「ほっ」と。キャンペーン
タグ:グループポリシー ( 24 ) タグの人気記事
グループポリシーでWindows7のタスクバーを自動的に隠す設定をしたかったけど...

Windows7でタスクバーを最小化にする方法ですが、普通は「タスクバーとスタートメニューのプロパティ」から「タスクバーを自動的に隠す」にチェックするだけです。

これをグループポリシーで一括設定したいと思いました。

WindowsVista,7以降はグループポリシーの設定項目が増えたので、GPOの[ユーザの構成]→[ポリシー]→[管理用テンプレート]→[タスクバーとスタートメニュー]にあるかなと思ったんですが、どうも見当たりません。

仕方ないので、レジストリから設定するかと思って設定前と後のレジストリの差分を取ったんですが、どうやらバイナリで設定されているらしく簡単には設定変更できそうに有りませんでした。

で、いろいろググったところ、Windows Xpにて「タスクバーを自動的に隠す」機能ON/OFFの手順簡.. - 人力検索はてなの回答で以下のVBSが記されていました。

Option Explicit
Dim shell, i
Set shell = CreateObject("WScript.Shell")
shell.Run("rundll32.exe shell32.dll,Options_RunDLL 1")
Do Until shell.AppActivate("タスク バー")
Wscript.Sleep 100
If i > 10 Then Wscript.Quit
i = i + 1
Loop
shell.Sendkeys("%U{ENTER}")


上記のVBSは、ほんとにタスクバーとスタートメニューのプロパティを表示してショートカットキーで自動最小化の設定を有効にしているようです。
なので、もう一度実行すると、設定が解除されます。

プロパティウィンドウが表示されるので、見苦しいですが、他にいい方法は見つかりませんでした。
グループポリシーのログオンスクリプトに設定して、1回だけ実行してやるといいかもしれません。

グループポリシーで、1回だけバッチやスクリプトを実行するには、WindowsServer2008やVista,7ではこれ、結構使えます。グループポリシー基本設定 - Windows Server 使い倒し塾 - Site Home - TechNet Blogsが参考になります。
WindowsServer2003,XPのグループポリシーの場合、MSサポート:ログオン スクリプトの実行を新規ユーザーの初回ログオン時に限定する方法が参考になります。


参考:
Windows のタスクバーを完全に消す - by edvakf in hatena タスクバー自体を隠してしまう場合は、APIで設定できるようです。
[PR]
by Jehoshaphat | 2013-03-27 22:37 | 豆知識 | Trackback | Comments(0)
Windows7でクラシック表示にするグループポリシー
Windows7のAeroを無効にして、クラシック表示にするためのグループポリシーの設定です。

[ユーザの構成]→[ポリシー]→[管理テンプレート]→[コントロールパネル]→[特定の視覚スタイル ファイルを強制するか、または Windows クラシックを強制する]の設定を、有効 にして、[視覚スタイルファイルへのパス]を空欄にするといいようです。

ただし、Aeroが無効になっただけで、Windowsクラシックスタイルになっていない場合もありました。

そういう場合はテーマファイルを[視覚スタイルファイルへのパス]に指定してやると言いようなんですが、WindowsクラシックスタイルのテーマファイルをWindows7は持ってないようです。

なので、[個人設定]のウィンドウから、[Windowsクラシック]テーマを選び、テーマの保存を行います。
すると、C:\Users\ユーザ名\AppData\Local\Microsoft\Windows\Themas フォルダにテーマファイルが作成されます。
このテーマファイルを共有フォルダに置くなりして、そのパスを[視覚スタイルファイルへのパス]に指定してやることができます。
[PR]
by Jehoshaphat | 2013-03-26 22:36 | 豆知識 | Trackback | Comments(0)
グループポリシーでWindows7のアクションセンター非表示にする
グループポリシーで、Windows7のアクションセンター(バックアップできてねーよとか問題あるぞとかタスクトレイで通知するお節介な機能)を非表示にする方法です。

