Windows Server 2016環境でのOS/アプリの展開と管理Windows Server 2008のサポート終了に備えよ(5)

前回に続き、今回もWindows 10を効果的に活用するためのWindows Server 2016の利用法について、アプリやOSの展開などの観点から解説する。

» 2018年08月24日 05時00分 公開
[国井傑(Microsoft MVP for Directory Services)株式会社ソフィアネットワーク]
「Windows Server 2008のサポート終了に備えよ」のインデックス

Windows Server 2008のサポート終了に備えよ

Office 365 ProPlusの管理

 「更新プログラム」以外のWindows 10コンピュータの管理では、「Officeアプリケーション」のインストール管理がWindows Server 2016では求められることになる。これまでアプリケーションのインストールは「グループポリシー」を利用する方法があったが、「Office 365」で提供されるOfficeアプリケーションでは、「クイック実行(Click to Run:C2R)」と呼ばれる、インターネットからセットアッププログラムをダウンロードし、インストールする方法が採用されている。そのため、C2Rのセットアップは、そのままではグループポリシー経由でインストールすることができない。

 そこで、C2R方式のセットアッププログラムの場合は、あらかじめセットアッププログラムをダウンロードしておき、オフラインでインストールできるようにする必要があるのだ。詳しい設定方法については、別の記事で紹介されているのでそちらに譲るが、ここではグループポリシーを経由してC2R方式のセットアッププログラムを実行する方法を紹介しよう。

 上記記事でも紹介されているように、C2R方式のセットアッププログラムでは、「オフラインインストーラー」を利用することで、あらかじめセットアッププログラムをダウンロードしておくことが可能だ。ダウンロードしたセットアッププログラムは「setup.exe /configure <configuration.xmlのパス>」の形式で指定して実行するが、グループポリシーの「ソフトウェアの設定」は基本的に「msi」形式のセットアッププログラムにしか対応しておらず、「exe」形式は利用することができない。

 そこで、グループポリシーのスタートアップスクリプトを使って、コンピュータの起動時に自動的にOfficeアプリケーションのインストールが開始するように構成する方法をお勧めしたい。

 それには「グループポリシーオブジェクト(GPO)」の編集画面から「コンピューターの構成\Windowsの設定\スクリプト(スタートアップ/シャットダウン)\スタートアップ」にアクセスし、「追加」ボタンをクリックして、用意しておいたスクリプトファイルを指定する。これで、Windows 10コンピュータの起動時にスクリプトファイルが実行され、ファイルに記述されたセットアッププログラムが開始するようになる(画面1)。

画面1 画面1 GPOからスタートアップスクリプトを利用し、セットアッププログラムを実行するように設定したスクリプトファイルを指定した様子

 スクリプトファイルは「メモ帳(notepad.exe)」などで開き、「setup.exe /configure <configuration.xmlのパス>」の1行を記述して、拡張子「.bat」または「.cmd」で保存するだけだ。また、ファイルの保存先は、ドメインコントローラーの「C:\Windows\SYSVOL\sysvol\<ドメイン名>\Policies\...\MACHINE\Scripts\Startup」フォルダにすればよい。

Windows Server 2016とAzure Active Directoryの併用

 オンプレミスのWindows Server 2016は、Active Directoryドメイン環境として利用する企業も多いだろう。Active Directoryは一度のサインイン操作で、社内の全てのサーバにアクセスできるようになる仕組みだが、社内でクラウドサービスを利用している場合は、そのサービスを利用するたびに別途サインイン操作が必要になる。

 このような課題を解決するのが、「Azure Active Directory」(以下、Azure AD)だ。Azure ADは無償でも利用可能なMicrosoftのクラウド認証サービスで、Azure ADに一度サインインするだけで、あらかじめ登録しておいたクラウドサービスへアクセスできるようになる。これにより、毎回ユーザー名/パスワードを入力するサインイン操作が不要になる。

 また、Windows Server 2016でActive Directoryを利用している場合は、Microsoftが提供する「Azure Active Directory Connect」と呼ばれるツールを利用することで、Active Directoryに登録されているユーザー名/パスワードの組み合わせを、そのままAzure ADにコピー(同期)できるようになる(図1)。これにより、Active Directoryにサインインするときと同じユーザー名/パスワードで、Azure ADにもサインインできるようになる。

図1 図1 Azure ADへのサインインには、Windows Server 2016のActive Directoryで使用するユーザー名/パスワードがそのまま流用できる

Windows OSの展開

 社内でキッティング作業を通じてWindows 10コンピュータを作成する際、これまではOSイメージを作成し、展開していた。しかし、前述の通り、機能更新プログラムの登場により、半年に一度はOS自体が変わるため、イメージを再作成しなければならなくなった。その都度イメージを再作成してもよいが、もしイメージに含める設定が複雑でなければ、イメージを作成せず、デフォルトのOSだけを展開しておき、「設定だけ」を後から各OSに展開する方法もある。

 Windows 10では「設定だけ」を展開する方法として、「プロビジョニングパッケージ」と呼ばれる機能が新たにサポートされている。プロビジョニングパッケージでは「Windows構成デザイナー」というツールでWindows 10に対して設定を定義することで、「プロビジョニングパッケージファイル(*.ppkg)」を生成する。

 プロビジョニングパッケージファイルをWindows 10に適用する方法は幾つかあるが、最も簡単なのは、Windows 10コンピュータの「%ProgramData%\Microsoft\Provisioning」フォルダにパッケージファイルをコピーすることだ。この方法であれば、グループポリシーから各クライアントにプロビジョニングパッケージファイルをコピーするように設定、適用できる。

 グループポリシーで特定のファイルをコピーする場合は、GPOの編集画面から「コンピューターの構成\基本設定\Windowsの設定\ファイル」にアクセスし、新しいファイルを作成するようにアクションを設定して、「ソースファイル」にコピー元のプロビジョニングパッケージファイルのパス(以下の画面2では「\\dc\tools共有のWin10.ppkg」ファイルを指定)、「ターゲットファイル」に「%ProgramData%\Microsoft\Provisioning」フォルダとプロビジョニングパッケージファイルの名前(以下の画面2では「%ProgramData%\Microsoft\Provisioning\Win10.ppkg」)をそれぞれ指定する(画面2)。このグループポリシーを適用することでプロビジョニングパッケージファイルがコピーされ、コピーされたファイルを基にWindows 10の設定がカスタマイズされる。

画面2 画面2 GPOの「基本設定」→「Windowsの設定」→「ファイル」を使用すると、ファイルのコピーを設定できる

 なお、Windows構成デザイナーを利用してプロビジョニングパッケージを作成する方法は、以下の記事を参考にしてほしい。

 ここまで、Windows Server 2016を利用してWindows 10を効果的に管理する方法について、幾つかのトピックを紹介してきた。ここで紹介したもの以外にも管理すべき要素はあるが、いずれの場合も従来のWindowsクライアントの管理と同様、グループポリシーが活躍することがお分かりいただけたと思う。

 Windows 10はこれまでのWindowsとは管理方法が大きく変わった。しかし、Windows Server 2016のグループポリシーをうまく工夫して活用することで、Windows 10の管理も簡略化できるようになる。Windows Server 2008のサポート終了(2020年1月)が近づいているこのタイミングを、既存のサーバを見直す良い機会とし、Windows Server 2016で社内クライアントの管理環境を整備していただければと思う。

筆者紹介

国井 傑(くにい すぐる)

株式会社ソフィアネットワーク取締役。1997年よりマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス(AD FS)など、ID管理を中心としたトレーニングを提供している。2007年よりMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。


Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。