連載
» 2012年03月01日 00時00分 公開

Windows Thin PCで本格的なシンクライアントを実現する:第3回 Windows Thin PCのセキュリティ強化と統合管理 (3/3)

[小川大地(Microsoft MVP for Virtual Machine),日本ヒューレット・パッカード株式会社]
前のページへ 1|2|3       

 最後に、大量のWinTPCを運用していく際に有用なノウハウをいくつか紹介する。

シャドウイングで遠隔メンテナンスの実現

 「シャドウイング」とは、エンドユーザーが利用している画面(セッション)に多重接続して画面を共有する機能だ。例えば、エンドユーザーから「VDI環境に接続できない」といったトラブル報告があった場合に、シャドウイングを利用して対象端末にリモート接続すれば、担当者が現地に出向かなくとも自席から早急に対処できる。特に、エンドユーザーとヘルプデスクが地理的に離れている場合では、対応時間や移動コストなどさまざまな面で効果的だろう。

 WinTPCには、Windows標準のリモート・アシスタンスが搭載されており、ヘルプデスク担当者とチャットで会話しながらシャドウイングによる遠隔メンテナンスを実現できる。また、エンドユーザーとの画面共有なしで単に遠隔操作だけ行いたい場合は、より手軽なリモート・デスクトップも利用可能だ。

リモート・アシスタンスによるシャドウイング
WinTPCはリモート・アシスタンスやリモート・デスクトップを受け入れることができる。そのため、ヘルプデスク担当者は地理的に離れていても、エンドユーザーと画面を共有しながらWinTPCマシンを対話的にメンテナンスできる。
  (1)このボタンをクリックすることにより、表示中のユーザー画面を遠隔操作できる。

修正プログラムの適用

 他のWindows OSと同様に、WinTPCにも修正プログラム(パッチ)が提供される。パッチは単なる不具合や脆弱性の修正というだけではなく、新しい規格への対応や、リリース時には存在しなかった脅威への対策という面もあるので、きちんと提供される方が安心だ。もちろん、シンクライアントに特化しているため、通常のWindows 7と比べれば、パッチの数やサイズ、提供頻度は少ない。パッチの適用には、他のWindows OSと同じく、Windows UpdateやWindows Server Update Services(WSUS)が利用できる。

WinTPCはWindows UpdateやWSUSに対応している
  (1)WinTPCにおけるWindows Updateの画面。他のWindows OSと同様に、WinTPCでもWindows UpdateやWSUSによるパッチの自動更新を利用できる。
  (2)Windows 7用ではなく、Windows Embedded用のコンパクトなパッチが適用される。

 一点注意が必要なのはライト・フィルタの扱いだ。ライト・フィルタが有効の場合、ディスクがRead Onlyであるために、パッチを適用しても再起動すると元通りに戻ってしまう。きちんとディスクに反映させるためには、ライト・フィルタをいったん解除してからパッチを適用しなければならないが、それには管理者権限が必要になるし、1台1台解除したり設定したり非現実的だ。

 マイクロソフトはこのようなシナリオも想定して、Windows Update/WSUSとライト・フィルタの両方を共存させるための簡易スクリプト「WUS-WF」を用意している。

 このスクリプトは、前回のKIOSKモード化で紹介したラッパー・プログラムに似た仕組みを提供する。Windows Updateのスケジュール機能の代わりに、手順書に従ってこれらのスクリプトをタスク・スケジューラに登録・設定すると、修正プログラムの適用に合わせてライト・フィルタの有効化/無効化と、設定変更のための再起動を自動制御してくれる。

運用中の設定変更

 メンテナンス・フリーで運用していても、設定変更を強いられることもある。「接続ツールのバージョンアップ」や「会社のセキュリティ・ガイドラインの変更」、「一時的にUSBメモリの利用を許可したい」など、その理由はさまざまだ。状況に応じて対応手段はそれぞれであるため、カットオーバーの前にいくつかパターンと対策案を考えておきたい。

  • どのくらいの台数のPCが対象か?
  • 何処に設定されているか?
  • Active Directoryで管理しているか?

(方法1)マスタを修正してから再度複製し直す
 PCの台数が少ない場合は、個別の設定変更にとらわれず、マスタを修正してから再複製(再展開)した方が結果的に早く解決できることがある。他のWindows OSと違って、WinTPCはPCに個人データを保管しないため、データを移行したりバックアップ/リストアしたりする必要がないからだ。

(方法2)レジストリをリモートから編集する
 本連載で説明してきたWinTPCのカスタマイズの多くは、レジストリを編集するものであった。つまり設定変更の大半はレジストリを対象とするものと予想される。そこでWinTPC上でRemote Registryサービスなどを有効にしておけば、そのPCのレジストリをリモートから編集して設定を変更できる(詳細は関連記事を参照)。regコマンドを利用してバッチファイルを作れば、対象PCの台数が多くても編集作業を自動化できるだろう。

(方法3)Active Directoryに参加してグループ・ポリシーを利用する
 WinTPCはActive Directory(AD)に参加できるので、グループ・ポリシー・オブジェクト(GPO)で設定を変更できる。そのため、「レジストリによる設定」「ポリシーによる設定」「アプリケーションのインストール・更新(MSIインストーラー形式のみ)」が自由自在だ。このあたりはWindows OSならではの強みといえる。

