jpg
アカウントの選択で "Microsoft アカウント"を選びます。
a0056607_11380177.jpg

ここで既にある Microsoft アカウントでサインインします。
a0056607_11384664.jpg
Microsoft ID のユーザ名とパスワードをセットして
a0056607_11393345.jpg
"このアプリのみサインイン"します。
a0056607_11404018.jpg

これで Windows ストアにアクセスできるので、天気予報アプリを使ってみました。
a0056607_11411913.jpg

問題なく使えるようです。
a0056607_11420540.jpg


- サインアウトする -

ストアアプリからサインアウトするには、検索ボックスの人型アイコンからサインインしたアカウントをクリックして”サインアウト”します。
a0056607_11424410.jpg

無事サインアウトしたようです。
a0056607_11432944.jpg
この状態であれば、天気予報やニュースアプリのように Microsoft アカウントを使わないストアアプリであれば、問題なく利用できるようです。ちなみに、一つの Microsoft アカウントで同時に利用できるデバイスは10台までとの事ですが ....

[Windows 10]ストアアプリのインストール回数はどのように管理するのでしょうか?

「設定」>「アカウント」>「お使いのアカウント」>「Microsoft のアカウントの管理」でブラウザが起動します。 Windows Live へログインし、「デバイス」メニューから「PCの削除」が行えます。
a0056607_11441527.jpg

これで、Microsoft アカウントとデバイスとの紐づけを解除したら、10台以上に”天気予報アプリ”がインストールできるか、どうなのか。残念ながらそんなにPC持っていないので試していませんが、やっぱりデバイス情報には、インストールされたPCがリストされたので、10台以上のPCに一つのアカウントでインストールはできないようです。

a0056607_11540635.jpg
10台以上デバイスをお持ちの方のフォローがあったら嬉しいです。




-Keyword-
Microsoft Windows ID Windows10IDなし ストアアプリのインストール ゲストユーザ アカウントの紐づけがない アカウントの紐づけされていない Windows ID パスワードなしのユーザ 激安 格安 シンクライアント Windowsアプリ 使いたい。


[PR]
by islandcenter | 2016-07-12 11:55 | Windows | Trackback | Comments(0)

Windows10 で VDI(仮想デスクトップ)を導入すると、何しろ周辺機器がつながっていないので、まず、再起動しなければならないケースは少ないとは思いますが、「どうしても再起動したいんだよ」というケースがたまにあります。

しかし、リモートデスクトップでVDIシステムに接続している場合、「電源」ボタンにはセッションの「切断」かユーザ名アイコンから「サインアウト」しか選べません。
a0056607_11423748.jpg

そこで MSTSC.exe (リモートデスクトップ)で、接続中の、VDIシステムの Windows10 をリモートで再起動する方法を考えました。

- ALT+F4キーを押す -

一番お手軽なのがこの方法ですが、ALT+F4キーは「アプリケーションの終了」でもあるため、デスクトップを「全画面」にして操作しなければなりません。
a0056607_11430476.jpg
また、RDPのソフトウェアが動作する Android タブレットやスマートフォンなどではファンクションキーが使えない事もあります。

a0056607_11435189.jpg
Androidスマートフォンのハードコピーが上手く取れないオレ。

また、この方法では誤って「シャットダウン」を選択してしまう場合があります。シンクライアントシステムで、「シャットダウン」を実行すると、ご本尊まで行って電源投入を手動で行う必要があって、あまり塩梅が良くありません。VDIシステムの場合は、仮想クライアントの起動をシステム管理者が行う必要があるため、この方法はあまりお勧めできないわけです。

- コマンドラインから shutdown -r -t 0 /r /f /t 0 を実行する -

※ 初出で"-r" と書いてしまいました。これは UNIX 系OSの場合ですね。DOS 系は "/r" でした

という事で、シャットダウンをバッチ処理する方法がお勧めです。
次のようなバッチファイルを作成して \Windows\system32 あたりに reboot.bat という名前で作成します。メモ帳では直接保存できないので、いったんテンポラリに作成して、強引にコピーしてしまいます。

