Windows 7 の管理機能の概要

[アーティクル]
10/13/2010

適用対象: Windows 7

Windows 7 には、自動処理の増加、ユーザーの生産性の改善、およびコンプライアンス要件を満たす柔軟な管理制御の実行により、総保有コストの削減につながる数多くの改良が管理機能に加えられています。ここでは、それぞれの改良点の概要について説明します。

注意

このドキュメントのダウンロード可能なバージョンについては、Microsoft ダウンロードセンターを参照してください。

IT 担当者は、時間がかかる繰り返しのタスクを担当することが頻繁にあります。Windows 7 の包括的なスクリプト機能は、こうしたタスクを自動化することで IT 担当者の生産性を高め、エラーを削減し、そして管理効率を向上させます。

Microsoft® Windows PowerShell™ 2.0 を使用すると、IT 担当者が、ローカル PC でもネットワーク経由のリモート PC でもスクリプトを簡単に作成および実行できます。複雑なタスク、または繰り返しの管理タスクやトラブルシューティングのタスクが自動化されます。
グループポリシーのスクリプトによって、IT 担当者は、自動化された方法でグループポリシーオブジェクト (GPO) とレジストリベースの設定の管理が可能で、GPO をより効率的かつ正確に管理できるようになります。

Windows 7 には、高性能なスクリプト機能に加えて、ユーザーの生産性を向上させコストを削減する機能がいくつか用意されています。

ビルトインの Windows トラブルシューティングパックによって、エンドユーザーは多くの一般的な問題を自分で解決でき、IT 担当者は独自のトラブルシューティングパックを作成できるので、この機能を社内のアプリケーションにも拡張できます。
システムの復元ツールが改善され、Windows を以前の状態に戻すときに影響を受ける可能性のあるアプリケーションがユーザーに通知されます。
新しい問題ステップ記録ツールによって、問題を再現するためのスクリーンショットをユーザーがクリックで順に記録することができるので、IT 担当者はトラブルシューティングが可能です。
リソースモニターと信頼性モニターの改善によって、IT 担当者はパフォーマンス、互換性、リソースの制限の問題をより迅速に診断できます。

高まるセキュリティのニーズに応えコンプライアンス要件を満たすことを求められる IT 部門のために、Windows 7 は次の機能もサポートしています。

AppLocker™ によって、IT 担当者は、ユーザーによるアプリケーションやスクリプトの実行とインストールについてのポリシーをより柔軟に設定でき、より安全で管理しやすいデスクトップが実現します。
監査機能の強化によって、IT 担当者は、グループポリシーを使用して、ファイルとレジストリへのアクセスのより包括的な監査を構成できます。
管理者は、グループポリシーを使用して、ユーザーにリムーバブル記憶装置を BitLocker To Go™ で暗号化することを要求できます。
グループポリシーの基本設定によって、既定の構成 (ユーザーによって変更可能) を定義し、マップされたネットワークドライブ、スケジュールされたタスク、その他のグループポリシーに対応していない Windows コンポーネントを一元管理できます。
DirectAccess によってモバイルコンピューターが社内ネットワークへシームレスに接続されているので、ユーザーがインターネットに接続していれば、IT 担当者がモバイルコンピューターを管理できます。

このように、Windows 7 に導入された改善により、IT 担当者が管理やトラブルシューティングに費やす時間が削減され、ユーザーの生産性が高まり、IT 部門がコンプライアンス要件を満たすことができます。

自動化の拡大

IT 担当者の作業を効率化する最適な方法に、自動化を利用する方法があります。自動化により、以前は IT 担当者が長い時間を必要としていたタスクを数秒で処理できます。問題を検出して自動的に解決の手順を実行することで、以前は IT 担当者が手動で実行していたプロセスを完全に自動化できます。さらに、自動化によって人為的なエラーの可能性が低減される利点もあります。

スクリプトは、IT 担当者にとって最も柔軟で高性能な自動化ツールです。Windows 7 には、Windows スクリプト環境の機能強化版である Windows PowerShell 2.0 が含まれています。専門の開発者用の従来のプログラミング言語とは異なり、PowerShell はシステム管理者による使用を目的としたスクリプト言語で、Microsoft Visual Basic®、Visual C++®、C# などの複雑な開発用言語を理解する必要がありません。

PowerShell は Windows Management Interface (WMI) を使用できるので、IT 担当者が自動化を望むほとんどの管理タスクをスクリプトで実行できます。PowerShell からコマンドラインツールを呼び出すことができ、管理をサポートするシステムがすべてフルコントロールになります。PowerShell で何千もの高性能なオブジェクトへアクセスでき、.NET Framework をフルに活用することも可能です。

PowerShell スクリプトを開発または実行するには、そのスクリプトをコンピューターにインストールする必要があります。PowerShell 2.0 は、Windows XP、Windows Server® 2003、Windows Vista ではダウンロードとして入手でき、Windows Server 2008 には付属しています。Windows 7 では、PowerShell 2.0 はオペレーティングシステムに組み込まれているので、IT 担当者は Windows 7 が実行されているコンピューターで PowerShell スクリプトの作成、配布、実行が可能で、組織中の PC に追加のソフトウェアを展開する必要がありません。

管理者が Windows 7 で PowerShell を使用して実行するタスクを次に示します。

トラブルシューティングの前にシステムの復元ポイントをリモートで作成する
コンピューターをシステムの復元ポイントにリモートで復元し、簡単に解決できない問題を解消する
インストールされた更新プログラムをリモートで照会する
トランザクションを使用してレジストリを編集し、一連の変更を確実に実装する
信頼性データベースからシステム安定性データをリモートで検査する

次のセクションでは、IT 担当者が時間のかかるタスクを自動化するのに役立つ Windows 7 の PowerShell の主要な改善点について説明します。

PowerShell Integrated Scripting Environment

PowerShell スクリプトは標準的なテキストファイルです。Windows Vista と以前のバージョンの Windows では、ビルトインのエディターはメモ帳でした。メモ帳はテキストファイルのすばやい編集に適しており、スクリプトの記述には十分ですが、より強力なエディターによって IT 担当者はスクリプトの習得、作成、デバッグをより効率的に行うことができます。

