Shared Computer Toolkit for Windows XPによる共有コンピュータ管理

１　はじめに

　学校では，児童・生徒による操作や教員の業務処理など，不特定多数のユーザが１台のコンピュータを利用しています。コンピュータの管理者がサーバを操作できるスキルがあれば，実習環境の保守も行うことができます。しかし，専門的な知識と経験が必要で，管理者を育成するための研修に時間を割くことが充分にできないのが現状です。

　ここでは，サーバがない場合や経験の浅い管理者でもコンピュータ管理ができるように，「Shared Computer Toolkit for Windows XP」（以下「Toolkit」と記す）と「GParted」という二つのフリーソフトウェア（オープンソース）を活用して，コンピュータ環境を簡単に管理できる方法を紹介します。

２　Toolkitの概要

　(1)　Toolkitの特徴

　Toolkitは，共有コンピュータを管理するためにMicrosoft社から正規のWindows XPユーザに提供されたツールです。このツールを使用すれば，制限付きのローカルユーザープロファイルを簡単に作成し，Windowsのシステムユーティリティ，ファイル及びデータへのユーザアクセスを制限することができます。

　Toolkitはユーザがアカウントとパスワードを共有しているワークグループ環境で，Active Directory を利用していない場合に有効です。以下のような利点が挙げられます。

• Windowsのシステムユーティリティへのアクセスを制限
• 重要データへのアクセスを禁止
• 許可されていないソフトウェアの実行を防止
• [スタート]メニューの簡素化

　(2)　Toolkitの内容

　Toolkitには次のツールが含まれています。

　　ア　Windowsディスク保護

　ユーザセッション中にWindowsオペレーティングシステム及びその他のプログラムを含むWindowsパーティションが，復元不能な状態に改変されることを防止します。管理者が保存しない限り，ディスクへの変更は再起動のたびにクリアされます。
　ただし，使用するためにはWindowsディスク保護に必要な未割り当てディスク領域が必要です(Windowsパーティションのサイズにより必要なサイズが異なります）。

　　イ　ユーザー制限

　プログラム，設定，[スタート]メニュー項目へのユーザによるアクセスを制限し，復元不能な状態に改変されないように，共有ローカルユーザープロファイルをロックします。このツールは，Active Directoryのディレクトリサービスとグループポリシーを使用しない環境専用です。

　　ウ　はじめに

　コンピュータの設定とユーティリティにアクセスでき，Tooolkitの基礎を素早く学習できます。

　　エ　プロファイルマネージャ

　ユーザープロファイルを作成及び削除します。ツールを使用して，Windowsディスク保護がオンの場合でも，プロファイルがデータを維持できるようにユーザープロファイルを代替ドライブに作成できます。また，ユーザー制限ツールによってロックされているプロファイルを包括的に削除することもできます。

　　オ　ユーザ補助

　固定キー機能，フィルタキー機能，拡大鏡などのWindowsユーザ補助ユーティリティとオプションを，コントロールパネルやその他のシステム設定へのアクセスを制限されているユーザにも使用できるようにします。

３　インストール

　Toolkitは，「Microsoft Shared Computer Toolkit for Windows XP」Webサイトからダウンロードできます。　　

1. Toolkitでツールを使用するローカル管理アカウントである「Toolkit管理者」としてログオンします。
2. 「Microsoft Shared Computer Toolkit for Windows XP」Webサイトから、Toolkitのダウンロードセンターにアクセスします。
3. [続行]ボタンをクリックし，正規のWindowsを実行しているか確認処理をします。
4. [ダウンロード]ボタンをクリックし，「Shared_Computer_Toolkit_JPN.msi」という名前のインストールファイルをダウンロードします。
5. ダウンロードしたインストールファイルをダブルクリックして、インストールを開始します。[*1]

[*1]図1のように「User Profile Hive Cleanup Serviceが必要です」というメッセージが表示されたら，先にこのサービスをダウンロードし，実行してください。