[ユーザーの構成]→[管理用テンプレート]→[タスク バーと スタート メニュー]→[アクション センター アイコンを削除する]を有効にするといいようです。

参考:
TechNet:アクション センターのグループ ポリシー設定
アクション センター - Windows 7 の機能 - Microsoft Windows
[PR]
by Jehoshaphat | 2013-03-26 22:35 | 豆知識 | Trackback | Comments(0)
グループポリシーでUACを無効にする
グループポリシーでWindows7,VistaのUAC(ユーザーアカウント制御)を無効にする方法です。

[コンピュータの構成]→[Windowsの設定]→[セキュリティの設定]→[ローカルポリシー]→[セキュリティオプション]→[ユーザーアカウント制御:管理者承認モードですべての管理者を実行する]の値を 無効 にすればいいようです。

コンピュータの構成なので、ドメイン全体のGPOの設定するか、OUを作って、そのOUにコンピュータオブジェクトを追加する必要があります。

参考:
Windows Vista の UAC(ユーザーアカウント制御)機能を無効にしたい
[PR]
by Jehoshaphat | 2013-03-25 22:34 | 豆知識 | Trackback | Comments(0)
WindowsServer2003のドメインコントローラでWindowsVista,7用のグループポリシーを使いたい
WindowsServer2003のドメインコントローラでActiveDirectoryドメインを構成しています。(ADのモードはWindows2000混在)
このドメインにWindows7搭載のPCが参加することになりました。

WindowsVista以降はグループポリシーの設定項目が増えたと聞いていたので、そのグループポリシーをWindowsServer2003のドメインコントローラで利用できるようにする方法です。

結構厄介かな と思ってましたが、やってみれば非常に簡単でした。

参考にしたのは、機能が向上したWindows Vistaのグループ・ポリシー:@ITと、Windows Server 2003 Windows Vista 対応のグループポリシーを利用する方法です。

概要としては、Windows7のPCにあるGPOの管理テンプレートを、ドメインコントローラのSYSVOLに置くだけです。
GPOの編集は、クライアントツールをWindows7が動いている端末(おそらくVistaや2008でも可だがXPや2003はNGかと..)にインストールしてそこから行います。


管理テンプレートの設置
Windows Server 2003 ドメインコントローラ上も中央ストアとなる%SYSTEMROOT%\SYSVOL\domain\policiesフォルダ内に Policydefinitions フォルダを作成し、PolicyDefinitionsフォルダの中に ja-JP フォルダを作成します。

クライアントである Windows7(またはVista) の %SYSTEMROOT%\PolicyDefinitions\ja-JP フォルダ内のファイルを、%logonserver%\SYSVOL\%userdnsdomain%\policies\PolicyDefinitions フォルダ内のコピーします。(ドメイン管理者でログオンしておかないとコピー出来ないかもしれません)

同様に、クライアントの %SYSTEMROOT%\PolicyDefinitions\ja-JP フォルダ内のファイルを、%logonserver%\SYSVOL\%userdnsdomain%\policies\PolicyDefinitions\ja-JP フォルダ内のコピーします


ポリシーの設定
上記で中央ストアに追加した分のGPOの編集や設定は、WindowsServer2003上からは行えません。
Windows7上にRSAT(リモート サーバー管理ツール)をいれてそこから行う必要があります。


RSATはhttp://www.microsoft.com/downloads/ja-jp/details.aspx?displaylang=ja&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997dからダウンロードできます。

ダウンロードしたMSUファイルをダブルクリックで、インストールし再起動します。
その後、コンパネの[プログラムと追加]で、左ペインの[Windowsの機能の有効化または無効化]で、[リモートサーバ管理ツール]で[グループポリシー管理ツール]にチェックを入れます。

これで、Windows7の端末にドメイン管理者でログオンし、管理ツールにある[グループポリシー管理ツール]から、GPOの設定ができます。
かなり細かい部分まで設定できるようになっているので、かゆいところにも手が届きそうですね。

※グループポリシー管理ツール(GPMC)をWindowsServer2008R2に追加する場合は、サーバマネージャの機能の追加で[グループ ポリシー管理コンソール]を選んで追加すればいいようです。