図 1 に示すように、Windows 7 には、デバッグ機能と対話型のコンソールを持つグラフィカルな PowerShell 開発環境である PowerShell Integrated Scripting Environment (ISE) が含まれています。

構成ウィザードの開始画面

図 1: Windows PowerShell ISE

エディターにはスクリプトの開発を簡単にする機能がいくつか用意されています。

**統合環境。**同一環境で対話型シェルタスク、スクリプトの編集、実行、デバッグを行うことができます。
**構文の色分け。**キーワード、オブジェクト、プロパティ、コマンドレット、変数、文字列、その他のトークンがさまざまな色で表示され、読みやすくなり、エラーも削減されます。
**Unicode のサポート。**コマンドラインとは異なり、ISE は Unicode、コンプレックススクリプト、右から左へ書く言語を完全にサポートしています。
**選択的な起動。**ユーザーは PowerShell スクリプトのどの部分でも選択、実行が可能で、出力ウィンドウで結果を確認できます。
**複数のセッション。**ユーザーは ISE 内で独立したセッション (PowerShell タブ) を 8 つまで起動できます。これによって IT 担当者はそれぞれ独自の環境にある複数のサーバーを同じアプリケーションで管理できます。
**スクリプトエディター。**スクリプトエディターには、タブ形式、自動インデント、行番号、検索と置換、指定行への移動などの機能が用意されています。
**デバッグ。**統合された視覚的なスクリプトデバッガーによって、ユーザーが、ブレークポイントの設定、スクリプトのステップ実行 (ステップイン、ステップオーバー、ステップアウト)、コールスタックのチェックを行うことができます。また、変数をポイントして値を確認することもできます。
**オブジェクトモデル。**ISE の完全なオブジェクトモデルによってユーザーは ISE 自体を操作する PowerShell スクリプトを記述できます。
**カスタマイズが可能。**ISE はウィンドウのサイズと配置から文字サイズと背景色まで全体のカスタマイズが可能です。

これらの機能によって、スクリプトの習得が容易になり、より強力な開発環境をすぐに使用できます。

PowerShell コマンドレット

コマンドレットは PowerShell の最も強力な機能の 1 つです。コマンドレットは Windows PowerShell 環境で使用されるタスク指向のコマンドです。たとえば、PowerShell には次の操作を行うコマンドレットがあります。

ファイルへのテキストの追加
XML ファイルの読み取りおよび書き込み
サービスの管理
ファイルとフォルダーの管理

PowerShell 2.0 は、クライアントコンピューターとサーバーの管理、レジストリとファイルシステムの編集、WMI の呼び出し、強力な .NET Framework 開発環境への接続を行う 500 以上の新しいコマンドレットをサポートしています。カスタムコマンドレットを作成したりコミュニティで開発された拡張機能を使用したりすることで、PowerShell を拡張することもできます。

PowerShell リモート処理

従来、リモートコンピューターを管理するには、リモートデスクトップを使用して、そのコンピューターに接続する必要がありました。そのため、大規模な (あるいは自動化された) 管理は困難でした。PowerShell 2.0 には PowerShell リモート処理が導入され、PowerShell コマンドを実行し、自動または対話型のリモート管理ができます。現在、有能な管理者は、コンピューターの管理の大部分をネットワーク経由で行います。Windows 7 と PowerShell 2.0 を使用すると、標準的な管理プロトコル WS-Management (WS-MAN) を使用してリモートコンピューターでコマンドレットを実行できます。これにより、1 つ以上のリモートコンピューターで実行され、そのコンピューターで直接コマンドを実行するリモート PowerShell セッションを制御するスクリプトを作成できます。たとえば、次のような使用方法があります。

必要に応じてコンピューターを現在の状態に復元できるように、ヘルプデスクとの通話中にシステムの復元ポイントを作成する
新たに発見された脆弱性からコンピューターを保護するために、ファイアウォールの規則を変更する

また、GPO で定義されたログオン、ログオフ、スタートアップ、シャットダウンのスクリプトを使用して、リモートの Windows 7 のコンピューター上で PowerShell スクリプトを実行することもできます。以前のバージョンの Windows では、これらのスクリプトに対して指定できたのはコマンドファイルだけでした。PowerShell は、コマンドファイルよりもはるかに優れた柔軟性と性能を提供します。

PowerShell イベント処理

多くのアプリケーションで、重要な操作またはイベントの即時通知がサポートされています。通常これらは WMI イベントまたは .NET オブジェクトのイベントとして公開されます。また、Windows 自体はファイルの操作、サービス、プロセスなどに関する有用な通知を公開します。これらのイベントは多くの診断タスクおよびシステム管理タスクの基盤となります。Windows 7 では、PowerShell 2.0 は管理イベントおよびシステムイベントをリッスン、処理、および転送することでこれをサポートしています。IT 担当者は、システムイベントに同期的に (イベントが追加された直後に) あるいは非同期で (後で) 応答する PowerShell スクリプトを作成できます。PowerShell リモート処理でイベントを登録し、それらのイベント通知を中央のマシンに自動的に転送することも可能です。

PowerShell の使用で、柔軟性は無限になります。たとえば、特定の場所でファイルが追加または削除された場合にディレクトリ管理を行うスクリプトを作成できます。特定のイベントが複数回追加された場合や一定時間内に異なるイベントが発生した場合のみ管理タスクを実行するスクリプトを作成することもできます。独自の社内アプリケーションによって作成されたイベントに応答するスクリプトを作成し、組織のニーズにあった管理タスクを実行することも可能です。

これらの機能に加えて、PowerShell のイベント処理では、標準的なイベントログで使用可能な通知よりもさらに詳細な通知を対象とする、WMI イベントおよび .NET Framework イベントをサポートしています。たとえば、PowerShell はサービスの開始と停止、プロセスの起動、ファイルの変更などに関連したイベント処理にアクセスできます。

GPO の管理の自動化

中規模や大規模の組織の IT 担当者は、コンピューターのデスクトップからスクリーンセーバーのタイムアウトまで多岐にわたるコンピューターの設定を定義する多数の GPO を、頻繁に作成する必要があります。Microsoft のグループポリシーオブジェクトエディターとグループポリシー管理コンソール (GPMC) ツールを使用すると、管理者が GPO を作成および更新できます。しかし、何千とおりもの設定が考えられるため、複数の GPO を更新するには、同じ作業を繰り返し行わなければなりません。また、時間もかかり、エラーも発生しやすくなっています。

