構築計画 - トアル電算室ノ業務日誌

■Windows　AD（ActiveDirectory）関係
・AD展開の前にグループポリシーを熟考する必要がある。使用感が大きく変わるので展開後の大幅変更はしたくない。

・もっとADの研究をしないとうまく構築出来そうにないが、実験とユーザからのフィードバックが必要なので、同時並行で今後も何かにかこつけてActiveDirectory参加ユーザをちょこちょこ増やしていく。プロジェクトにしたくない。ちょこちょこ展開がベター。AD移行後はクライアントサイドのトラブルシューティングで相当にマンパワーを必要としそうだから。

・ログインアカウント名は複数あればあるほど利用者の負担が増えるのでなるべく統一したい。そしてアカウント作成担当者が新入社員が入ってくる度に悩むことのないように、機械的に命名できるルールが必要。いろいろ検討してみたのだが、視認性、覚えやすさ、タイプし易さの観点から、姓-名前のイニシャル　例　山田太郎->yamada-t、２人目の山田太郎　山田太郎->yamada-ta、3人目　yamada-tarにするかyamada-tbにするかまだ決めてないけど。　がベストではないかというのが現在の結論。理由は、１　ハイフンはとてもメジャーな記号である、また、表示の際リンクのアンダーラインに埋もれることもないのでアンダーバーと違って見間違えにくい。２　xoopsなどログイン名をハンドルネームとして多用するので、アカウントは見て誰とすぐ分かるものが良い。３　山田太郎　- >yamatar　のような記号なしのID作成も可能だ
が視認性が悪い、誰なのか一瞬戸惑いそう。４　たとえば現在使用中のxoopsはログイン名を多用する。アカウントは見て誰とすぐ分かるものが良い。

・プリンタドライバ置き場やソフトウェア置き場のルール化をしたい。

>と考えたのだが共有ディレクトリに放り込むのではなく社内グループウェア上にアップしたほうが分かり易いのではないかと弊社専務。すでにその環境は社内で構築済み。

・AD上のWin2K3をプリンタサーバにする。
しかし従来の各PCがTCP/IPポートを持って直でデータをプリンタに送信するという方式もサーバダウン時のことを考えると残しておきたい。考え付く選択肢としては、
サーバの信頼性を上げてプリンタサーバ一括管理方式にするか。
サーバの信頼性が上がるまで現状の方式＋プリンタサーバ一括管理の2Way方式で
いくか。
サーバの信頼性が上がっても現状＋プリンタサーバ一括管理の2Way方式でいく
か。　->前回情報企画室ミーティングの結果これでいくことになりそうだな。

・ソフトのインストール作業を楽にしたい。どんなソフトもSNをユーザに知らせ
ることなくインストールすることなんて可能なんだろうか？

・暗号化・パスワードプロテクト機能付きUSBディスクへのアップグレードその
際にデバイスの使用制限をかけたい。
http://itpro.nikkeibp.co.jp/article/COLUMN/20080625/309470/
USB全部ではなく、特定のUSBディスクだけ使用可能にする。これが実装面倒なら
社内ルールで対応しよう、ポリシーadmファイルみたいなのを設定すれば出来る
んだろうか、グループポリシーだけで出来るのだろうか、そもそも「特定のUSB
スティックだけ使用可能」という設定は出来るんだろうか。

↑あだちさんによると、レジストリファイルで配布で出来そう。それが出来なけ
れば、人的ルールで周知させる。旧ディスクから新ディスクへの移行の際、旧
ディスクを宅配便で本社まで送るのはセキュリティー的に甘いと思う。茨城の誰
かに旧ディスクを預かって貰う方が良い。さて誰が預かる？

・USBメモリーへの情報の書き出しを記録する「ログ」をとりたい。
http://itpro.nikkeibp.co.jp/article/COLUMN/20080625/309470/

・ユーザ名は毎回リブート後にログインウィンドウに表示させない（キャッシュ
させない）ようにする。電源入れてユーザ名が解らない方がセキュリティ的によいのではないか。ノート
PCが盗難に遭った際など特に。

・パスワードを一定回数間違えるとアカウントがロックされるようにする。

・厳しいパスワードの命名規則にしたい。パスワード変更は○ヶ月ごとにやらないとアカウントにロックがかかり、アルファベット○文字以上＋記号＋英数字の使用を必須に。

・デスクトップの壁紙　シンプルなものに。

・スクリーンロックと復帰後のパスワード要求。

・パフォーマンス重視のGUIへ。

・ページングファイルの最小値と最大値を同一に。ページングファイルの拡大によるフラグメンテーションを無くする。代わりに、swapパーティションは切らずに済む。

・共有ディレクトリはどうするか？　社内にはNASが点在。集中管理を前提としていない。いままでサーバが安定稼動してこなかったから社員もサーバを信頼していないという問題も一因として背景にあるのか。NASを各々の部署でメンテしてもらっていればこっちはとても楽なのだが、ADのログイン時でマップさせる共有ディレクトリのロケーションをこちらで指定するとなると、ファイルサーバなりNASなり朝一から電源がちゃんと上がっているか？などなどこちらで責任を持たねばならず、やはりマシンルーム内で集中管理した方がメンテ上都合が良い。