図1　User Profile Hive Cleanup Service

6. [使用許諾契約書]ページを確認して，条件に合意する場合は[使用許諾契約書に同意します]をクリックしてから[次へ]をクリックします。

図2　使用許諾契約書画面

7. [ユーザー情報]ページで[今すぐ登録]をクリックすると，オプションの登録プロセスを完了できます。

図3　ユーザー情報画面

8. [インストールフォルダ]ページで[次へ]をクリックします。

図4　インストールフォルダ画面

9. [インストールの準備ができました]ページで[インストール]をクリックします。

図5　インストール準備完了画面

10. [インストールの完了]ページで[完了]をクリックして終了します。[「はじめに」を表示する]チェックボックスをオンにしたままにすると、[はじめに]ツールが開きます。[はじめに]には，Toolkitの使用をすぐに開始できるように，手順とアドバイスが表示されます。

図6　インストール完了画面

図7　[はじめに]画面

４　Windowsディスク保護の準備

　Windowsディスク保護ツールは，Microsoft Windows XPオペレーティングシステムとプログラムファイルが，Windowsパーティション上で復元不能な状態に改変されるのを防ぎます。Windows保護ディスクがオンの場合，Windowsパーティションへの変更は行われず，一時的に別の場所に格納されます。コンピュータを再起動すると，Windowsディスク保護がWindowsパーティションを元の状態に戻し，前回の再起動以降に行われた変更をクリアします。ただし，Windowsディスク保護には，未割り当てのディスク領域が少なくとも1GBまたはWindowsパーティションの約10％の領域が必要です。[*2]

[*2]Windowsディスク保護のディスクが準備できない場合でも，ユーザー制限ツールを使用して，ユーザのアクションを制限する事はできます。

　なお，現在学校で利用されているコンピュータに，未割り当てディスク領域がないものもあると思われます。そこで，オープンソースのソフトウェア「GParted」を用いて，既存のパーティションサイズを変更する方法を紹介します。

　ただし，パーティションの操作では，プログラムのバグやハードウェア的な要因などで，データが破壊されることも考えられます。作業を行う際は，事前に必要なファイルのバックアップを取り，自己責任の下で作業を進めてください。

　(1)　GPartedとは

　GParted(Gnome Partition Editor)は，パーティションのサイズ変更や新しいパーティションの作成，フォーマットの変換などが簡単に行えるオープンソースのパーティション編集ツールです。Ext2，Ext3，FAT16，FAT32，NTFS，XFSなど、様々なファイルシステムに対応しています。

　「GParted」のサイトから，「GParted LiveCD」のISOイメージ「gparted-livecd-0.3.3-0.iso」[*3]をダウンロードして，CD-Rに焼けばライブCDが完成します。そこから起動すれば，パーティション操作がグラフィカルな操作画面から可能になります。

図8　GPartedのサイト

[*3]バージョンは，平成18年12月現在です。

　(2)　GParted LiveCDを用いる前に

　このツールを用いる前に，以下の点に注意してください。

• ディスクのバックアップを取ってあるか
• ディスクのデフラグを行ったか（推奨）

　(3)　GParted LiveCDの起動

1. コンピュータの電源を入れたら，すぐに「GParted LiveCD」をCDドライブに挿入します。
2. 「boot:」が表示されるので，[Enter]キーを押します。
3. 「GParted LiveCD/USB Extra Boot Options」では，「Skip extra boot option」を選択します。
4. 「GParted LiveCD Language」では，「US English」を選択します（日本語には対応していません）。
5. 「GParted LiveCD Keymap」では，矢印キーで「qwerty/jp106.map」を選択します。
6. 「GParted LiveCD Display Depth」と「GParted LiveCD XRES」では，デフォルト値を選択します。

　(4)　GParted LiveCDを用いたパーティションサイズ変更

　ここでは，NTFSでフォーマットされた80GBの内臓ハードディスクのパーティションサイズ変更を行います。「GParted LiveCD」を用いて、次の手順で既存のディスクに未割り当て領域を作成します。

図9　サイズ変更前のハードディスク

図10　GParted画面

1. サイズを変更するパーティションを選択して，ツールバーの［Resize/Move］ボタンをクリックします。
2. 図11のような[Resize]ダイアログボックスが表示されるので，緑色の部分をドラッグするか，「Free Space Following」に未割り当てにする値を入力し，［Resize/Move］ボタンをクリックします。

図11　[Resize]ダイアログボックス

3. サイズ変更後の状態が表示されるので，確認したらツールバーの［Apply］ボタンをクリックします。

図12　サイズ変更後の確認画面

4. 確認ダイアログボックスが表示され，［Apply］ボタンをクリックすると，[Applying pending operations]ダイアログボックスが表示され，パーティションの変更作業が行われます。

