Samba-ad-dcにタブレットを参加させてみる

ケータイを眺めていたら、お買い得な中古タブレット大量入荷！の記事が目に入った。なになに、CPU は Atom x7-Z8700 で Surface 3 と同じで、OS は Windows 10 Professional と書いてある。

今使っているタブレットがだいぶもたつく感じになっているから、これを買ってきて使ってみよう、ついでにドメイン管理してみようと思った。

---

最初のメモはこれ。地味に役立つ。
Microsoft / Windows のキーボード ショートカット

• ログインでPINが利用できない
• サインインを求めるタイミングが設定できない
• アプリケーションがインストールできない
• Windows Updateが勝手に適用される設定のまま
• ルート証明書の配付
• メーカー標準のツールが入っていない
• Windows 10 更新アシスタントがエラー
• スクリーンショットがとれない
• 日本語入力が開始できない

 

ログインでPINが利用できない

将来的にインターネットからサービスを受ける(KopanoとかAlfrescoとか)となると、クライアント証明書とパスワードによる保護をすることになる。クライアント証明書はとてもいいんだけれども、端末を選ぶという意味では少し不便。じゃあ、パスワードを超長い意味のない文字列にすることで保護したいけど、日頃のログインでめちゃくちゃ苦労しそう…日々のログインはPIN番号として、その裏に超長いパスワードが控えている…とかってとってもいいなと考えた。

本当にそうできるのかどうか、まだ分からないけど…(将来の課題)。

 

さあ、PIN番号を設定！と思ったら、Windows Hello が無効になっている。
2つの設定を構成する。

「グループ ポリシーの管理」を起動し、Default Domain Policy を右クリックして編集画面を起動する。

 

1つめ、ポリシー → 管理用テンプレート → システム → ログオン → 【便利な PIN を使用したサインインをオンにする】 を構成する。

 

2つめ、ポリシー → 管理用テンプレート → システム → PIN の複雑さ → 【PIN の最小文字数】 を構成する。

ここで、最小文字数として 4 を指定している。
デフォルトは4と書かれているが、実際には最小文字数が6だったことが気になったので設定してみて確かめたもの。4桁は少し短すぎるような気がするから、明示的に6とか8とかを設定してみてもいい。

 

 

サインインを求めるタイミングが設定できない

2019/08/12 追記

バッテリーを長持ちさせるために、3分で消灯(画面は消えるけど画面に触れるだけで復帰)、5分でスリープさせている。別のPCでちょっと調べごとをしてタブレットに戻ってくると5分を過ぎていたりして、そうするとサインインを求められるのでめんどくさい。

15分くらいはさっと画面をスライドするだけで復帰できる状態でいいかなと。

グループポリシー管理エディタを起動し、ポリシー → 管理用テンプレート → システム → ログオン → 【コネクト スタンバイから再開するときにパスワードが必要になる時間をユーザーが選択できるようにする】 を構成する。

オプションは特になし。

これで なし～15分 の範囲で選択できるようになる。

 

アプリケーションがインストールできない

user 権限なので当然。

しかしこれ、自分でも相当不便だし、大きくなった子供達を考えると自由を与えるべきだと考えた。中途半端なことをやってウィルス感染したり、ファイルが壊されたりすると痛いことは痛いんだが、それこそ大人へのステップかなって思うことにした。

Power Usersに対象グループを加える

家族用のグループが作ってあるのでスーパーユーザーの権限を与えてみた。

まず、制限されたグループに Power Users を追加する。参照とかで探すと見つからないグループなので、文字を打ち込んでそのまま OK をクリックする。

ここで、家族グループを追加してみた。

タブレットの側でコマンドプロンプトを開き、以下のコマンドを実行する。

C:>gpupdate /force
ポリシーを最新の情報に更新しています...

コンピューター ポリシーの更新が正常に完了しました。
ユーザー ポリシーの更新が正常に完了しました。

 

しかし、今これ何の役にも立たないのね。Power Users にいる人が自分自身を Administrators に昇格させることができる問題があって互換性のためだけに残されている…と。

権限をどんな風に与えるのか、ということが分かってくれば、Power Users に必要な権限を与えて運用していくこともできるだろうから、メモとして残しておく。

 

 

Administratorsに対象のグループを加える

Power Users のやり方を Administrators でやろうとすると危ない。
旧＠IT会議室 / ActiveDirectoryでユーザにadmin権限を与える方法

Power Users は互換性のためだけに残されているグループなので、何も設定されていないから良いが、Administrators には色々と含まれているから、上書きされると大変なことになる、ということの模様。