=====================ここから======================
echo off
echo .
echo .
echo .
echo .
echo =========== リブートします。~C で中止 ===========
echo .
echo .
echo 何かキーを押すとリブートします。
echo .
pause
cls
shutdown /r /f /t 0
exit
========================ここまで===================

その他の shutdown.exe のパラメータはヘルプで参照してみてください。ここで使っているのは

/r : リブート
/f : アプリケーションの強制終了
/t 0 : 0 秒後にウエイトなしでリブート

です。ちなみに /s を付けるとシャットダウンですので、リモートの「ご本尊」の起動操作が必要になってしまいます。管理者が何らかの理由で停止/メンテナンスが必要な場合にのみ使う事になるでしょう。後は、このバッチファイルをデスクトップだとかタスクバーに登録しておけば、実にあっさりと再起動してくれます。
a0056607_11451346.jpg

ここでは pause で止めて "CTRL+C" でキャンセルできるようにしていますが choice.exe なんかを組み合わせるともっとナイスなバッチファイルが出来上がります。


Windows10 リモートデスクトップ 簡単に再起動したい シャットダウンしたい VDIシステム 仮想化クライアントの再起動 バッチファイル





[PR]
by islandcenter | 2016-06-24 11:51 | プライベートクラウド | Trackback | Comments(0)


- 現象 -

Hyper-V が動作すコンピュータのメモリ利用状態が90%を超えた状態で、全てのレスポンスが異常に遅い。すべてのアプリケーションを終了させたが、メモリ利用状況は変わらず 90% を超えている。

a0056607_06361868.jpg
なんじゃこれ!

- 内容 -

やむを得ずシステム全体を再起動したが、状況は2日程度で再現する。

Hyper-V で仮想マシンが動いていたのでシャットダウンしたら現象が回避できた。

a0056607_06372430.jpg
なんじゃこれ!

- 原因 -

Hyper-V で仮想マシンをシャットダウンしたら修復できた。 Windows + Hyper-V のメモリリークと思われる。ちなみに動作していた仮想マシンは 768Mb のメモリしか占有していなかったにも関わらず6G以上のメモリがリークされ、ガーベジコレクションも行われない。ちなみに同じ仮想システムイメージは他のハイパーバイザーでは再現しない。

- 対策 -

- Hyper-V ハイパーバイザーを定期的にリブートする
- 仮想コンピューターを定期的に夜中にリブートする。
- Hyper-V から別なハイパーバイザーに乗り換える。

なお、仮想コンピューターをシャットダウン、リブートするコマンドラインはないので、VBscript などを書くか GUIから手動で行わなければならない。夜中の業務時間外にリブートするコマンドは標準では実装できないので、深夜出勤してGUIで操作するか、 Hyper-V 自体のハードウェアを UPS や Shutdown コマンドで定期的に業務時間外にリブートする方法が最適と考えられる。


だから、 Hyper-V だけは絶対やめた方がいいと言っただろうが。

関連記事





[PR]
by islandcenter | 2016-04-11 06:41 | Windows | Trackback | Comments(5)

Administrator 以外の一般ユーザがリモートデスクトップPCクライアントを利用できない。

- 現象 -

ドメインに参加しているPCに対して Administrator@mydomain.intra ユーザがログオンすることができるが、一般ユーザ user@mydomain.intra がログインできない。MSTSC からログインしようとすると

このリモートコンピューターにログオンするには"ターミナルサービスを使ったログオンを許可する" 権利が必要です.....」

a0056607_11044474.jpg
と表示されログインできない。なお、このユーザは "Remote Desktop Users" グループに所属させている。
a0056607_11052581.jpg


- 対策 -

リモートデスクトップPCに接続するユーザを「対象のPC」にリモートデスクトップ接続できる様にリストに追加する必要がある。

具体的には、Administrator@mydomain.intra でログインしてから、コンピューター > 右ボタン「プロパティ」 > リモートデスクトップ接続、の中の「ユーザの選択」の中に「追加」ボタンから、リモートデスクトップ接続を許可するドメインユーザ(もしくは別途作成したユーザグループにユーザを追加し)を検索して「追加」する必要がある。
a0056607_11060802.jpg