System Center Configuration Manager(SCCM)による統合管理

 GPOによる設定変更は非常に便利だが、WinTPCをADに参加させるとなると、管理負担は増加する。メンテナンス・フリーの運用を目指すなら、ワークグループ構成で野放しにしておきたいと考える管理者も多いだろう。

 ワークグループ運用でGPO並みの柔軟な管理を目指すとなると、こればかりは有償製品に頼るしかない。WinTPCを正式サポートし、ワークグループの管理もできる製品としては、マイクロソフトの「System Center Configuration Manager」(SCCM)が挙げられる。SCCMは名前のとおりサーバやクライアントの“構成設定”を一元的に管理する製品で、主に次の機能を利用できる。

  • OSのインストールや展開、修正パッチの適用
  • ソフトウェアの配布やプログラムの実行・レジストリ管理
  • ハードウェア構成や消費電力のレポート・資産管理
  • シャドウイングやリモート管理・電源操作

 シンクライアント・ソリューションは、全社一斉に導入するというケースはまれである。部署ごとに段階導入していくケースが多く、これによって通常のPCとWinTPCのようなシンクライアントが混在する“移行期間”も発生する。SCCMを導入すれば、移行期間中に混在する従来型PCとWinTPCを単一のGUIで統合管理が可能だ。それだけでなく、接続先であるVDI環境のゲストOSも含めて一元的に管理できるメリットも大きな魅力である。

WinTPCを正式にサポートするSystem Center Configuration Manager 2007
SCCM 2007は移行期間中の従来型PCや、接続先のWindows 7仮想PCなどを一元的に管理できる。
  (1)ADに参加していない、ワークグループ構成のコンピュータも管理できる。

Windows Server Insider関連記事 基礎解説「Wake-On-LAN入門

 また、SCCM 2007 R3からは、業務時間外のPCを省電力モードやスリープに移行したり、シャットダウン状態のPCをWake-On-LAN(WOL)を用いて電源投入させたりすることもできる。会議室やフリー・アドレス席、PC教室などに設置する場合に効果的だ。なお、次期バージョンのSCCM 2012が2012年上半期にリリースされる予定である。

Windows Embedded Device Managerでライト・フィルタに対応

 万能に見えるSCCMであるが、現行バージョンのSCCM 2007 R3では、WinTPCを管理するには一点不足しているところがある。Windows Updateの場合と同様に「ライト・フィルタ」に対応していないという点だ。ライト・フィルタを有効にしたWinTPCを管理する場合は、「Windows Embedded Device Manager」(WEDM)というアドオン・パッケージが必要になる。WEDMをSCCMに追加すると、Windows Embedded用のメニューが追加され、修正プログラム適用や各種構成変更の際に、ライト・フィルタを自動制御できるようになる。

SCCMにアドオンされるWindows Embedded Device Manager 2011
これはWindows Embedded Device Manager 2011を組み込んだSCCMの管理コンソール。
  (1)ライト・フィルタ(「書き込みフィルター サービス」)などが追加されていることが分かる。

 最後に、WinTPCの統合管理について比較表を掲載する。SCCM(+WEDM)を購入すれば単一のGUI画面でOS展開から設定変更まで一元的に実行できるが、無償ツールでも複数のツールを組み合わつつ使いこなすことで本運用は十分可能だ。このあたりはコストとのトレードオフといえる。

    無償ツールのみ SCCM(有償)
初期構築 キャプチャ MDT SCCM
展開(DVDメディア) MDT SCCM
展開(USBメモリ) MDT SCCM
展開(ネットワーク) MDT+WDS SCCM
ライト・フィルタ制御 MDT SCCM
運用管理 シャドウイング/遠隔操作 リモート・アシスタンス/リモート・デスクトップ*1 SCCM
電源管理 各種WOLツール*2 SCCM
パッチ適用 Windows Update/WSUS SCCM
ライト・フィルタ制御 WUS-WF SCCM+WEDM
構成変更 レジストリ変更 Remote Registry/GPO*3 SCCM
ソフトウェア追加 GPO*3 SCCM
ライト・フィルタ制御 SCCM+WEDM
WinTPCの統合管理に関するツール比較
*1 リモート・デスクトップはシャドウイング(画面共有)はできない。
*2 基礎解説「Wake-On-LAN入門」で紹介しているようなツールを利用する。
*3 GPOを利用する場合はADに参加させなければならない。


 3回にわたって解説したWinTPCであるが、既存PCを活用して端末費用やライセンス・コストを抑えられる、といったコスト・メリットに話題が集中しがちだ。もちろんコストは最重要だが、Windowsの豊富な機能とWindows Embeddedの魅力の両方を備えた、優れたOSであることにも注目したい。フットプリントが小さいため、5年ほど前に発売されたPCやネットブックPCでも実用的なパフォーマンスで使えるだろう。PCさえ用意できればVDI導入済み企業は無償で利用できる。ぜひ本稿を参考にしてWinTPCマシンを構築し、十分な合格点であることを実感してみていただきたい。

「Windows Thin PCで本格的なシンクライアントを実現する」のインデックス

Windows Thin PCで本格的なシンクライアントを実現する

前のページへ 1|2|3       

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。