Win98では、CDの \tools\reskit\netadmin\poledit にポリシーエディタがある。setup でインストールする。インストールが終わると[プログラム]-[アクセサリ]-[システムツール]-[システムポリシーエディタ]で起動する。ファイルから新規作成を選ぶと、「通常のユーザー」、「通常のコンピュータ」の2つのアイコンが現れる。
右図では admin のアイコンもあるがこれは後から作ったもの。いろいろな制限のないユーザーや、制限のきついユーザーを作ることができる。ここで指定しないユーザーは通常のユーザーとなる。通常ユーザーにレジストリエディタの使用禁止などの制限をかけるので、制限のないユーザーを作っておかなければメンテナンス上困難になるのでつくっておく。
アイコンのダブルクリックによっていろいろな制限がツリー状に表示される。□が白色になっているのが許可。灰色が許可を変更しない。チェクマークをつけると制限をかける。
通常のユーザーでチェックをつけて禁止した項目をadminでは許可したい場合には、チェックをはずして灰色にしたのでは許可にならない。必ず白にする。
もともと許可になっている項目は灰色の状態でかまわないが、一度チェックを入れてクライアントに制限がかかったものを方針を変えて許可するようにしたいという場合も、白色にしないと制限がかかったままになる。
おそらくシステムポリシーの中身はレジストリデータなのだ。起動時にクライアントのレジストリにマージされる。灰色は記述しないということ。したがって全部を白とチェックで構成するとシステムポリシーデータの量が増えるので必要のないものは灰色のままにするのがよい。
デスクトップは上記「画面」と同様制限しない
ネットワークについては制限する必要がない。ここの「ネットワーク」はクライアントがサービスをする場合のもので、そもそもサービスをしないように設定し、変更を制限すればよい。
「制限」の中の[ネットワークコンピュータ]を隠すのみチェックしている。当初同一セグメントにあった教師のコンピュータを見せないためであった(アクセスはできなかった)が、生徒用サーバーが2つになり、サーバーを選びサービスを選ぶということが煩わしい。ホームディレクトリはマイドキュメントからアクセスするようにしたし、shareもネットワークドライブとして接続しているので見せる必要がない。
その後個人のウェブページ公開用のディレクトリを作ったが、ここには \\joel\public として「名前を指定して実行」をするか、デスクトップなどにショートカットを作るようにしている。
レジストリ編集ツールを使用不可にするを有効にする。レジストリ編集ツールを使用すると、ここのシステムポリシーを含め全部の制限を無効にできる。もっともログオンするたびにシステムポリシー(で指定された項目)は有効になるからそのたびに編集する必要がある。
逆にこれを制限する場合(ぜひした方がよいが)必要になるたびにシステムポリシーを変更してからログインしなければならなくなって面倒である。制限のないユーザーを作っておいてそれでログインすればかなり楽になる。
シングルMS-DOSモードを使用不可にするを有効にする。OSの設定に深く関わるモードは隠す。
■チェックを入れる □灰色のまま
通常のユーザーで制限したものを解除した特権ユーザーをつくっておくと便利。
新規でユーザーを加えて、通常のユーザーと同様の項目にしていしていく。このユーザーはログオンするまでにはサーバーにも登録しておかなければならない。やりかたはhogeと同じ。
通常のユーザーでチェックを入れた項目(上の表で■)のチェックをはずして、白い□にする。灰色では解除されないので注意。(通常のユーザーでチェックを入れないものは灰色でかまわない)
ユーザー別でなく機械固有の設定の制限。制限というよりメンテナンスに近い
「ユーザー別の設定を使う」などいくつかの設定は個々のコンピュータでGUIで設定できたり、レジストリで設定できるので、ここに指定する必要がないのかも知れない。もちろん、変更されたものを元に戻す働きはある。メンテナンスのため一度はずして戻し忘れることも考えられるので念のために指定しておく。
また逆に、ここに指定することで個々のコンピュータは一度ドメインログオンさせさえすれば必要な設定が終了するということもできるはず。(あまり機会がないのできちんと検証できていない)
ESCやキャンセルでユーザー名を入れずにコンピュータを使うことを防ぐ ユーザー名を間違えてそのままローカルにログインしてしまうのを防ぐネットワーク資源は使用できないが、はじめはそれに気づかず、保存する時に拒否されるなどのトラブルになる可能性がある。また、システムポリシーが有効にならずシステムに危害を加えられる可能性がある。
「ユーザー別の設定を使う」は個別のクライアントでもやっている。
「一度だけ実行」では、ログオン時に実行するプログラムの指定ができる。「実行」はログオンのたびに実行するように設定され、「一度だけ実行」は一度実行すると設定が消えるので次にログオンした時には実行されない。しかし、ログオンのたびにこのシステムポリシーにより「一度だけ実行」にプログラムがセットされるので結局一度だけでなく毎回実行される。Windows98SEでは「実行」で運用していたが、WindowsMeでは不具合が出て、「一度だけ実行」で運用した。
この一度だけ実行するプログラムは、WindowsScriptingHost(WSH)で動かすjavascriptのプログラムを指定している。スクリプトプログラム名は joel.js 場所は logon.bat と同じ、\\joel\netlogon である。wscript がWSHを実行するプログラム。
WSHによるスクリプトはバッチファイルのようなものだが、Windows9Xのバッチファイルはユーザー名や環境変数を参照できなかったりできることが限られている。WSHではデスクトップにショートカットを作ったり、レジストリを設定したりと便利に使える。これについてはまた後ほど。
図では「起動時」となっているが「ログオン時」である。
■チェックを入れる □灰色のまま/場所により灰色が選択できないものもあり、その場合は白。