ちなみに、このグループに Built in Group である"Remote Desktop Users" はリストに出ないため選べない。(すごい仕様だ)
a0056607_09310267.jpg
ビルトインの Remote Desktop Group なんてないじゃん。

この作業を行わないと、ドメインユーザがVDIなどのサーバーにインストールされた仮想PCのリモートデスクトップが利用できない。
a0056607_09313717.jpg
これはおなじみだったりする

ちなみに、この問題のユーザを ドメインの中で "Remote Desktop Group" から削除しても、ローカルPCにリモートデスクトップユーザ、あるいはユーザグループとして登録しておけば、問題なく接続できる。(つまりDCで Remote Desktop User を設定しても無意味なんだな、何のためのDCなのよ...とほほ)DCサーバー側からの制御はできない。

a0056607_11052581.jpg
本当か .....? ってかこの方法しかなかったンだけど、他にいいアイディアがある方はコメントください。



ちなみにユーザかグループは選べるが、コンテナ(OU) は選択できない非常におバカな仕様である。当たり前だが Novell eDirectory よりバカだな、やっぱり Windows って。


[PR]
by islandcenter | 2016-04-01 11:13 | Windows | Trackback | Comments(0)

個人的には、まぁまぁ気に入っている Windows10 なのだけれども、エンタープライズ分野では、「何それ」という空気が大きい。

Windows7 に関しては2015年1月、メインストリームサポートが終わったところだ。まず、成熟したとも言えるし、バグか仕様かはっきりしない不具合も放置されてしまう事になる。あとはセキュリティホールのパッチが提供されるだけ。

-またアップグレード騒動かよ-

もっとも、XPサポート切れ騒動からまだ2年しか経っていないのに「またか」という気分が蔓延しているのである。
しかも Windows7 から Windows10 になって、何が変わると言っても、ストアアプリが使える程度だし、ストアアプリそのものも、デスクワーカーにとっては、窓のないオフィスから見えない外の昼飯時の天気予報と、ニュースアプリが便利だと思える程度のものである。
道案内だとか電車の乗換案内のような目的なら、すでにスマートフォンがある。GPS内蔵だ。
そもそも、スマホには、マイクもスピーカーも各種センサーからカメラまで備えている。が、PCにはそれがない。となると、便利なストアアプリも「何それ?」というくらい使えないものが多くなる。ますます、使えるアプリは天気予報とニュース程度になってしまうのですね。

Windows7 で十分 Windows10 を選ぶ積極的な理由がない。もっともタブレットに特化した業務向けアプリケーションでもあれば別なんだろうけど。

Windows XP から Windows7 への移行はまずまず好評だったと思う。何しろXPから比べれば、というタラレバ論理では、「充分に早い」から、エンドユーザも歓迎したようだ。もっともログインしてから、実際に「落ち着く」までの時間は大して変わらなかったので、「早くなった」というのはユーザさんにとっては感覚的なものに過ぎないのだけれど、XP 時代のボロイPCを捨てて Windows7 へ移行したことは歓迎されたと思う。

ところが、 Windows7 から Windows10 へ移行して、「エンドユーザがヨロコブ」機能が全くないのである。あの評判が悪い「高速スタートアップ」も、基本はハイバネーションと同じで、データを破壊して百害あって一利なし。スマホの自動アップデートに比べて、異常に時間がかかる Windows Update と、再起動にかかる長ーい時間。つまりは Windows7 から改悪された Windows8、何も基本的には改良されていないコスメティック(化粧したもの)なのが Windows10 である。

こんな状態で、「これから購入するPCは Windows10 にしましょう」と言って、ハイハイとヨロコブようなバカな顧客はいない。それでも5年後にやってくる Windows7 のサポート切れは何とかしなければならない。どこかで「最後のWindows」に置き換えるのか。

-罫線文化が作るイノベーションの壁-

なぜ、そう簡単にWindows をアップデートできないか、というと、アプリケーションの互換性の問題が言われます。

アプリケーション、それもファットアプリケーションではなく Web アプリケーションですね。つまり 「IE の xx バージョンじゃないと動かない」という問題。よく聞くのが「縦罫線がずれる」というヤツです。IE 以外のブラウザでは正常に見えても、印刷すると、縦罫線が化けたり、ずれたりするンだそうですね。プログラマじゃないからよくわからないけど。極端なハナシ、「罫線の角を丸めてくれ」という「え”」というウソのような要求があったりするそうです。