図13　確認ダイアログボックス

図14　[Applying pending operations]ダイアログボックス

5. 図15のように，[All operations successfully Completed]というメッセージが表示されたら，[Close]ボタンをクリックします。

図15　変更作業終了メッセージ

6. 画面右下のボタンをクリックします（図10を参照）。
7. 図16のような終了メッセージが表示されたら[Eject & Reboot]を選択して[OK]ボタンをクリックします。

図16　終了メッセージ

　(5)　Windowsの再起動

1. コンピュータを再起動すると，[Checking file system on C:]のメッセージが表示され，ディスクをチェックした後，Windowsが一旦起動しますが，もう一度再起動します（再起動を促すメッセージが表示されます）。
2. 再起動後、パーティションサイズが変更され，未割り当て領域が確保されているか確認します。

図17　サイズ変更後のハードディスク

５　プロファイル管理

　ユーザの個別のニーズに対応するために，「はじめに」の手順3・4に基づいてローカルの制限ユーザアカウントを作成し，各ユーザのプロファイルをカスタマイズします。下記に挙げる各種の初期設定は，手順5でユーザープロファイルを制限及びロックする前に必ず行います。

• Microsoft OfficeやWindows Media Playerなど，共有コンピュータ上で必要なプログラムやユーティリティの初期セットアップ作業
• プリンタやデバイスドライバのインストール
• 壁紙やスクリーンセーバーなどのデスクトップ構成
• [スタート]メニュー等で用いるショートカット

図18　[はじめに]の手順3・4画面

図19　ユーザーアカウント作成画面

６　ユーザー制限

　ユーザー制限ツールを使用すると，ユーザープロファイルを制限及びロックし，コンピュータの不正な改ざんを防止できます。

図20　[ユーザー制限]画面

　(1)　ローカルユーザープロファイルの制限

1. Toolkit管理者としてログオンします。
2. [はじめに]の手順5を開き，[ユーザー制限を開く]をクリックします。
3. [ユーザー制限]画面が表示されるので，[プロファイルの選択] をクリックします。
4. [制限するプロファイルの選択]画面で，管理したい制限ユーザをクリックします。

図21　[制限するプロファイルの選択]画面

5. ユーザが，ユーザアカウントでログオンしている間に設定を変更できないようにするには，[このプロファイルをロック] チェックボックスをオンにします。
6. [共有アカウントの推奨制限]チェックボックスをオンにします。これにより，最も重要な制限が有効になります。
7. [全般設定]セクションで，既定のホームページ，プロキシサーバ(必要な場合)及び適用可能なプロキシ例外を入力します。
8. [セッションタイマ]は，必要に応じて設定してください。
9. [制限するドライブを選択]をクリックし、ユーザがアクセスできないようにするドライブ文字をすべて制限します。

図22　制限するドライブの選択画面

10. [OK]をクリックして，選択した制限をユーザープロファイルに適用し，ユーザー制限ツールを閉じます。

　(2)　共有アカウントに推奨される制限

　共有されるアカウントに対しては，様々な制限を組み合わせることにより，より高度なセキュリティ環境を構築することができます。以下に，推奨される制限の概要を示します。

• [スタート]メニューの制限
  • [スタート]メニューでの右クリック禁止
  • [コントロールパネル]，[プリンタ]，[ネットワーク設定]などの削除　等
• 全般的なWindows XPの制限
  • エクスプローラでの右クリック禁止
  • CD，DVD及びUSBドライブでの自動再生の禁止
  • パスワードの変更禁止　等
• Internet Explolerの制限
  • Internet Explolerで右クリック禁止
  • [インターネットオプション]など，構成の変更に使用できるメニューへのアクセス禁止　等
• Microsoft Officeの制限
  • Office XP/2003でのVBAの使用禁止
  • マクロ関係のメニュー項目の無効化　等

図23　制限されたアクションに対するメッセージ

　制限される機能の詳細については，『Windows XP用 Microsoft Shared Computer Toolkit ハンドブック』を参照してください。

　(3)　学校における制限設定例

　例えば授業中にExcel以外のソフトウェアを使わせないようにしたい場合，次のように設定します。[*4]