参考:
Windows Server 2008をリモートから管理するツール(RSAT)
シナリオ 2: ADMX ファイルを使用したドメインベースの GPO の編集
Windows7でサーバー管理ツール(RSAT)を使う方法(Gpmc等)-教えて!HELPDESK
TechNet:GPMC をインストールする(WindowsServer2008の場合)
[PR]
by Jehoshaphat | 2013-03-25 22:27 | サーバがらみ | Trackback | Comments(0)
Javaランタイム(JRE)をグループポリシーで自動展開したい
Adobe FlashPlayerやReaderをグループポリシーで展開しようとすると、入手が面倒だったり、MSIとMSPがあったりと厄介でしたが、Javaはすんなり行きました。

手順は、Active Directory を使ってネットワーク経由で Java を配布する方法に書いてくれています。

全オペレーティングシステムの Java のダウンロード一覧からWindowsオフライン用インストールファイルをダウンロードし、実行します。
すると以下のテンポラリフォルダにMSIファイルが解凍されるのでそれを、グループポリシーの[ソフトウェア]インストールで設定するだけでOKでした。
・Windows Vista,7
C:\Users\ユーザー名\AppData\LocalLow\Sun\Java\jreバージョン名\jreバージョン名.msi
・Windows XP/2000
C:\Documents and Settings\ユーザー名\ApplicationData\Sun\Java\jreバージョン名\jreバージョン名.msi


参考:
Java のサイレント (無人) インストールの方法 バッチファイルで展開する場合はこのオプションが役立ちます。
[PR]
by Jehoshaphat | 2013-03-20 22:09 | 豆知識 | Trackback | Comments(0)
Adobe Flash Playerをグループポリシーで自動展開したい
グループポリシーの[ソフトウェア]インストール
AdobeReader Xをグループポリシーで自動展開したいと思ったけど。。でAdobeReaderの展開方法を書きました。かなり厄介でした。
今回はFlashPlayerの展開方法です。

これは簡単でした。

再頒布できるインストーラファイルを手に入れようとするには、アドビ - Flash Playerライセンスから申し込みをします。

そして、Adobeから送られてくるメールにあるURLをつついて、ダウンロードページに飛びました。
FlashPlayerの場合、AdobeReaderのようにメジャーバージョンだけMSIと言うことは有りません。
すべてのバージョンがMSIが提供されているので、それをダウンロードしてグループポリシーの[ソフトウェア]インストールで設定するだけでOKでした。


スクリプトを使ってサイレントインストール(自動更新もついでに無効)
Adobeから入手した再頒布インストーラファイルには、MSI形式以外にもexe形式のものもあります。
このexeタイプのインストーラをサイレントインストールする方法ですが、Adobe Flash Player 10.1をサイレントインストールする方法 - http://pnpk.netに載ってました。
/install もしくは -install をつければいいようです。

install_flash_player_11_active_x_32bit.exe /install


また、スクリプトを使って自動更新を無効にする方法ですが、Adobe:IT 管理:Flash Player 自動更新の設定によると、インストール先(x86 %WINDIR%\system32\Macromed\Flash\ , x64 %WINDIR%\SysWow64\Macromed\Flash)に、mms.cfg というファイルを作成し、その中にパラメータと値を指定してやればいいようです。
(2012年3月末にリリースされた11.2からは バックグラウンド自動更新機能が追加されました。それまではいちいちログオン時に更新通知が開いてユーザが手動でアップデートする必要がありましたが、11.2以降はその必要はないようです。)
パラメータと値は以下のとおりです。

AutoUpdateDisable=1
SilentAutoUpdateEnable=0


もし、バックグラウンドで通知を出さず自動更新させる場合は以下のようにします。

AutoUpdateDisable = 0
SilentAutoUpdateEnable = 1


更新通知のみをユーザに通知するには以下のようにします。

AutoUpdateDisable=0
SilentAutoUpdateEnable=0
AutoUpdateInterval=0 (更新チェック間隔 デフォor-1:7日 0:OS起動時 n:n日)


