いろいろやってみるにっき

なんとか自分の会社を立ち上げるところまで漕ぎ着けた、てきとーに生きている奴の日記

関連記事を探すときは、読んだ記事と同じカテゴリをクリックしてください。

記事のカテゴリは記事タイトル下に表示されています。カテゴリ一覧はサイドバーにあります。


【Windows XPサポート終了対策】グループポリシーでWindows XPをドメインログインさせないアイディア

多分、血圧乱高下。ふらふらする。血圧測るたびに高かったり低かったり(挨拶)。次回の通院予定が木曜日なので、木曜日に医師の診察始まるまでは持って欲しい。やばい。

 

WindowsXPからの通信をProxyサーバでブロック その1 (squid)|あいらぶLinux♪ を見て、そうかなるほどと思いインスパイアされて考えたネタ。これのためにWindows Server 2008 R2 SP1の評価版をインストールしたりしたけど、体調悪いのできっちり検証するところまではできていない。というか、体調的に無理なので無理しない。

 

アイディアは題名通り。

多くの企業はクライアントPCはWindowsがメインなので、一定規模以上の企業・事業所はActive Directoryを建て、Active DirectoryでクライアントPCとユーザを管理しているはず。そしてオレが最良のWindows XPと呼んでいるWindows Server 2003 R2も延長サポート終了は2015/07/14。

きちんとした企業ならActive DirectoryのサーバをWindows Server 2008系かWindows Server 2012系に上げ終わっているか、上げる計画中のはず。というわけで今回のスクリーンショットはメインストリームとなりそうなWindows Server 2008 R2で取得。

 

Windows PCをWorkgroupのまま社内ネットにつながせて、ユーザとアプリケーションの管理をLDAPでやっているという企業は今回の対象外。Active Directory(以下、打つのがつらいので以下AD)で管理している企業のみに通用する手。

 

ADの場合グループポリシーによって、組織やユーザ、PCなどをポリシー制御できる。なので、Windows XPドメインログインしようとしたら、GPOからログインスクリプトを適用、スタートアップスクリプト内にシャットダウンかログオフするコマンドを書いておけば、当該ADの範囲内ではWindows XPが使えないだろうというもの。

もちろん、WorkgroupログインではWindows XPの起動・ログインが完了するので、その他の穴も塞ぐ必要がある。WindowsXPからの通信をProxyサーバでブロック その1 (squid)|あいらぶLinux♪ なども有効だし、その他にもいくつか手は考え付く。一般業務でWindows XPを使う必要はないわけで、こういう設定をしておけばより安全だろう。毎度言っているような気がするが、Windows XPを守れないということは、Windows XPを踏み台にした社内ネットワーク・サーバへの攻撃というパターンもあるので、きちんとリスクコントロールしていないWindows XPが社内ネットワークに存在することがまずい。

 

まず、GPOの設定。今回は全く何も設定していないADだったので、スターターGPOから。

f:id:shigeo-t:20140310090307p:plain

f:id:shigeo-t:20140310090356p:plain

Windows XP SP2 ECユーザで新しいGPOを作る。

f:id:shigeo-t:20140310090423p:plain

GPOを編集する。

f:id:shigeo-t:20140310090459p:plain

グループポリシー管理エディタが開く。

f:id:shigeo-t:20140310090538p:plain

 

ここにあるようにOSを指定できるので、特定OS(今回はWindows XP)だけにスタートアップスクリプトを仕込むことが可能。

f:id:shigeo-t:20140310091253p:plain

 

あと、シャットダウンかログオフをするのはshutdownコマンド。ヘルプはこんな感じ。/lでログオフ、/sでシャットダウン、/fで強制。

f:id:shigeo-t:20140310091412p:plain

 

 

おまけ。Windows Updateだけで相当時間食ったw。AD分まで入れて総計159個。VMware Playerで作ったとはいえ、ホストはThinkPad W520の8コア24GBで速い部類だし、SSDでディスクI/O速いし、インターネット接続も10Mbps出ているのに、1時間半くらい。時間掛かり過ぎてワラタ。そろそろ次のサービスパック出していいんじゃねーの、Windows Server 2008 R2

f:id:shigeo-t:20140310092247p:plain

f:id:shigeo-t:20140310092300p:plain

f:id:shigeo-t:20140310092334p:plain

f:id:shigeo-t:20140310092345p:plain