Windows 7 よりも前は、GPO の自動化は GPO 自体の管理に限定されていました。たとえば、IT 担当者は GPO を作成したりリンクしたりすることは可能でしたが、その構成設定は変更できませんでした。GPMC アプリケーションプログラミングインターフェイス (API) へのアクセスにも、アプリケーション開発者のスキルセットが必要でした。

Windows Server 2008 R2 のリモートサーバー管理ツール (RSAT) (Microsoft のサイトからダウンロードでき、Windows 7 用の GPMC が含まれます) をインストールすると、PowerShell を使用して GPO の管理とレジストリベースの設定 (ADM または ADMX の管理用テンプレートで使用可能な設定) の構成の両方を自動化できます。この機能により、IT 担当者は次のコマンドレットを使用して GPO を完全に制御できます。

GPO コマンドレット

Backup-GPO	Block-GPInheritance	Copy-GPO	Get-GPO	Get-GPOReport
Get-GPPermissions	Get-GPPrefRegistryValue	Get-GPRegistryValue	Get-GPResultantSetOfPolicy	Get-GPStarterGPO
Import-GPO	New-GPLink	New-GPO	New-GPStarterGPO	Remove-GPLink
Remove-GPO	Remove-GPPrefRegistryValue	Remove-GPRegistryValue	Rename-GPO	Restore-GPO
Set-GPLink	Set-GPPermissions	Set-GPPrefRegistryValue	Set-GPRegistryValue	Get-GPInheritance

組織内で複数の部署のためにさまざまな GPO を作成する必要があり、2 種類の設定 (スクリーンセーバーが起動するまでの時間、スクリーンセーバーのロックの解除にパスワードが必要かどうか) によってそれぞれの GPO が異なるとします。それぞれ異なったビジネス要件を持つ 6 つの部署からなる組織では、管理者は通常 UI 内から手動で GPO を作成し、設定を定義する必要がありますが、かなり時間がかかる可能性があります。Windows 7 と PowerShell を使用すると、管理者が、部署名および固有の GPO 設定を含む配列を使用する PowerShell スクリプトを記述できます。スクリプトは配列によって反復され、それぞれの GPO を数秒で作成できます。

グループポリシーによる PowerShell の実行

Windows 2000 ではグループポリシーが導入され、ユーザーのログオンやログオフ、コンピューターのスタートアップやシャットダウンのときに、管理者がバッチファイルを基にしたスクリプトを実行し、環境の一部を構成したり追加のプログラムを実行したりできるようになりました。Windows 7 では PowerShell スクリプトを実行でき、管理者は、より包括的なツールを使用して、これらのシステムイベント中にリアルタイムで構成を行うことができます。

ユーザーの生産性の維持

ほとんどの人にとって、仕事にコンピューターは不可欠です。こうした人は、コンピューターで問題が発生するとすぐに非生産的になってしまいます。問題が発生した場合に迅速に解決する必要があるのは明らかですが、その一方で問題解決に必要なコストを最小限に抑える必要もあります。

Windows 7 には、ユーザーと IT 担当者が損益を考慮しながら生産性を取り戻すのに役立つ、新しいツールおよび強化されたツールが多数用意されています。ヘルプデスクへ電話しなくてもユーザー自身で多くの問題を解決できます。IT 担当者のサポートが必要な状況では、IT 担当者が迅速に問題を診断し、解決することができます。

ユーザーは詳細なトラブルシューティングによって一般的な問題を簡単に解決でき、IT 担当者や開発者は自分の環境で一般的な問題を扱う独自のトラブルシューティングパックを開発できます。通常、IT 担当者が問題が発生する条件を理解するには、時間をかけてユーザーとコミュニケーションをとる必要があります。Windows 7 の新しい問題ステップ記録ツールを使用すると、ユーザーが問題を再現するための手順を記録でき、大幅に効率が上がります。改善版のシステムの復元機能と Windows RE の自動インストールによって、システムとスタートアップの問題の解決に必要な時間を減らすことができるほか、IT 担当者は、拡張版のリソースモニターと信頼性モニターによって問題を診断する時間を短縮できます。

詳細でカスタマイズ可能なトラブルシューティング

IT 部門の主な目標は、ユーザーの生産性を確実に高めながらコストを削減することです。この目標を達成する方法の 1 つが、できるだけ IT 担当者の処理を少なくして、迅速に問題を解決するということです。Windows 7 に新しく導入された Windows トラブルシューティングプラットフォームは、IT 部門、ソフトウェアの開発者、およびサードパーティーが PowerShell を使用してカスタマイズできる拡張可能で高性能なプラットフォームです。Windows トラブルシューティングプラットフォームには、Windows トラブルシューティングパックおよび Windows トラブルシューティングパックビルダーという 2 つの主要なコンポーネントがあります。

Windows トラブルシューティングパック

Windows トラブルシューティングパックは、問題を診断し、可能な場合はユーザーの承認を受けて問題を解決する PowerShell スクリプトのコレクションです。このトラブルシューティングパックで、特定の機能の継続的なメンテナンスを行うこともできます。 Windows 7 には、問題の 100 以上の根本的な原因に対処する 20 のトラブルシューティングパックが組み込まれており、電力効率、アプリケーションの互換性、ネットワーク、サウンドなどの Microsoft のサポートコールのトップ 10 カテゴリと関連付けられています。図 2 に示すように、トラブルシューティングパックで、複雑な問題 (複数の条件によって発生するものを含む) を診断し、ユーザーに各問題の解決方法のヒントを提供できます。図に続いて、Windows 7 に含まれる Windows トラブルシューティングパックのリストを示します。

