皆さんこんにちは。
Windows プラットフォーム サポートのけまるやです。
最近、Windows 8 や Windows 8.1 環境をお使いの方から "デバイスとプリンター" 画面に削除できないプリンターのアイコンが出現するという現象についてお問い合わせをいただくことがあります。
この問題は弊社でも詳しい調査が行われておりますが、事象を改善する方法が見つかりましたため、ご紹介させていただきます。
弊社では、複数のユーザーが 1 台のコンピューターにログオンすることがある端末において、以前コンピューターを使用していたユーザーがログオフ後、コンピューターの再起動や、印刷スプーラー サービスの再起動が発生すると、別のユーザーがログオンしたときに、"デバイスとプリンター" 画面に以前ログオンしていたユーザーが使用していたネットワーク共有プリンターのアイコンが見えてしまう事象が発生することが報告されております。
この時に表示されるネットワーク共有プリンターは、もともとログオンしていたユーザーでも削除できず、管理者権限を使用しない限り、削除できません。
以下は今回の事象を再現したときのビデオです。ネットワーク共有プリンターを削除しても復活してしまったり、そもそも削除できないプリンターが出現したりします。
お問い合わせの問題が発生しており、対処が必要な場合には、まずは以下の画面のように RemovePrintersAtLogoff のレジストリ値を 1 に設定いただくことをご検討ください。
キー : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Providers\Client Side Rendering Print Provider名前 : RemovePrintersAtLogoff種類 : REG_DWORD値 : 1
※レジストリ設定後の参考画像です
Windows では、ユーザーがネットワーク共有プリンターに接続したとき、次回ログオン時にすぐにネットワーク共有プリンターが使えるよう、情報の一部をキャッシュします。今回の問題は、このキャッシュの情報の一部に問題が発生することで、ほかのユーザーのプリンターが見えてしまう問題であることがわかっています。
RemovePrintersAtLogoff のレジストリ設定を行い、印刷スプーラー サービスを再起動いたしますと、ユーザーのログオフ時にプリンターのキャッシュ情報を削除するようになります。
また、RemovePrintersAtLogoff のレジストリ設定を行っても、すべてのキャッシュ情報がすぐに削除されるわけではありません。削除できないプリンターをすぐに消したい場合には、管理者権限を持ったアカウントで以下の対処策を実施いただき、状況が改善されるかどうかをご確認ください。
印刷スプーラー サービスを停止します。
レジストリ エディタを開き、以下のレジストリ キー配下を空にします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Providers\Client Side Rendering Print Provider
RemovePrintersAtLogoff を 1 に設定します。
印刷スプーラー サービスを再開します。
デバイスとプリンター画面を開きます。
削除できなかったプリンターのアイコンをそれぞれ右クリックして、削除を実行します。
※プリンターの削除画面
弊社では、この問題について引き続き調査を継続していますので、新しい情報がわかりましたらお伝えしたいと思います。
こんにちは。Windows プラットフォーム サポートの北原です。最近、PC からスマート フォンへのデータの書き出しを禁止したいというお問い合わせを多くいただいております。以前の記事で、グループ ポリシーを用いたデバイスのアクセス制御をご紹介しましたが、今回は、その中でも主にスマート フォンが使用しているWindows Portable Device (WPD) デバイスへの制限について取り上げたいと思います。グループ ポリシーを用いたデバイスのアクセス制御についてhttp://blogs.technet.com/b/askcorejp/archive/2014/04/28/3516088.aspx================WPD の概要================WPDとは、Windows Vista 以降の OS に標準的に備わっている、携帯電話、デジタル カメラ、音楽プレーヤーのようなポータブル デバイスとの通信手段を提供するドライバ ベースのテクノロジーです。WPD は API を有しており、デバイスの状態を調べたり、デバイスを制御する (写真を撮る、メッセージを送るなど) アプリケーションを開発することができます。なお、Windows XP の場合、別途 Windows Media Player 10 または 11 をインストールする必要があります。スマート フォンや従来の携帯電話を USB で PC につないでファイルの転送をする際、通常、「MTP モード」や「PTP モード」など、事前にモードの選択をする必要があります。この MTP や PTP というのは WPD が使用している通信手段のことで、現在、WPD が主に使用しているものは以下の 3 つとなります。
