システムポリシー

Win98では、CDの \tools\reskit\netadmin\poledit にポリシーエディタがある。setup でインストールする。インストールが終わると[プログラム]-[アクセサリ]-[システムツール]-[システムポリシーエディタ]で起動する。ファイルから新規作成を選ぶと、「通常のユーザー」、「通常のコンピュータ」の２つのアイコンが現れる。

右図では admin のアイコンもあるがこれは後から作ったもの。いろいろな制限のないユーザーや、制限のきついユーザーを作ることができる。ここで指定しないユーザーは通常のユーザーとなる。通常ユーザーにレジストリエディタの使用禁止などの制限をかけるので、制限のないユーザーを作っておかなければメンテナンス上困難になるのでつくっておく。

設定の仕方

アイコンのダブルクリックによっていろいろな制限がツリー状に表示される。□が白色になっているのが許可。灰色が許可を変更しない。チェクマークをつけると制限をかける。

通常のユーザーでチェックをつけて禁止した項目をadminでは許可したい場合には、チェックをはずして灰色にしたのでは許可にならない。必ず白にする。

もともと許可になっている項目は灰色の状態でかまわないが、一度チェックを入れてクライアントに制限がかかったものを方針を変えて許可するようにしたいという場合も、白色にしないと制限がかかったままになる。

おそらくシステムポリシーの中身はレジストリデータなのだ。起動時にクライアントのレジストリにマージされる。灰色は記述しないということ。したがって全部を白とチェックで構成するとシステムポリシーデータの量が増えるので必要のないものは灰色のままにするのがよい。

通常のユーザー

コントロールパネル

画面

壁紙や画面のデザインは自由にさせたい。ユーザープロファイルなので他人に影響がない。ある機械で設定した画面のデザインが別の機械でログオンした時に再現されることで、ユーザープロファイルをアピールできる。（ただし壁紙はホームディレクトリ内領域に保存する必要がある。MeではマイドキュメントのMyPicturesフォルダがデフォルトなのでほぼ大丈夫）

ネットワーク

[ネットワーク]コントロールパネルを制限するを有効にする。変更をされてはシステムポリシーが効かない。

パスワード

[パスワード]コントロールパネルを制限するを有効にする。ドメインログオンしている時には、サーバーの方も変えてくれるようだが、unixパスワードをシンクロさせるのが多少面倒。しかし、安易なパスワードにされても困るので、変更できないように制限しておく。

プリンタ

プリンタの設定を制限するを有効にする。プリンタの削除などされては混乱する。プロパティだけは変更できないと困ることもあるだろう。

システム

[システム]コントロールパネルを制限するを有効にする。

デスクトップ・ネットワーク

デスクトップは上記「画面」と同様制限しない

ネットワークについては制限する必要がない。ここの「ネットワーク」はクライアントがサービスをする場合のもので、そもそもサービスをしないように設定し、変更を制限すればよい。

シェル

「制限」の中の[ネットワークコンピュータ]を隠すのみチェックしている。当初同一セグメントにあった教師のコンピュータを見せないためであった(アクセスはできなかった)が、生徒用サーバーが２つになり、サーバーを選びサービスを選ぶということが煩わしい。ホームディレクトリはマイドキュメントからアクセスするようにしたし、shareもネットワークドライブとして接続しているので見せる必要がない。

その後個人のウェブページ公開用のディレクトリを作ったが、ここには \\joel\public として「名前を指定して実行」をするか、デスクトップなどにショートカットを作るようにしている。

システム

レジストリ編集ツールを使用不可にするを有効にする。レジストリ編集ツールを使用すると、ここのシステムポリシーを含め全部の制限を無効にできる。もっともログオンするたびにシステムポリシー（で指定された項目）は有効になるからそのたびに編集する必要がある。

逆にこれを制限する場合（ぜひした方がよいが）必要になるたびにシステムポリシーを変更してからログインしなければならなくなって面倒である。制限のないユーザーを作っておいてそれでログインすればかなり楽になる。

シングルMS-DOSモードを使用不可にするを有効にする。OSの設定に深く関わるモードは隠す。

通常のユーザーのポリシーの一覧

■チェックを入れる　　□灰色のまま

特権ユーザー admin

通常のユーザーで制限したものを解除した特権ユーザーをつくっておくと便利。

新規でユーザーを加えて、通常のユーザーと同様の項目にしていしていく。このユーザーはログオンするまでにはサーバーにも登録しておかなければならない。やりかたはhogeと同じ。

通常のユーザーでチェックを入れた項目（上の表で■）のチェックをはずして、白い□にする。灰色では解除されないので注意。（通常のユーザーでチェックを入れないものは灰色でかまわない）

通常のコンピュータ

ユーザー別でなく機械固有の設定の制限。制限というよりメンテナンスに近い

「ユーザー別の設定を使う」などいくつかの設定は個々のコンピュータでGUIで設定できたり、レジストリで設定できるので、ここに指定する必要がないのかも知れない。もちろん、変更されたものを元に戻す働きはある。メンテナンスのため一度はずして戻し忘れることも考えられるので念のために指定しておく。

また逆に、ここに指定することで個々のコンピュータは一度ドメインログオンさせさえすれば必要な設定が終了するということもできるはず。（あまり機会がないのできちんと検証できていない）

ネットワーク

アクセスの管理

「ユーザーレベルのアクセス管理」は個別のクライアントでも指定している。

ログオン

「Windows Access ネットワークからの検証が必要」をしておくことで次のようなトラブルが防止できる。お勧め。

ESCやキャンセルでユーザー名を入れずにコンピュータを使うことを防ぐ
ユーザー名を間違えてそのままローカルにログインしてしまうのを防ぐ

ネットワーク資源は使用できないが、はじめはそれに気づかず、保存する時に拒否されるなどのトラブルになる可能性がある。また、システムポリシーが有効にならずシステムに危害を加えられる可能性がある。

Microsoftクライアント(Windows Network)

Windows NT にログオンするを指定することで、システムポリシーやlogon.bat、移動プロファイルが有効になる。個別のクライアントでもやっている。

システム

「ユーザー別の設定を使う」は個別のクライアントでもやっている。

「一度だけ実行」では、ログオン時に実行するプログラムの指定ができる。「実行」はログオンのたびに実行するように設定され、「一度だけ実行」は一度実行すると設定が消えるので次にログオンした時には実行されない。しかし、ログオンのたびにこのシステムポリシーにより「一度だけ実行」にプログラムがセットされるので結局一度だけでなく毎回実行される。Windows98SEでは「実行」で運用していたが、WindowsMeでは不具合が出て、「一度だけ実行」で運用した。

この一度だけ実行するプログラムは、WindowsScriptingHost(WSH)で動かすjavascriptのプログラムを指定している。スクリプトプログラム名は joel.js 場所は logon.bat と同じ、\\joel\netlogon である。wscript がWSHを実行するプログラム。

WSHによるスクリプトはバッチファイルのようなものだが、Windows9Xのバッチファイルはユーザー名や環境変数を参照できなかったりできることが限られている。WSHではデスクトップにショートカットを作ったり、レジストリを設定したりと便利に使える。これについてはまた後ほど。

図では「起動時」となっているが「ログオン時」である。

通常のユーザーのポリシーの一覧

■チェックを入れる　　□灰色のまま/場所により灰色が選択できないものもあり、その場合は白。