IP アドレス

図 2: 問題を診断中の Windows トラブルシューティングパック

Windows 7 トラブルシューティングパック

Aero	コンピューターで Aero のアニメーションと効果を表示できないという問題のトラブルシューティングを行います。
サウンドの再生	コンピューターでサウンドを再生できないという問題のトラブルシューティングを行います。
サウンドの録音	コンピューターでサウンドを録音できないという問題のトラブルシューティングを行います。
プリンター	プリンターを使用できないという問題のトラブルシューティングを行います。
パフォーマンス	全体の速度とパフォーマンスの向上に役立つ Windows の設定を調整します。
メンテナンス	使用されていないファイルとショートカットのクリーンアップなどのメンテナンスタスクを行います。
電源	電源設定を調整し、バッテリの寿命を伸ばし消費電力を減らします。
ホームグループのネットワーク	ホームグループのコンピューターや共有ファイルが表示されないという問題のトラブルシューティングを行います
ハードウェアとデバイス	ハードウェアとデバイスに関する問題のトラブルシューティングを行います。
Web の参照	Internet Explorer で Web を参照できないという問題のトラブルシューティングを行います。
Web の安全な参照	設定を調整して、Internet Explorer でのブラウザーの安全性の強化します。
Windows Media Player ライブラリ	Windows Media Player ライブラリで音楽やムービーが表示されないという問題のトラブルシューティングを行います。
Windows Media Player の設定	Windows Media Player の既定の設定にリセットします。
Windows Media Player での DVD の再生	Windows Media Player で DVD を再生できないという問題のトラブルシューティングを行います。
DirectAccess を使用した職場への接続	インターネット経由で職場のネットワークに接続します。
共有フォルダーへの接続	他のコンピューターの共有ファイルおよび共有フォルダーにアクセスします。
このコンピューターへの着信接続	他のコンピューターがこのコンピューターに接続できるようにします。
ネットワークアダプター	イーサネット、ワイヤレス、またはその他のネットワークアダプターのトラブルシューティングを行います。
インターネット接続	インターネットまたは特定の Web サイトに接続します。
プログラム互換性のトラブルシューティングツール	このバージョンの Windows では動作しないプログラムのトラブルシューティングを行います。

Windows トラブルシューティングパックビルダー

Windows トラブルシューティングパックビルダー (図 3) は、Windows ソフトウェア開発キット (SDK) に付属している開発キットで、IT 担当者と開発者ための Windows トラブルシューティングパックを作成するグラフィカルツールが含まれています。ツールキットはトラブルシューティングパックのメタデータの追加を簡単にし、検出、解決、検証のスクリプトの作成のために PowerShell Integrated Scripting Environment (このドキュメントで前述) へリンクします。PowerShell は高性能なので、Windows とアプリケーション環境のほとんどの要素を確認および構成することができます。トラブルシューティングパッケージは、グループポリシーの基本設定 (後述) を使用してローカルハードドライブへコピーして展開できます。また、中央のファイルサーバーに格納するだけでもかまいません。

testlab.microsoft.com のメンバ

図 3: Windows トラブルシューティングパックビルダー (Windows トラブルシューティングツールキットの一部)

図 4 に示すように、トラブルシューティングは、ヘルプとサポートセンターまたはアクションセンターからユーザーが手動で開始できます。また、アプリケーション内から開始することもできます。このため、組織は、Windows 7 の診断ツールを基幹業務アプリケーションの機能として設計できます。IT 担当者はトラブルシューティングパックをリモートで実行でき、グループポリシー設定を使用して、ユーザーの操作を問題の診断だけに (修正はできないように) 制限できます。

完全 DNS 名

図 4: Windows アクションセンター

IT 担当者は、メンテナンスを自動化するトラブルシューティングパックをスケジュールに基づいて実行することもできます。たとえば、トラブルシューティングパックを使用して、一時ファイルの削除、ハードディスクのエラーのチェック、またはシステム時間の確認を行うことができます。

Microsoft は、Windows オンライントラブルシューティングサービスをホストしています。このサービスは、Windows 7 のユーザーに新しいトラブルシューティングパックと、製品に付属するトラブルシューティングパックの更新プログラムを提供し、新たに発見された問題を診断します。管理者は、グループポリシーでこの機能を無効にできます。

アプリケーションと同様、トラブルシューティングパックには、信頼された証明機関 (CA) によって発行された証明書を使用して署名できます。その結果、管理者は、グループポリシー設定を使用して、信頼された発行元からのトラブルシューティングパックだけを実行するようにできます。トラブルシューティングパックは、ローカルコンピューターへ配布したり、イントラネットの Web サイトで公開したり、共有フォルダーに格納したりできます。

エンドユーザー向けのトラブルシューティングを簡易化できるほか、管理者はトラブルシューティングパックを使用して複雑な診断およびテスト手順を高速化できます。これを行うには、コマンドプロンプトから対話的にトラブルシューティングパックを実行するか、告知なしで応答ファイルを使用します。そのような場合、管理者は、ローカルコンピューターへログオンしていても、ネットワーク経由でリモートでも、トラブルシューティングパックを実行できます。

問題ステップ記録ツール

一般的に、トラブルシューティングで最も複雑なのは、問題を示す条件の再現で、特に影響を受けるユーザーがリモートで作業している場合や電話で話している場合です。IT 担当者がユーザーの問題を再現できないと、原因の診断は簡単ではありません。

Windows 7 では、こういった状況を問題ステップ記録ツール (図 5) で解決します。ユーザーは、このツールを実行して、再現可能な問題が発生するステップを記録するだけです。ユーザーは [記録の開始] をクリックし、問題を再現して、必要な場所にコメントを入力し、[記録の停止] をクリックした後、電子メールや共有で IT 担当者へ記録を送信します。

1515293b-6d37-4de1-9a48-7989294fdc82

図 5: 問題ステップ記録ツール

ユーザーがクリックしたり入力したりするたびに、その操作のスクリーンショットが、付随するログとソフトウェアの構成データとあわせて記録されます。コンピューターで発生していても記録されない内容 (応答性の低さや過剰なページングなど) を説明するために、ユーザーのテキストコメントも記録されます。

問題ステップ記録ツールは、zip アーカイブに圧縮された .MHT ファイル (イメージを単一のファイルに含む HTML ドキュメントの一種) を作成します。図 6 に示すように、IT 担当者は、.MHT ファイルを開き、スクリーンショットを表示して、ユーザーの操作に関する詳細な説明を確認できます。

0fd95fdf-a725-4e78-98e1-f18a2086034b

図 6: 記録された問題ステップ

IT 担当者は、問題ステップ記録ツールによってかなりの時間を節約することができます。さらに、IT 担当者が言語の違いを問わずに問題を診断できるので、言語の壁を克服するのにも役立ちます。