おいマジかよ。

そういう文化なので、「EXCEL方眼紙」などという珍妙なテクニックがまがり通る日本の特殊社会なのですね。そういう特殊な日本語のドキュメント文化を丸々否定したくはないのですが、否定しない事には、いつまでも「IE xx じゃないと」というシステムしかできない。止めない事にはイノベーションが生まれないしITのコストは高止まりのままなのです。

「日本の文化だから大事にしろ」というのであれば、その企業は永遠にグローバル社会に行かずに先細りする日本市場でやっていくしかないでしょう。帳票から縦罫線を排除すれば、どれだけ開発が楽になるか。ちょtっと想像がつきませんが。

でもいるんでしょうね。縦罫線を要求する抵抗勢力が。さて、Window10 で終わる IE11、その後、あるいは Windows7 で使われる様々な IE のバージョンの違いをどう吸収するのか。「IE専門プログラマ」が、どう道を切り開くのか、ちょっと面白い事になりそうです。

まぁ、縦罫線をうまく利用して、見事なPDFの帳票を作っている国税庁の確定申告のサイトはよくできている。何しろ Windows だろうか Mac だろうが Linux だろうが Adobe Reader さえあれば、ウィザード形式で見事なPDFの申告書を作ってくれるンだけど、一般のサラリーマンエンジニアは、確定申告なんて無縁だから、あのすごさはわからないだろうなぁ。

-シンクライアント-

実際、私の顧客ではVDIを大規模に導入しようというお客様がいます。というかもう既に一部に導入されて、利用されているのですが、とっても便利で、エンドユーザさんからは好評らしい。そこで、もっと拡大して利用しようという事を企画しています。シンクライアントであれば、サーバーコストはかかるが、極端な話、ライセンスコストだけで、Windows が使えます。物理的なデスクトップは何でもいい。USB 起動の Linux でも Mac でも、最近はやりのスティックタイプの1万5千円のPCでもシンクライアントとして利用できる。

Android のタブレット、PCでも、HDMMI があれば、21インチの大画面で利用できる。シンクライアントに特殊な端末は必要ない。極端な話、倉庫にあるハードディスクが壊れた古い XP 端末でもUSBメモリ起動で openSUSE だとか Ubuntu のようなLinux リモートデスクトップがつかえれば十分なのですね。

となると、エンタープライズ分野での Windows10 への移行は、実台数ベースで企業に導入されることは期待できない。私だって、古いPCを20台をリプレースするくらいなら、VDIの仮想クライアントを20台並べた方が楽だと思う。シンクライアント本体は別に何でもいい。1万5千円のスティックPCでも、タブレットでも、古いPCを Linux 起動できればいい。ただし、大型ディスプレーと、キーボード、マウスは用意したほうがいい。最新のタブレットでなければ、有線タイプがお勧めだ。こうなると、クライアント「PC」は別にPCでなくてもいいし、ライセンス料の安い Home Edition(無印 Windows) であっても、リモートデスクトップが使えれば十分なのです。

--
Windows7 から Windows10 への移行は様々な問題があるでしょう。IE から Edge への移行。それはそのまんま、ウェブアプリケーションの改修なのです。ですが、これは IE 依存から Web 標準の回帰にもなるわけです。Edhe のみならず、Chrome,Firefox, あるいは Macintosh の Safari での標準化。決してデメリットではない。縦罫線の排除は、開発部門と、運用部門との闘いになるだろう。

しかし、文書の中身が正確であれば、縦罫線なんてどうでもいい話であるし、それがグローバルスタンダードなら、縦罫線は排除すべき問題かもしれない。その発想がない限り、東京オリンピックまで Windows7 がニッポンの標準スタンダードとなり続けるでしょう。いまだに、Windows XP は主力ではなくてもオフラインで使われ続けているし、Windows 7 もそういう道をたどるのかな。

[PR]
by islandcenter | 2015-10-10 19:47 | Windows | Trackback | Comments(0)