(参考情報) WPD Drivershttp://msdn.microsoft.com/en-us/library/windows/hardware/ff597868.aspxこの記事では Windows Vista 以降の OS で使用可能な PTP/MTP による情報の持ち出しを制限するグループ ポリシーをご紹介します。
補足情報---------------MSC は USB メモリや USB ハード ディスクなどの大容量記憶デバイスを PC に接続して、エクスプローラー上でファイルのコピーなどをする際に使われるファイル転送技術です。一部のスマートフォンには、MTP/PTP のモード以外に、「ファイル転送モード」などの名前でMSC によるファイルの転送を可能にしているものもあります。この MSC のモードで PC に接続した際、マウントされたドライブを右クリックして、[ポータブル デバイスとして開く] を選ぶと、WPD を介した MSC による通信ができるものがあり、これが WPD における 3 つ目の通信手段となります。
この WPD を介した MSC の制限には、従来の USB メモリのデバイス制御と同じグループ ポリシーを使用します。例えばファイルの読み書きを制限したい場合は、以下のグループ ポリシーを使います。- [コンピューターの構成] - [管理用テンプレート] - [システム] - [リムーバブル記憶域へのアクセス] - [リムーバブル ディスク: 読み取りアクセス権の拒否] および - [リムーバブル ディスク: 書き込みアクセス権の拒否] 設定値: 有効===============PTP/MTP の制限方法について===============グループ ポリシーを用いて PTP/MTP による情報の持ち出しを制限する方法は 3 種類あります。これらは Windows Vista 以降の OS で使用可能です。
セキュリティ的な堅牢さの面では (1) が最も弱く、(3) が最も強いのですが、それに比例して、運用上の制限や煩雑さが増します。以下にそれぞれの特徴を紹介します。
(1) PTP/MTP による読み書きを制限する方法
接続したデバイスに対するフォルダ / ファイルの読み書きを制限するものです。この方法は、ファイルの読み取りだけ、またはファイルの書き出しだけ、特定のユーザーだけなど、柔軟な設定が可能で、最初に一度設定をすると運用後に設定を変える必要があまり無いため、運用が容易です。 その反面、この設定をしていたとしても、PC にインストールされたスマート フォン専用のアプリケーションによってデータの書き込みを行える場合があります。これは独自方法 (PTP/MTP 以外) によってファイルの転送を実装しているためです。これを回避するには、PC へのアプリケーションのインストールを制限するか、後述するWPD デバイスのインストールそのものを制限する方法を実施する必要があります。
(2) WPD デバイスのインストールを制限する方法
デバイスを PC に接続した際の WPD デバイスのドライバーのインストールを制限するものです。ドライバーのインストール自体が制限されているため、WPD デバイスは全く使用することができなくなります。なお、運用が煩雑になってしまいますが、特定メーカーの一部モデルのみインストールを禁止する設定も可能です。
その反面、スマート フォンの一部には、WPD デバイスとしてではなく、他のデバイスとして認識されるものが存在し、WPD デバイスのインストール制限だけでは、デバイスが使用できてしまう場合もあります。これを回避するには、後述するホワイト リストを使用して制限する方法を実施する必要があります。
(3) ホワイト リストによるデバイスのインストールを制限する方法
PC への接続が許可されているデバイスのリストをあらかじめ登録し、それ以外の全てのデバイスのインストールを禁止するというものです。許可されたデバイスのみインストールが行われるため、WPD デバイスはもちろんのこと、未知のデバイスにも対応できます。ソフトウェア レベルで最も堅牢な対策をしたい場合は、この方法が推奨されます。なお、許可リストには、特定の種類のデバイス、または特定のモデルのデバイスといった単位で設定が可能です。
その反面、許可対象のデバイスが増えるにつれ定義内容も増え、運用が煩雑になることがあります。また、デバイス検知時にインストールを制限するという性質上、既にインストール済みのデバイスについては、制限を行うことができません。このため、対象の PC の不要なデバイスをあらかじめ削除しておくなどの対処が必要です。
なお、参考情報となりますが、以下の記事に現在 PC に接続されていない WPD デバイスを devcon.exe で削除するサンプル スクリプトが記載されております。これをベースにお好みのスクリプトを作成いただけたら幸いです。
ハードウェア デバイスのトラブルシューティングについてhttp://blogs.technet.com/b/askcorejp/archive/2014/07/03/3634044.aspx
次の項では、それぞれのグループ ポリシーの実際の設定方法についてご紹介します。
===============設定方法===============前項で述べた 3 種類の方法について、それぞれ手順を説明していきます。