システムの復元

ユーザーに信頼性の問題が発生する場合があります。たとえば、インストールによってドライバーが信頼性の低いバージョンで更新されたり、アプリケーションによってファイルが互換性のないバージョンで上書きされたりする場合があります。場合によっては、更新プログラムやアプリケーションのアンインストールでは、一部の変更が元に戻らないことがあります。Windows Vista には Windows システムの復元があり、定期的に、あるいは、システムの更新プログラムやアプリケーション/デバイスドライバーのインストールファイルがダウンロードされる前の時点で、ローカルハードドライブにシステムの "スナップショット" を格納できました。

復元ポイントの後で行われたすべてのシステムの変更をロールバックする際に、以前のバージョンのシステムの復元では、問題に関係ないシステムの変更も戻されました。

システムの復元ポイントの後でインストールされたアプリケーションとドライバーは削除されます
システムの復元ポイントの後で削除されたアプリケーションとドライバーは復元されます

このように以前のバージョンの Windows では、システムの復元ポイントに戻すことで影響があるコンポーネントをユーザーやIT 担当者が特定するのは困難でした。使用できなくなったアプリケーションがあるとわかって苛立つユーザーは珍しくありません。こうしたユーザーはサポートセンターに助けを求めることが多く、またしても IT 担当者の時間が割かれることになりました。図 7 に示すように、Windows 7 では、ユーザーや IT 担当者は Windows 7 を以前の状態にロールバックする前に、ソフトウェアの変更の一覧を確認することができます (この変更の一覧は、[プログラムの追加と削除] の一覧に表示されるアプリケーションに基づいています)。"残す必要があるアプリケーションが削除される" など、システム復元の結果がさらに詳しく説明されることで、IT 担当者は、別の復元ポイントを選択したり、アプリケーションを後で再インストールするようにしたりできます。

dd06aedf-2040-4062-b27c-eaddbe7b7243

図 7: システムの復元の影響を受けるアプリケーションの説明

Windows 7 では、エンドユーザーが作成したシステムイメージからも復元ポイントを使用可能で (Windows Vista の Complete PC バックアップと同様)、システムの復元で、ローカルのシステムの復元の記憶域で可能な時点より前の時点へロールバックできます。つまり、外部ハードディスクへのバックアップは復元ポイントに対して使用することも可能です。

Windows 7 の他の多くの機能と同様に、システムの復元で PowerShell を使用することで IT 担当者は効率や生産性を高めることができます。PowerShell はシステムの復元ポイントを作成したり、システムの復元ポイントへコンピューターを復元したりできます。また、この処理はリモートで行うことも可能です。

したがって、IT 担当者は、サポートの電話の間にネットワーク経由でコンピューターに接続して、コンピューターの安定性に悪影響を及ぼす可能性がある変更を行う前に、システムの復元ポイントを作成しておくことができます。システムの復元ポイントは、トラブルシューティングのタスクや構成タスクを実行するスクリプトによって自動的に作成し、変更を簡単に復元できます。最後に、IT 担当者は、PowerShell スクリプトを使用して、コンピューターを以前のシステムの復元ポイントへ復元できます。この復元処理は、ネットワーク経由で行うことも可能です。

Windows 回復環境

起動できないコンピューターは、IT 担当者にとって最も難しい課題となるトラブルシューティングシナリオで、ユーザー (特に、サポート担当者から離れた場所にいるモバイルユーザー) には苛立たしい状態です。ユーザーが Windows を起動できないと、ソフトウェアのトラブルシューティングツールにアクセスして問題の診断と解決を行うことができません。もっと深刻なのは、重要な販売プレゼンテーションを行ったり、予算を作成したりできないことです。

ユーザーがスタートアップの問題を簡単に解決できるように、Windows Vista には、Windows 回復環境とスタートアップ修復ツールの 2 つのツールが導入されています。ユーザーや IT 担当者は、Windows Vista の DVD からコンピューターを起動することによって、Windows RE を起動できます。Windows RE に付属しているツールによってスタートアップの問題が自動的に修正され、IT 担当者によるトラブルシューティングが不要な場合がよくあります。

Windows RE で Windows Vista の破損したインスタンスを修復するのに必要な時間を削減できますが、ユーザーの多くは使用可能な Windows Vista の DVD を持っていなかったり、Windows RE を PC のハードドライブの別のパーティションにインストールしていなかったりします。さらに、Windows Vista では、簡単には Windows RE をインストールできませんでした。モバイルコンピューターの Windows が起動しないというリモートユーザーの問題を、電話サポートセンターの IT 担当者が解決するのは非常に困難です。しかし、適切な計画によって、IT 担当者はコンピューターのハードディスク上のパーティションに Windows RE をインストールでき、Windows Vista の DVD がなくても使用可能な状態にできます。

Windows Vista と同様、Windows 7 には Windows RE が含まれ、図 8 に示すような改善版のシステム回復ツールが含まれています。最も重要な改善点は、Windows RE がローカルハードディスクに Windows 7 セットアップの一部として自動的にインストールされ、Windows 7 の DVD がなくてもツールが使用可能なことです。よって、Windows 7 がどのようにインストールされているかに関係なく、ユーザーは Windows RE とスタートアップ修復などのツールが常に使用可能であることを確信できます。もちろん、ハードディスクが機能していない場合は、IT 担当者は Windows 7 の DVD から Windows RE を起動することができます。

5dc073f8-8d6c-4baa-91a6-c9739809ac56

図 8: Windows RE から起動されたシステム回復オプション

リモートユーザーが Windows を起動できない場合、Windows 7 では、IT 担当者はコンピューターのハードディスクから Windows RE を起動するプロセスを介してユーザーと会話できます。そのような場合、手動のトラブルシューティングを必要とせずに、システム回復ツールで自動的に問題を解決できることがよくあります。ユーザーは数分で Windows 7 を起動できるようになります。

ユーザーは、システムをシステムイメージバックアップから復元したいとき、または出荷時の状態に戻したいときに、これらのツールで回復コントロールパネルから Windows RE を起動することもできます。回復コントロールパネルの説明に従って、ユーザーは、ローカルのユーザーファイルをバックアップし、コンピューターを Windows RE で再起動し、適切な回復アプリケーション起動できます (図 9 を参照)。回復コントロールパネルはアクションセンターからアクセスできるので、IT 担当者とサポート担当者はリモートユーザーにコンピューターを復元するプロセスを電話で簡単に指示できます。