じゃあ、何か良い方法はないか…ドメインの Administrators グループを見てみる。

タブレットの Administrators グループはどう？

ん？一致してないな…。

じゃあ、Active Direory の Domain Admins に Family を加えてみよう。

タブレット側に設定を反映させる。

C:>gpupdate /force

 

この後は、問題なくインストールとかができている。

 

Windows Updateが勝手に適用される設定のまま

当たり前だけれども、Windows Update が勝手に適用される設定になっている。タブレットはいつも起動しっぱなしで状態が保持されているとうれしいが、気がついたら再起動している。ログインするとアプリケーションはそれぞれ元の状態を復元しようと頑張ってくれるけれども、使い始めるまでにだいぶ待たされる。当たり前だけど Chrome のシークレットウィンドウは復元されないし。

ということで、メインPCと同じようにダウンロードまではするけれども、インストールは問い合わせる設定にしたい。

自動更新を構成する。

ダウンロードするけれども、更新は通知するように設定。

タブレット側に反映させる。

C:>gpupdate /force

 

狙い通りのポリシーが適用されていることが分かる。

 

ルート証明書の配付

そうそう、ウチではサービスをオレオレ認証局が署名したサーバー証明書を使っているんだった。オレオレ認証局の証明書を配布せねば。
ITtrip / （超簡単）証明書をグループポリシーで一斉配布する方法

インポートを実行する。

証明書を選択。

信頼されたルート証明機関が最初から入っている！そのまま次へ。

インポートする内容を確認して次へ。

タブレットで以下を実行。

C:>gpupdate /force

 

証明書が配布され、提供されるサービスに警告されずにアクセスできるようになった。

 

メーカー標準のツールが入っていない

バッテリ・リフレッシュ＆診断ツールがない

購入したのは NEC のタブレットなんですが、バッテリ・リフレッシュ＆診断ツールって標準ツールなんじゃないのかな…？多分、何らかの都合で消されたのでしょう。

やっぱりメーカーのパソコン・タブレットって凄い。サポート情報がちゃんと用意されていて、以下の通りたどって行けた。製品情報の「はじめに」を読んだら初版が 2015年10月 となっていたから、2015年発売モデル…どうやら Type VT ってことになるらしい。

NEC / ビジネスPC(法人向け) / ドライバ・ソフトウェア
NEC / Windows 10 64ビット(2015年発表 VersaPro,VersaPro J)

ここで○印をクリックするとダウンロードできるのだけれど、なんでだろう？何かインストールするのが怖いような、何でだろ？？やめとこ、たまに完全放電するまで放っておく運用でいいや。

 

完全放電されて電源が落ちると、充電ケーブルをつないでもすぐには電源が入らない。「2301 なんとかかんとか Battery なんとかかんとか」的なメッセージが出る。充電を続けてしばらくたつと起動する。

 

Intelドライバのインストール

ここに200MBのでかいファイルがあり、「Intel社製 ドライバパッケージ」と書かれている。こいつはインストールした方が良さそうだと思い、インストールしてみた。

もしかすると、次の Windows 10 バージョン 1903 インストールに効果があったのかもしれない。

 

Windows 10 更新アシスタントがエラー

現在 Windows 10 の 1809 が動いており、これを 1903 に更新しようとした。
結果としてアップグレードできたことはできたのだが、これが本当に良いことなのかどうかはちょっと分からない。

Windows Update では検出しないので、以下で「今すぐアップデート」をクリックして更新アシスタントをダウンロードして実行した。
Microsoft / Windows 10 のダウンロード

お、始まったかな？と思ったが…

1秒後くらいにエラー。

エラーコード 0xa0000400 というのは何？と調べてみたが、answers とかにしか情報がない、正式に何のエラーなのかアナウンスしていない模様。

 

ディスクのクリーンアップ

このタブレットには C ドライブしかなかったので、ディスクをクリーンアップした。買ってきたばっかりなのでほとんど中身もなく、更新アシスタントも失敗した。

 

メディア作成ツールを使う

起動して「今すぐアップグレードする」を選んでみた。ダウンロードにかなりの時間がかかる。引き継ぐ項目は 個人用ファイルとアプリ とした。

結果として以下が表示された。

Windows のインストールを続行すると、いくつかのオプション機能が削除されます。インストールが完了した後で、それらを設定に戻すことが必要になる場合があります。

とな。これがインストールが進まない原因だったのか…しかし、これが何を対象にこれを表示しているのかが全然分からない。初期化してほとんど何も入っていない状態でこれ…。

サービスが止まるのも困るので、いったん中止。

 