1. 「Toolkit管理者」としてログオンします。
2. 「\Documents and Setting\<ユーザ名>\スタートメニュー」フォルダ内の全てのショートカット等を削除し，「\Documents and Setting\All Users\スタートメニュー」フォルダから，｢Microsoft Excel」ショートカットをコピーします。
3. ６(1)「ローカルユーザープロファイルの制限」の手順2〜6を実行します。
4. [オプション制限]一覧内の以下の箇所にチェックを入れます。

• その他の[スタート]メニューの制限
  • [All Users]フォルダのプログラムを[スタート]メニューに表示しない
  • [ヘルプとサポート]アイコンを削除する
• その他の全般的なWindows XPの制限
  • [共有ドキュメント]を[マイ コンピュータ]から削除する
• その他のソフトウェアの制限
  • Windows Messenger と MSN Messenger の実行を禁止する
  • メモ帳とワードパッドを制限する (制限付きの管理者が対象)

図24　学校における制限設定例

5. [OK]をクリックしてユーザー制限ツールを閉じ，制限をかけたユーザでログオンし直します。

図25　制限されたユーザのデスクトップ例

[*4] この例は，作成したファイルをフロッピーディスクに保存することを想定しています。それぞれの使用状況に応じて制限を変更してください。

７　Windowsディスク保護

　Windowsディスク保護の設定により，コンピュータが再起動するたびに，Windowsパーティションに発生したディスク変更がクリアされ，不要な変更からディスクが保護されます。必要に応じて，ディスクへの変更を保存するように選択することもできます。また，コンピュータが使用されていない時間に，重要な更新プログラムをディスクに自動的にダウンロード，インストール及び保存するように，Windowsディスク保護にスケジュールを設定することもできます。

1. [はじめに]ツールの[Windowsディスク保護]ボタンをクリックします。[*5]

[*5] [スタート] ボタン→[すべてのプログラム]→[Microsoft Shared Computer Toolkit]→[Windows ディスク保護]を選択しても同様です 。

2. Windowsディスク保護を初めて使用する場合は，図26のようなメッセージが表示されるので，要求に応じてコンピュータを再起動し，Windowsディスク保護を再開します。

図26　再起動要求メッセージ

3. [再起動の動作]セクションで[オンにする]をクリックします。

図27　Windowsディスク保護画面

4. Windows ディスク保護で更新方法を認識できるウイルス対策ソフトウェアが検出されると，この更新のためのダイアログボックスが表示されます。この場合は[OK] をクリックします。[*6]

[*6] 使用しているウイルス対策ソフトウェアが，Windowsディスク保護で検出されなかった場合は，[設定]をクリックして，作成済みのウイルス対策スクリプトを指定します 。

5. [重要な更新プログラム]の[更新スケジュール]で，重要な更新プログラムをWindowsディスク保護でダウンロード及びインストールする日時を設定します。
6. [Microsoft Update]は，[有効] をクリックします。
7. [OK] をクリックすると，図28のようなメッセージが表示されるので，[はい]をクリックします。

図28　Windowsディスク保護確認画面

8. 図29のようなメッセージが表示されます。[はい] をクリックして，コンピュータを再起動します。[*7]

図29　重要な情報メッセージ

[*7] Toolkitを初めて使用する場合は，Windowsディスク保護によって保護パーティションが作成されます。

9. 再起動後，[はじめに]の手順1で，Windowsディスク保護がオンになっていることを確認します。

図30　Windowsディスク保護オンの確認

８　おわりに

　Toolkitを利用することで，手軽に共有コンピュータの管理ができるようになると思います。反面，制限を加える事でユーザの使い勝手は悪くなるのも事実です。Toolkitを利用して，どの程度ユーザのアクションを制限するかは，それぞれの使用状況や環境に応じて，様々な制限事項の組合せをお試しください。

９　参考文献

1. 『Windows XP用 Microsoft Shared Computer Toolkit ハンドブック』Microsoft
2. URL:http://www.microsoft.com/japan/windowsxp/sharedaccess/（Microsoft Shared Computer Toolkit for Windows XP）
3. URL:http://gigazine.net/index.php?/news/comments/20060529_gparted_live_cd/（GIGAZINE）
4. URL:http://gparted.sourceforge.net/（Gnome Partition Editor）