ただ、FlashPlayer11はDirectX9.0以上が必要なようです。
DirectX9.0未満だと、インストール時に「d3d9.dllが見つかりません」というようなエラーになります。
AdobeのページにはXP,IE7以上しか書いてませんが、IE6でもAcitveX版Flashはインストールできました。
ちなみに、XPでもSP2を当てると、DirectX9になります。
ということで、スクリプトにXP SP2以上かどうかという条件を加える必要があるかと思います。


FlashPlayerのバージョンですが、以下のレジストリから取得できるようです。
HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayer\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayerActiveX\Version
HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayerPlugin\Version


参考:
ttp://www.adobe.com/special/products/flashplayer/fp_distribution3.html
Flash Playerの自動更新間隔をカスタマイズする: べつになんでもないこと
Flash Playerのバージョンを調べる - @IT
Flash Playerをバックグラウンドで自動更新させる - @IT
Flash Player の自動更新について - 特に重要なセキュリティ欠陥・ウイルス情報
[PR]
by Jehoshaphat | 2013-03-20 21:46 | 豆知識 | Trackback | Comments(0)
AdobeReader Xをグループポリシーで自動展開したいと思ったけど。。
(※AdobeReaderX時代に書いたメモですが、XIでも基本的には同じだと思います。)
最近よく脆弱性をつつかれるようになったAdobeReaderですが、最新版のXを自動的にドメイン参加している端末に展開したいというのが今回の要件です。

これが思いの他ハマリました。

インストーラの入手
まず、最近のAdobeは再頒布できるインストーラファイルをダウンロードさせないようになっています。
再頒布できるインストーラファイルを手に入れようとするには、Adobe Readerの配布から申し込みをしないといけません。

さて、申し込みが終わって、Adobeから送られてくるメールにあるURLをつついて、ダウンロードページに飛びました。
OS,言語、バージョンを選びインストーラファイルをダウンロードしたのですが、このインストーラファイルはexe形式でMSIファイルでないのです。
exe実行時にファイルを解凍してるっぽいのでテンポラリフォルダ覗いたんですが、MSIファイルが見当たりません。

MSIファイルでないとグループポリシーの[ソフトウェア]インストールの機能が使えません。
(グループポリシーの[ソフトウェア]インストールの機能を使わず、バッチでインストールするには、このexeタイプのインストーラでも可能です)


で、途方にくれてぐぐってみたら備忘録 : Adobe Reader X のmsiパッケージのダウンロード方法に情報が。。
ftp://ftp.adobe.com/pub/adobe/reader/win/10.x/10.0.0/ja_JP/ で10.0のMSIとexeが公開されているようです。
また、http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windowsのページにある、[Adobe Reader MUI 10.1 - Multiple Languages]のリンクからもマルチランゲージ版がダウンロードできるようです。(ZIP内に10.0のMSIと10.1のMSPが入っています)

ただ、AdobeはMSIファイルはメジャーバージョン毎にしか出さない方針のようです。
それ以降のアップデート(10.1とか、10.1.1とか)はMSPファイルで提供しています。残念なことにこのMSPファイルは、グループポリシーの[ソフトウェア]インストールの機能では配布できないんですよね。
ですので、結局アップデートをかけようとするとバッチに頼るしか無いんですよね。
MSPファイルのダウンロードですが、上記にも書いたhttp://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windowsの[Updates/Programs]以下からダウンロード可能です。


インストール(MSI,MSPは断念)
さて、インストールですが、MSIファイルはグループポリシーの[ソフトウェア]インストールで簡単に配布できます。

面倒なのが、MSPファイルによるアップデートですね。
これは既に書いたように、グループポリシーの[ソフトウェア]インストールで展開できません。
なので、ログオンスクリプトでバッチから実行するしか無いでしょう。
先ほどダウンロードサイトの参考先として取り上げたブログの備忘録 : AdobeReader9.4.1をグループポリシーでインストールを参考にしてバッチファイルを作って見ました。
しかし、どうもうまく行きません。1642のエラーコードが返ります。1642エラーはWindows インストーラ プロセスのエラー コードおよびエラー メッセージ一覧によると、アップグレード修正プログラムをインストールできません。アップグレードするプログラムがないか、またはバージョンが異なる可能性があります。アップグレードするプログラムがこのコンピュータにあり、アップグレード修正プログラムが正しいかどうかを確認してください。という意味のようです。