ドライバの更新

メーカーのホームページから最新版のドライバをインストールしたらうまくいくかも、という話もあったので見てみたら、新しいかどうかは分からないけどドライバがあったのでインストールしてみた。

結果として、更新アシスタントはエラーになった。

メディア作成ツールをもう一度実行してみたところ、インストールが始まった。始まったけれども、時間がかかるかかる…。

結果としてアップグレードしてバージョンが 1903 になった。

 

スクリーンショットがとれない

Windowsの問題ではなく、持っている機器の問題。

Bluetoothキーボードが2つあるんだけれども、どちらにも[Print Screen]キーがないのでスクリーンショットが取れない。

Snipping Tool

スタートメニューの「Windows アクセサリ」の中に「Snipping Tool」がある。
Microsoft / Snipping Tool を使ってスクリーン ショットをキャプチャする

こういう記事を書こうとしたときには、だいたい画面全体ではなくウィンドウを切り取りたいので、モード「ウィンドウの領域切り取り」を選択すると、ウィンドウを選択するモード(画面全体がうっすら白くなる)になり、ウィンドウをクリックするとキャプチャがされる。

キャプチャした画像がツール内に表示されると保存ができるようになる。

 

切り取り & スケッチ

Snipping Tool が進化して「切り取り ＆ スケッチ」になるとかかれていたので起動してみた。

画面の好きな部分を自由に切り取ることがメインになっているようで、ウィンドウを指定した切り取りができない。一番使っている機能をなくされると、進化とか言われてもちょっと理解しにくい…。

なお、この機能は [Windowsキー]+[Shift]+[s] で呼び出すことができる。いざというときには便利かもしれない。
Microsoft / Windows 10 でスクリーンショットを取得してコメントを追加する方法

 

キーボードショートカット

Bluetooth のキーボードが2つあって、1つは iclever の英語キーボード、もう1つは Microsoft Universal Mobile Keyboard で日本語キーボード。どちらも Print Screen キーがない。

[Fn]+[Windowsキー]+[Space] でスクリーンショットが取れるようなことが書かれているのだけれども、日本語環境においては「キーボードレイアウトの切り替え(実態は日本語FEPの切り替えだと思うんだけど…)」として動作する模様。

キーマップを変えることはちょっとややこしい問題を引き起こしそうなので諦めた。
Print Screen キーがないとキーボードでキャプチャーすることはできないと考えた方がよさそう。

 

日本語入力が開始できない

昔から ATOK が大好き。しかし、手持ちのキーボードは ATOK の日本語入力を開始することができない…

Microsoft Universal Mobile Keyboard には[半角/全角]キーがない。MS IME であれば[英数]キーで日本語入力が開始できる。iOS や Android の場合には[英数]と[ひらがな/カタカナ]キーで開始ができるようにキーマップが変わるらしい。確かにモードを切り替える物理スイッチが付いている。

さらに、iclever IC-BK03 というキーボードも手元にあるのだが、これが英語キーボード。これには[半角/全角]はもとより[英数]や[ひらがな/カタカナ]なんてキーがあるわけもない。過去 Ubuntu のデスクトップで日本語入力をしようとしたとき色々なところで [Ctrl]+[Space] が入力の切り替えに使われているらしいことをぼんやり思い出している。

ということで、こんなキーを割り当ててみた。

[英数]キーは通常全然使っていない。[Ctrl]+[Space]は全候補表示で時々使っている。ということで[英数]キーは大胆にどんな時も、[Ctrl]+[Space]は条件を絞って設定してみた。

自分的にはこれで直感的に日本語入力に切り替えができるようになる…ハズ。

 

さいごに

Samba ad dc でどこまで管理ができるものなのか、実は半信半疑なところがあった。しかし、ポリシーを決めようと思ったらRSATにテンプレートがあって設定ができる。新しいPCを買ってきたらドメインに参加させればすぐに同じ設定になるのがうれしいかも。企業が Active Directory で PC を管理しようとする理由がよく分かる。

Kopano のユーザーを Samba ad dc で管理しようと調べてみたら、ユーザーが50人を超えるとパフォーマンスが急激に低下すると書かれていたのだが、家庭内で使う分には全く問題ないので、当面はこれで行けそう。

そして、今回買ってきたタブレットが Windows 10 Professional だったのも地味にうれしい。メイン PC をドメインに参加させる度胸がなかったが故に RSAT を使うために試用版の Windows 10 Professional を利用していたが、今後はこのタブレットが使えるし、実際に使ってみて良いの悪いのが肌身で感じられるようになる。

やったね！