以下のグループ ポリシーにより設定します。 - [コンピューターの構成] - [管理用テンプレート] - [システム] - [リムーバブル記憶域へのアクセス] - [WPD デバイス: 読み取りアクセス権の拒否] および - [WPD デバイス: 書き込みアクセス権の拒否] 設定値: 有効
補足情報---------------特定のユーザーだけ読み書きを制限したい場合は、以下のグループ ポリシーを代わりに使用します。
- [ユーザーの構成] - [管理用テンプレート] - [システム] - [リムーバブル記憶域へのアクセス] - [WPD デバイス: 読み取りアクセス権の拒否] および - [WPD デバイス: 書き込みアクセス権の拒否] 設定値: 有効
以下のグループ ポリシーにより設定します。 - [コンピューターの構成] - [管理用テンプレート] - [システム] - [デバイスのインストール] - [デバイスのインストールの制限] - [これらのデバイス セットアップ クラスと一致するドライバーを 使用したデバイスのインストールを禁止する] 設定値: 有効 デバイス セットアップ クラス: {eec5ad98-8080-425f-922a-dabf3de3f69a} 既にインストール済みの一致するデバイスにも適用されます。: オン 設定したデバイス セットアップ クラス {eec5ad98-8080-425f-922a-dabf3de3f69a} は、WPD デバイスを意味します。以下の文書にデバイス セットアップ クラスの一覧があります。 (参考情報) System-Defined Device Setup Classes Available to Vendorshttp://msdn.microsoft.com/en-us/library/ff553426(VS.85).aspx [既にインストール済みの一致するデバイスにも適用されます。] は Windows 7 以降の機能ですが、これにチェックを入れると、ポリシー適用以前に接続したことのある WPD デバイスに対しても制限をかけることができます。
補足情報---------------特定メーカーの一部モデルのみインストールを禁止したい場合は、以下のグループ ポリシーを代わりに使用します。
- [コンピューターの構成] - [管理用テンプレート] - [システム] - [デバイスのインストール] - [デバイスのインストールの制限] - [これらのデバイス セットアップ クラスと一致するドライバーを 使用したデバイスのインストールを禁止する] 設定値: 有効 デバイス セットアップ クラス: 禁止したいデバイス セットアップ クラスを列挙 既にインストール済みの一致するデバイスにも適用されます。: オン
禁止リストに登録する値については、以下のブログ記事で述べられています。 グループ ポリシーを用いたデバイスのアクセス制御についてhttp://blogs.technet.com/b/askcorejp/archive/2014/04/28/3516088.aspx
以下の 3 つのグループ ポリシーを併用することにより設定が可能です。 - [コンピューターの構成] - [管理用テンプレート] - [システム] - [デバイスのインストール] - [デバイスのインストールの制限] - [他のポリシー設定で記述されていないデバイスのインストールを禁止する] 設定値: 有効 - [コンピューターの構成] - [管理用テンプレート] - [システム] - [デバイスのインストール] - [デバイスのインストールの制限] - [これらのデバイス セットアップ クラスと一致するドライバーを 使用したデバイスのインストールを許可する] 設定値: 有効 デバイス セットアップ クラス: 許可したいデバイス セットアップ クラスを列挙
- [コンピューターの構成] - [管理用テンプレート] - [システム] - [デバイスのインストール] - [デバイスのインストールの制限] - [これらのデバイス ID と一致するデバイスのインストールを許可する] 設定値: 有効 デバイス ID: 許可したいデバイス ID を列挙
なお、許可リストに登録する値については、以下のブログ記事で述べられています。 グループ ポリシーを用いたデバイスのアクセス制御についてhttp://blogs.technet.com/b/askcorejp/archive/2014/04/28/3516088.aspx
注意---------------ストレージ デバイスに限らず、すべてのデバイスが対象となります。このため、USB マウスやキーボードを使用する場合は、許可リストにマウスやキーボードも含めておくことをお勧めします。
===============終わりに===============以上の 3 つの選択肢から、システムのセキュリティ レベルや運用のルールにあったものをご検討いただけたら幸いです。
スマート フォンへの情報の書き出しを完全に防ぐためには、上記のソフトウェア側の対応だけではなく、USB の接続口をふさいだり、サーバー室にスマート フォンを持ち込ませないなどの物理的なセキュリティ対策もあわせて実施されることを強くお勧めします。 今後もデバイス制御に関して、随時ブログで情報をご提供してまいります。
こんにちは。Windows プラットフォーム サポートの世古です。