・PCLocalAdminGroupのようなクライアントPCのみに管理者権限を持つグループをAD上に作りそのグループを各PCにadministratorとして追加する。ここにユーザが登録されると社内全PC（サーバは除く）に管理者権限を持つようにする。デスクトップ環境をいじるデスクトップPCがメインジョブな人に便利なグループとして作っておきたい。

・ADドメイン\administratorを別の名前に変更する。ハックされ難くするため。

・flashムービーをデフォルトではオフにしたい。さまざまなWEBサイト上の情報を無料で観れる代わりに気の散る広告を見せられるわけだが、これは相当オフィスワーカーの作業効率を低下させているのではないか。Firefoxのアドオンflashブロックプラグインを使おうかと思っている。だとして、アドオンをどうやってAD上のマシンに一括push配布するのがよいか？

■セキュリティ
・ノートPC盗難の際の情報漏洩対策を考えねばならない。ノートPCが盗難された際にログインせずともデータを見れてしまうのはうれしくないのだが、 HDDの暗号化(EFS)は利便性を犠牲にしても本当にやる意義があるだろうか。
http://www.atmarkit.co.jp/fwin2k/special/winxp_over/winxp_over_15.html
どんな不都合が起こるのかまだ良くわからない。

■バックアップとリカバリ。
・NEC　Express　サーバがこけたときの対応知識が不足している。ユーザ登録されているのか？サポート契約は結ばれているのか？など不明。NEC サポートにS/Nを伝え確認か？

・バックアップとリカバリ体制の明確化をちゃんとしとかないと、安眠できない。障害以外だけじゃなく、実働環境のサーバやルータの設定を変更した後、上がらなくなっちゃったらどうすんの。範囲　：　Win2K3、Linux、ルータ、インターネット側回線、本社支店間のVPNなど。

■メール関係
・スパムスパムメール対策はもっといろいろな情報に触れないと製品やソリューションが多種なので判断しにくいところ。日ごろ雑誌など目を通し最新の動向に気を配るよう努めることにしよう。
postfixとspamassasinのようなフィルタの連携
mcafeeに外注するスパムフィルター
そもそもメール業務自体をアウトソースする
みたいな選択肢をもっと調査する必要あり。

・メールサーバの設定変更、トラブルシューティングのためもっとpostfixに精通する必要がある。

・DNSサーバにもアクセス権が必要。MXレコードの設定確認やら変更やら近いうちあるかもしれない。

・メールヘッダにイントラネットIPが入ってしまうのを止めたい。メール受信者にそんな情報は不要なのだから。

・Inforestにあるようなアドレス帳DBをメールクライアントから引けるようにしたい。ADのLDAP、LinuxのLDAP、どっちをマスターDBとして管理してゆくか？

・メールアカウントとAD（ActiveDirectory）アカウントの連携は可能か？

・奉行シリーズとADとの連携はうまくいくか？

>連携させるには別売りソフトが要るようだ。

・社内LANからインターネット上のメール・サーバーに直接アクセスしてメールを送受信するのは，セキュリティ上好ましくないので（http://itpro.nikkeibp.co.jp/article/COLUMN/20060213/229070/?ST=system）、メール・ソフトからインターネットに向けたSMTPリクエストとPOP3リクエスト、ポート80のWEBメールをファイアウォールでブロックした方が良さそう。ファイアーウォールの設定変更で対応できる。。
しかし、中には外部POPとSMTPが本当に必要なユーザもいるのではないか。
その代わりProxyを置くとかしないとhotmailユーザの僕も困る。

・特に始業時、メールサーバが重い。軽くする必要がある。
http://itpro.nikkeibp.co.jp/article/COLUMN/20060213/229070/?SS=imgview&FD=4485451

・Mbox形式からMdir形式へ変更しパフォーマンスを上げたい。　
まず、intraサーバを簡単かつ迅速にリカバリーできるようになってから。そうじゃないとロールバックの必要が生じた際に問題となる。

・外部送信先で社内から送ったメールが拒否されるのを解消したい。多分ヘッダ情報に付いているうちのドメイン名がDnsで引けないからよくないんじゃないだろうか。そういうサーバからのメッセージは拒否するという設定のメールサーバが増えているらしい。

・メールアドレス命名規則の変更　yamada@dokaben.co.jpからYamada.Taro@dokaben.co.jpへ変更可能か。そっちのほうがわかりやすい。苗字だけのメアドはちょっとダサいのではないかと思う。個人的な印象であるが小さな制作事務所など連想してしまうのだ。
http://itpro.nikkeibp.co.jp/article/COLUMN/20060214/229173/

■その他問題
・社内ルータの障害対応を迅速に行うためにどんな機能があるかなど分かっておく。
・ウイルスバスターサーバの管理をしようと思ったら　パスワードがわからない。