Adobe Readerをサイレント・インストールする - @ITの[Adobe Readerのパッチの自動インストール]の部分を参考にし、start /wait msiexec.exe /passive /norestart /update "\\sv\share\AdbeRdrUpd1011.msp" /log "%windir%\AdbeRdrUpd1011.msp.log" としてみましたが、これもダメでした。


インストール(exe編)
結局、再頒布版のexeをバッチでインストールすることにしました。
再頒布のexeに以下のように /? スイッチを入れると使える引数が表示されます。
AdbeRdr1011_ja_JP.exe /?
e0091163_21433756.jpg



結局、バッチファイルで以下のコマンドを実行させるようにしました。

AdbeRdr1011_ja_JP.exe /sAll /rs /rps /l

グループポリシーのログオンスクリプトに設定するのであれば、ログファイルをチェックし、それが無ければ実行、あればスキップみたいな形にする必要があるかと思います。
これに関しては機会があれば書きたいと思います。。

また、サイレントインストールオプションにしても、exeから解凍中の画面は表示されてしまいます。



参考:
Adobe Readerをサイレント・インストールする - @IT
Adobe Readerの再配布版(スタンドアロン・インストール版)を入手する - @IT
MSIファイルをActive Directoryのグループ・ポリシーでインストールする - @IT
アップデートと配布に関する情報(Acrobat/Adobe Reader X)
Adobe Reader 9の無人インストール - ThanksgivingSoftの日記
ttp://get.adobe.com/jp/reader/enterprise/


追記:
カスタマイズツールを使うと、いろいろカスタマイズの設定したAdobeReaderインストールパッケージが作れるようです。
詳しくは、カスタマイズしたAdobe Reader Xのインストーラの作り方 - 自動アップデートなどを無効にしたり、インストール後のEULAを非表示にしたり。カスタマイズしたAdobe Readerのインストールパッケージの作り方 - 自動アップデートなどを無効にしたり、インストール後のEULAを非表示にしたり。を参考に。

Adobe Acrobat 9/Adobe Reader 9(Windows 版)インストーラのカスタマイズも参考になると思います。



さらに追記:
上述でMSPでのアップロードができないと書いてましたが、できました。
その後いろいろ調査していたら、http://kb2.adobe.com/jp/cps/839/cpsid_83982/attachments/Acrobat_Enterprise_Administration_J.pdfに詳しい情報が載っていました。

コマンドでインストールする方法を以下にまとめてみました。

まず、MSI,MSPファイルの用意ですが、get.adobe.com/jp/reader/enterprise/からダウンロードできる exe からMSI,MSPファイルを抽出することができます。(もちろん既出のサイトから個別にダウンロードしても構いません)

msi,mspを抽出するにはコマンドで以下のように指定します。

AdobeReader10の場合
AdbeRdr1013_ja_JP.exe -sfx_ne -sfx_o"C:\adobereadertmp"

AdobeReader9の場合
AdbeRdr950_ja_JP.exe -nos_o"C:\adobereadertmp" -nos_ne

9と10では解凍に使うオプションが違います。
以下のオプションが使用可能です。

9.x用  10.x用
-nos_ne -sfx_ne :解凍後にファイルを実行しない。 このスイッチは、ユーザーがインストーラーのコンテンツのみを抽出し、インストーラーを実行したくない場合に使用。
-nos_nd -sfx_nd :解凍後後にファイルを削除しない。(-r スイッチを上書き)。-r スイッチは、既存フォルダーを使用し、追加の抽出フォルダーを作成せずに同一のフォルダーに抽出ファイルを上書。
-nos_o  -sfx_o : 展開されたパッケージのコンテンツが置かれるフォルダー名を指定。フォルダー名は引用符で囲む必要がある。既存のフォルダーを使用しないことをお勧めします。また、「-nos_o」の後にスペースがないようにします
     -sfx_va : 成果物の解凍を検証します。