22f7e303-484a-4da7-890d-4bd9b2b1f72a

図 9: 回復コントロールパネル画面と、ユーザーに提供されるシステムの復元オプション

リソースモニター

リソースの問題点のトラブルシューティングをより徹底的に行うには、IT 担当者はコンピューター内部の動作に関する優れた見識が必要です。また、問題が複雑なほど、より詳細な情報が解決のために必要になってきます。タスクマネージャーはプロセッサ時間を最も使用しているプロセスを特定するには十分ですが、問題の解決にあたって、ディスクやネットワークの I/O を最も発生させているプロセスを特定するための、さらに高性能なツールが IT 担当者に必要になることはよくあります。

Windows 7 には拡張版のリソースモニターがあり、このようなプロセスごとのリソースの使用率の詳細情報が提供されます。図 10 に示すように、このデータは、プロセス固有の詳細情報へ簡単にドリルダウンできる大量の情報へすばやくアクセスできる形式で表示されます。

041e2b48-99ac-4d3e-a2dc-b5acf9ac4fc6

図 10: リソースモニター

リソースモニターを使用すると、数秒で次の内容がで表示されます。

プロセッサ時間とメモリを最も使用しているプロセス
SvcHost.exe のプロセス内でホストされているサービス
プロセスがアクセスしているハンドル (デバイス、レジストリキー、ファイルなど)
プロセスがアクセスしているモジュール (DLL など)
ディスクに対してデータの読み取りと書き込みを最も行っているプロセス
各プロセスが送受信しているネットワークデータの量
受信ネットワーク接続をリッスンしているプロセスやネットワーク接続を開いているプロセス
各プロセスのメモリの使用率

さらに、プロセスを終了したり、プロセスについての情報をオンラインで検索したりすることもできます。リソースモニターによって、IT 担当者はパフォーマンスとリソースの使用率の問題の原因をすばやく特定でき、複雑な問題のトラブルシューティングに必要な時間を削減できます。

信頼性モニター

Windows Vista には、PC の全体的な安定性に関連するシステムイベントのタイムラインを示すツールである、信頼性モニターが導入されています。これらのイベントには、ソフトウェアとデバイスドライバーのインストールや削除、アプリケーションエラー、不完全なシャットダウンなどがあります。信頼性モニターによって、すばやく問題をトレースして発生原因のシステムの変更に戻ることができるので、IT 担当者にとって有益です。

Windows 7 では、信頼性モニターは問題のレポートと解決策と統合され、システムの変更、イベント、可能性のある解決方法とさらに関連付けられています。図 11 では、信頼性モニターが、アプリケーションのインストールのエラーやセキュリティ更新プログラムなど、特定の日のイベントの詳細を示しています。

d880fa99-9c23-4701-952e-b785d129ef47

図 11: 信頼性モニター

Windows 7 では、Windows Management Interface を使用して信頼性データを公開することで信頼性モニターを拡張することもできます。WMI を使用すると、リモートで信頼性データを収集し、PowerShell スクリプトと WMI 関連のコマンドレットを使用して処理できます。したがって、IT 担当者は、WMI を活用して、事前に、またはサポートの通話中に、ネットワーク中の Windows 7 のコンピューターの信頼性をまとめて検査することができます。

Microsoft System Center Operations Manager など、その他の管理ツールで、すべての Windows 7 コンピューターからの信頼性データをまとめて監視できます。あるいは、独自の PowerShell スクリプトを作成して、信頼性を監視して適切に対処できます。信頼性データをまとめて監視することで、ユーザーがわざわざサポートセンターへ電話しなくても、ユーザーの生産性に影響している信頼性の低いコンピューターを特定できます。

柔軟な管理機能

組織の多くで、政府規制、顧客サービスレベルアグリーメント、あるいは組織内のセキュリティ要件で定義されるコンプライアンス要件があり、組織全体の構成設定をまとめて定義し実施する必要があります。Windows 7 では、IT 担当者がコンプライアンス要件を効率的に満たすのに役立つ、強化された機能と新技術が採用されています。

AppLocker は柔軟な発行元の規則を提供することで、どのアプリケーションをユーザーが実行できるようにするかを容易に制御します。
監査機能の強化によって、IT 担当者は、グループポリシーを使用して、監査するファイルとレジストリ値を構成できます。
BitLocker の改善により、リムーバブル記憶装置のデータを含め、データ暗号化が可能です。

グループポリシーの基本設定でも、マップされたネットワークドライブ、ローカルユーザーアカウントのパスワードとグループメンバーシップ、スケジュールされたタスク、レジストリ設定など、通常はグループポリシーで管理できないアプリケーションと Windows コンポーネントまで、グループポリシーの範囲が拡大しています。さらに、リモートワーカーの急増に伴って、企業ネットワークに直接接続できない場合のモバイル PC の構成設定を行うことは IT 担当者にとって重要です。DirectAccess によってモバイル PC の社内ネットワークへの接続が維持され、IT 担当者はソフトウェア更新プログラムをダウンロードし、グループポリシー設定を適用し、そしてリモート管理を行うことができます。

これらの改善によって、IT 担当者が必要としてる柔軟性がもたらされ、現在発生している構成管理の問題の大部分を解決できます。

AppLocker

ユーザーが承認されていないソフトウェアを実行すると、コンピューターの管理が困難になり安全性が低下する可能性があります。こうしたソフトウェアは動作も遅いため、ユーザーの生産性は低下し、サポートセンターへの電話が増えます。そして、最も重要なのは、このソフトウェアの実行はコンプライアンス規則の違反であることです。

Windows 7 AppLocker によって、管理者はこれまで以上の柔軟性を持ってユーザーが実行できるアプリケーションとスクリプトを厳密に指定することができます。管理者はユーザーに特定のアプリケーションをインストールする権利を付与し、他のインストールを制限することが可能です。これによって、IT 担当者は、より標準化されたデスクトップ環境を構築し維持することができます。

AppLocker には数多くの規則があります。発行元の規則はデジタル署名を基にしたアプリケーションへのアクセスを許可し、1 つの規則で複数のバージョンのアプリケーションの実行を許可することが可能です (リリース前の今後のバージョンでも可能です)。図 12 に示すように、特定の証明書で署名されていればユーザーがアプリケーションのバージョン 3.5 以降を実行することを許可する規則を作成することができます。AppLocker の発行元の規則によって、IT 担当者は規則を更新しなくても新しいバージョンのアプリケーションを展開でき、生産性が向上します。

a95e454a-a9fc-43db-87e9-3e8e88d1e18d

図 12: AppLocker の規則

強化された監査機能

Windows 7 では詳細な監査が可能で、誰が情報にアクセスできるのか、なぜユーザーがアクセスを拒否されたのか、誰がオブジェクトを変更したのかを IT 担当者に伝えます。以前のバージョンの Windows では、詳細な監査が可能なのはスクリプトを使用して構成する場合のみでした。図 13 に示すように、Windows 7 では、グループポリシー設定を使用して、下位カテゴリの監査を行うことができます。この監査機能は、組織が法的要件とビジネス要件を満たすよう支援することを目的としています。

ff039bdd-e785-49f2-931b-cf7a2979acf0

図 13: グループポリシーを使用した監査の構成

IT 担当者は、グループポリシー設定を使用して、監査するファイル、レジストリキー、およびその他のオブジェクトを構成することもできます。以前のバージョンの Windows では、IT 担当者は、リソースの監査を手動で構成するか、監査を有効にするスクリプトを記述してすべてのコンピューターで実行する必要がありました。

データの暗号化の強化

管理者は、グループポリシー設定を使用して、リムーバブル記憶域の暗号化のために BitLocker と BitLocker To Go をまとめて構成できます。構成オプションの一部を次に示します。

システムボリューム、非システムボリューム、およびリムーバブル記憶域の固有の要件の指定
リムーバブル記憶装置を保護するための強力なパスワード、スマートカード、またはドメインユーザー資格情報が必要かどうか
システムボリュームからの起動のための PIN の最小桁数の設定
非システムボリュームのパスフレーズの複雑さと長さの要件の指定
非システムボリュームの回復方法の構成
図 14 に示すような、リムーバブル記憶装置の BitLocker での暗号化が必要かどうか (暗号化されていないデバイスは読み取り専用モードで開くことを許可)

3ec29e1b-4a5f-4ac4-b83f-90356416f035

図 14: リムーバブルドライブの BitLocker での暗号化

グループポリシーの基本設定

IT 担当者は、グループポリシー設定を使用して、コンピューターを一元的に構成します。ユーザーはグループポリシー設定の変更を許可されていないので、構成の委任に適しています。しかし、組織がコンピューターの構成要素の一部を委任しないようにする場合があります。IT 部門は、本当は既定の設定で簡単に構成したいが、ユーザーによる個人設定を許可していることがよくあります。たとえば、モバイルコンピューターのカバーを閉じるとスタンバイモードになるように、IT 担当者が構成する場合があります。しかし、好みの問題で、変更を望むユーザーがいる場合もあります。

通常、IT 担当者は、展開前のオペレーティングシステムイメージに既定値を設定します。さまざまなユーザーのグループに固有の既定の設定を行った、さまざまなオペレーティングシステムイメージの構成が必要になることがよくあります。また、IT 担当者は、ネットワークドライブを割り当てたり、スケジュールされたタスクを作成したり、レジストリ設定を定義するスクリプトを作成したりできます。どの方法でも、これらの設定をすべて管理するのは煩雑です。

Windows 7 では、グループポリシーの基本設定を使用して、グループポリシーに対応していない次のような Windows コンポーネントの既定値を構成できます。

マップされたネットワークドライブ
スケジュールされたタスク
ショートカット
環境変数
電源オプション
プリンター
地域のオプション
フォルダーオプション
Open Database Connectivity (ODBC) データソース
レジストリの設定
スタートメニューの設定
インターネットの設定
ローカルユーザーとグループ

従来のグループポリシー設定とは異なり、グループポリシーの基本設定では、ユーザーが変更可能な既定値が割り当てられます。IT 担当者は、さまざまな構成のために別々の Windows イメージを作成するのではなく、グループポリシーの基本設定を定義して既定の設定を構成できるので、グループポリシーの基本設定を活用して展開に必要な Windows イメージの数を減らすことができます。

基本設定の定義のほかに、ファイル、ファイルのグループ、フォルダーの作成、置換、更新、削除が可能です。図 15 に示すように、わかりやすいユーザーインターフェイスで、ファイルをネットワークから指定した同期先へ同期できます。たとえば、このインターフェイスを使用して、それぞれのユーザープロファイル内の %AppData% フォルダーへユーザー辞書をコピーできます。フォルダーのインターフェイスによって、フォルダーの内容を定期的に削除でき、一時ファイルの削除に便利です。

f8422b0c-8f6c-46d6-8cc9-f868c82ca714

図 15: グラフィカルユーザーインターフェイスでのグループポリシー設定の構成

グループポリシーの基本設定は、WMI フィルターを使用しなくても GPO 内でユーザーやコンピューターの別のグループに割り当てることができます。たとえば、管理者は、モバイルコンピューターだけに適用する基本設定を構成できます。

ユーザーがアプリケーションの構成のためにアクセスするのと同じユーザーインターフェイスを使用して、多数のグループポリシーの基本設定を構成できます。たとえば、グループポリシーの基本設定を使用して、図 16 に示すような、Internet Explorer 自体のインターフェイスと同様のグラフィカルユーザーインターフェイスで、Internet Explorer のオプションを構成できます。同様に、デバイスマネージャーと同様のブラウザーを使用してデバイスを指定できます。

e7747e2d-cf0a-464d-a9c4-b8c048df9f2c

図 16: グループポリシーの基本設定の構成

ただし、グループポリシーの基本設定とグループポリシー設定の間で重要な違いが数多くあります。

グループポリシーの基本設定とグループポリシー設定の比較

	グループポリシーの基本設定	グループポリシー設定
強制	基本設定は強制ではなく、ユーザーは設定の変更が可能	設定は強制的で、設定を変更するユーザーインターフェイスは無効
柔軟性	レジストリ設定とファイルの基本設定はインポートや作成が簡単	設定の追加にはアプリケーションのサポートと管理用テンプレートの作成が必要で、ユーザーはファイルやフォルダーを管理する設定の作成が不可能
対象	個々の基本設定の対象は特定のユーザーとグループ	ユーザーを対象にするには WMI クエリの記述が必要
ユーザーインターフェイス	基本設定の大部分はわかりやすく使用しやすいインターフェイス	設定の大部分は別のユーザーインターフェイス