AdbeRdr1013_ja_JP.exe を解凍した場合、"AcroRead.msi"がベースとなるインストーラで、"AdbeRdrUpd1013.msp"がアップデート用の差分MSPパッケージになるようです。


次に、MSIファイルからインストールを行います。以下のような感じで指定します。

start /wait msiexec /i AcroRead.msi /passive /norestart /l "%windir%\AdbeRdr.log" ALLUSERS=TRUE EULA_ACCEPT=YES SUPPRESS_APP_LAUNCH=YES

そして /update オプションでパッチのmspファイルをインストールします。
AdobeReader10の場合は AcroRead.msi がインストールされていれば、パッチは最新の分だけ適用したので構いません。
(9の場合は試してないのでわかりませんが、もしかすると9.4.1 , 9.4.2 というふうに順々にアップデートしないといけないかもしれません)

start /wait msiexec /update "AdbeRdrUpd1013.msp" /passive /norestart /l "%windir%\AdbeRdrUpd.log" ALLUSERS=TRUE EULA_ACCEPT=YES SUPPRESS_APP_LAUNCH=YES

start /wait はインストールが終わるまでコマンドの実行を待つ意味なので、バッチファイルで実行するときはこのオプションを付けたほうが良いですね。
WindowsInstaller各オプションは以下のような意味になるようです。

/i : ベースとなるパッケージインストーラ(msi)を指定します。
/update : アップデート用のパッケージファイル(msp)を指定します。
/passive : インストールを自動実行。対話は不要だが進行状況が表示される。
/quiet : インストールを自動実行。対話は不要だが進行状況が表示されない(完全サイレントインストール)。
/norestart : 再起動が必要であっても最起動しない。
/l : ログを指定したパスに保存。
ALLUSERS=TRUE : すべてのユーザにインストール。
EULA_ACCEPT=YES : EULAに同意。(これにより初回起動時に使用許諾の同意画面が非表示になる)
SUPPRESS_APP_LAUNCH=YES : インストール後にAdobe Readerがすぐ起動されるのを防ぐ。


なお、アップデートパッチですが、get.adobe.com/jp/reader/enterprise/ からダウンロードしてインストールしたものは MUI 版じゃないとアップデートできませんでした。
多分ベースのインストールパッケージがMUI版だったためと思われます。
[PR]
by Jehoshaphat | 2013-03-19 21:41 | 豆知識 | Trackback | Comments(0)
グループポリシーが使えないPCでプロキシの設定変更を禁止する
企業向けエディションでないWindowsを使っている場合、グループポリシーが使えません。
そのような場合で、IEのプロキシの設定変更を禁止するレジストリキーをメモしておきます。


・ユーザ個別でIEのプロキシの設定を書き換えできないようにグループポリシーで設定。
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
・すべてのユーザーでIEのプロキシ設定変更を禁止
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel

上記のキーにDWORD値で「Proxy」を作成し「1」に設定。(0にした瞬間設定変更有効となる)

[PR]
by Jehoshaphat | 2013-01-04 01:24 | 豆知識 | Trackback | Comments(0)
IE8で初期ウィザード無効にグループポリシー設定
IE7やIE8を入れたPCで、初めてIEを起動すると、[Windows Internet Explorer8 のセットアップ]というウィザードが立ち上がり、いろいろ設定しないと使わせてくれません。

これをグループポリシーで無効にする方法ですが、以下の設定からできるようです。

GPOの [ユーザーの構成]→[管理用テンプレート]→[Windowsコンポーネント]→[Internet Explorer]→[最初の実行時のカスタマイズの設定を実行できないようにする] を有効にするといいようです。

この時、ユーザのホームページへ移動するのか、InternetExplorerへようこそWebページに移動するのかを選べます。
[PR]
by Jehoshaphat | 2012-12-09 00:57 | 豆知識 | Trackback | Comments(0)