DirectAccess

モバイルコンピューターは、社内のネットワークに接続されているときだけ管理が可能なので、IT 部門にとって難しい課題です。メインオフィスから離れて勤務するユーザーや長時間移動するユーザーは、数週間あるいは数か月間、社内のネットワークに接続しない場合があります。その結果、これらのモバイルコンピューターには、更新されたグループポリシー設定、重要な更新プログラムやマルウェア対策の定義がダウンロードされません。

従来、リモートユーザーは仮想プライベートネットワーク (VPN) で社内のネットワークリソースへ接続します。しかし、VPN の使用は、認証のためにいくつかのステップが必要で、数秒 (場合によっては数分) の時間が必要なので、ユーザーにとって煩雑です。

Windows 7 には、Windows Server 2008 R2 とともに、ユーザーがオフィスで作業するのと同じようにリモートで作業することを可能にする新しいソリューション、DirectAccess (図 17) が導入されています。IPv6 や IPsec などの技術を利用して、DirectAccess は、仮想プライベートネットワーク (VPN) への接続が不要な、社内ネットワークへのインターネット経由での自動的でシームレスなアクセスをリモートコンピューターに提供し、企業に柔軟でセキュリティで保護されたネットワークインフラストラクチャを提供します。

d7b14915-7741-472b-9fb2-eca8e72371da

図 17: Windows 7 の DirectAccess

たとえば、リモートユーザーが近くの喫茶店でワイヤレスホットスポットに接続する場合、DirectAccess はインターネット接続が使用可能なことを検出し、社内ネットワークの最前線にある DirectAccess サーバーへの接続を確立します。ユーザーは、社内の共有、Web サイト、アプリケーションなど、管理者がリモートアクセスを許可した社内リソースへアクセスできるようになります。

インターネット接続が確立されているときは、ユーザーがログオンする前でも、IT 部門はグループポリシー設定の更新とソフトウェア更新プログラムの配布によってモバイルコンピューターを管理できます。この柔軟性によって、IT 担当者はリモートのマシンへの定期的なサービスが可能で、モバイルユーザーは企業のポリシーにあわせて最新の状態に維持されます。

ネットワーク接続が永続的なので、通常はフォルダーリダイレクトによって社内のサーバー内に格納され、オフラインファイルとフォルダーによってローカルでキャッシュされるユーザーデータは、各ファイルを自動的にサーバーと同期させる (バックアップする) ことができて便利です。DirectAccess によって社内リソースへの自動的な接続が維持されるので、ユーザーはその便利さを実感できます。DirectAccess によって、ユーザーがインターネットに接続可能であれば、モバイルコンピューターを社内ネットワークへ接続することで管理しやすさが大きく向上するので、IT 担当者はその便利さを実感できます。モバイルコンピューターは接続と管理が維持され、最新の状態に維持されます。

まとめ

Windows 7 は、自動化を進め、トラブルシューティングを行い問題をすばやく解決するツールを提供することで、コストを削減し、IT 部門の生産性を高めることを目的としています。Windows 7 に付属している、エンタープライズ規模のスクリプトエンジンである Windows PowerShell 2.0 によって、IT 担当者はシステム管理の大部分を自動化できます。IT 担当者はグループポリシーオブジェクトの作成と構成も自動化でき、グループポリシーが複雑な構造になる組織のためのポリシーの定義が簡単になります。

Windows 7 は、ユーザーの生産性の向上にも役立ちます。特に、IT 担当者は、PowerShell を使用して、特定の環境に共通の問題を解決することを目的として Windows トラブルシューティングパックをカスタマイズすることができます。トラブルシューティングは拡張可能なので、IT 担当者と基幹業務アプリケーションの開発者は、社内アプリケーションでユーザーがアクセスして問題を診断し解決も行うことが可能なソリューションを設計できます。Windows トラブルシューティングプラットフォームを使用して独自の問題の解決するユーザーは、サポートセンターへ電話をする必要がありません。

サポートセンターへの電話が必要な問題については、Windows 7 では IT 担当者がすばやく問題を診断して解決することができます。ユーザーが説明する問題を再現するのに苦労した経験があれば、問題につながったユーザーの操作を示すスクリーンショットをクリックで順番にキャプチャする、問題ステップ記録ツールの便利さが理解できるはずです。リソースモニターと信頼性モニターの改善によって、IT 担当者は、問題を発生させているプロセスおよびその原因の可能性があるシステムの変更をすばやく特定できます。システムの復元の更新によって、ユーザーや IT 担当者は、復元ポイントをアクティブにする前に影響を受けるアプリケーションとドライバーを確認できます。Windows 回復環境は、緊急の場合や Windows 7 の DVD が使用できない場合にアクセスできるように、既定でインストールされています。

Windows 7 では、 Windows が実行されているコンピューターをまとめて管理するために IT 部門が使用するツールである、グループポリシーの重要な拡張も行われました。ユーザーが実行できるアプリケーションを制限する、管理されセキュリティで保護されたデスクトップ環境を目指すなら、AppLocker によって、アプリケーションのどのバージョンにでも (リリース前のバージョンにでも) 適用可能なより柔軟な規則を作成できます。グループポリシーの基本設定はユーザーの既定の設定を定義し、ユーザーが更新可能な初期構成を確立するのを簡単にするので、展開イメージを変更する必要がありません。また、グループポリシーを使用して、USB フラッシュドライブなどのリムーバブル記憶装置でも BitLocker で暗号化することができます。さらに、DirectAccess を有効にすることによって、モバイルコンピューターがインターネットに接続するたびに自動的に社内ネットワークへ接続されるので、更新されたグループポリシー設定を定期的に受信し、サーバーとデータファイルを同期させ、ソフトウェア更新プログラムを受信するようにして、モバイルコンピューターを継続的に管理できます。

これらのテクノロジにより、Windows 7 は、IT 担当者の生産性を高めることでデスクトップのサポートのコストを削減するという、シンプルで一般的な目標を達成することができます。