日々のサポート業務の中で、よくお問い合わせをいただくメモリ ダンプ ファイルについてご紹介いたします。
画面が固まって動かない等の問題(ブルースクリーンやフリーズ等)が発生した場合、マイクロソフトで調査を行う為にメモリ ダンプ ファイルの採取を依頼する場合があります。今回はそのファイルの詳細と採取方法についてご説明いたします。
(1) メモリ ダンプとは
====================================
メモリ ダンプ ファイルは、システムのある瞬間の物理メモリの情報をファイルとして出力させたものです。OSが異常終了した際に、原因を調査する為にメモリ ダンプは役立ちます。システムの設定に依存しますが、異常終了(ブルースクリーン BSOD)が発生した際にメモリ ダンプ ファイルが作成されます。
具体的には以下の様な画面(ブルースクリーン BSOD)になった際にメモリ ダンプ ファイルが作成されます。
(2) メモリ ダンプの種類
メモリ ダンプには以下 3 つの種類がございます。
完全メモリ ダンプではすべての物理メモリの内容を出力でき、より詳細な調査に有効な情報を確認する事が出来ます。調査の為にメモリ ダンプを取得する場合には、完全メモリ ダンプを取得いただく事を推奨しております。
各ダンプで取得される情報についての詳細は以下の情報をご参照ください。
- 参考:
メモリ ダンプ ファイル オプションの概要
http://support.microsoft.com/kb/254649/ja
(3) メモリ ダンプの取得方法
実際にシステムがクラッシュした際にメモリ ダンプを生成するには、事前にシステムの設定をする必要がございます。具体的には以下 2 つの設定を行います。
上記 2 つの具体的な手順として完全メモリ ダンプの設定手順を以下にご案内いたします。
(4) 完全メモリ ダンプの採取のための事前設定
以下 2つの設定を行い、メモリ ダンプが正しく出力されるように設定します。
1. PageFile の大きさを設定する
PageFile の初期サイズと最大サイズを、物理メモリのサイズ + 300 MByte以上に設定します。
※ 300 MByte はダンプ ファイルのヘッダー情報や二次ダンプ ファイルのために使われる領域です。現在サポートしているどの OS のどの環境にでも対応できるように余裕を持たせた値となっております。弊社の KB やエンジニアがお送りしているメールによっては、より少ない値 (1MB など) でご案内している場合もございます
場所:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\Memory Management
名前:PagingFiles
種類:REG_MULTI_SZ
値:<ページ ファイル保存先> <初期サイズ (MB)> <最大サイズ (MB)>
例:)物理メモリのサイズが 4 GB (4096 MB) の場合
“c:\pagefile.sys 4396 4396”
※ 初期サイズを物理メモリ サイズより小さくした場合、システムに深刻なクラッシュが発生して PageFile のファイル サイズを必要な大きさまで拡張する機能が動作しなくなった際に、正常に完全メモリ ダンプが生成されなくなる可能性があります。必ず、初期サイズも最大サイズと同様に物理メモリ サイズより��きくしてください
2. メモリ ダンプが生成される設定にする
レジストリ エディタで、下記のレジストリの値を設定します。
場所: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CrashControl
名前: CrashDumpEnabled
種類: REG_DWORD
値: 1
値の説明:
0x0 = メモリ ダンプなし
0x1 = 完全メモリ ダンプ
0x2 = カーネル メモリ ダンプ
0x3 = 最小メモリ ダンプ
メモリ ダンプの出力先は以下のレジストリ値で確認できます。
名前: DumpFile
種類: REG_EXPAND_SZ
既定値: %SystemRoot%\MEMORY.DMP
上記レジストリの設定を変更した後は、設定値を反映する為にシステムの再起動が必要となります。
(5) 手動でメモリ ダンプを生成する方法
上述のダンプの設定を行った後、次回以降ブルー スクリーン エラーが発生するとメモリ ダンプが保存されます。実際にメモリ ダンプが生成されるか確認する場合には、後述にてお伝えいたします、手動でメモリ ダンプを生成する方法をご検討下さい。この方法はメモリ ダンプを強制的に取得したい場合(フリーズやハングアップ等)にも利用できます。なお、手動でダンプを生成する際にも、ブルー スクリーンの状態になりますので、サーバーの電源を強制的に OFF/ON した際と同様の影響があることを予めご了承ください。
手動でメモリ ダンプを生成するには、以下の 2 つの方法がございます。
尚、NMI スイッチを使用する事により、キーボード等で操作できない状況でもメモリダンプを採取できる可能性があります。NMI はキーボード操作より高い優先順位で割り込みを発生させますので、キーボード操作ができない場合も、ダンプが取得できる可能性があります。その為、可能な限り NMI でのメモリ ダンプ取得をご検討下さい。
※ ブルー スクリーンの “Dumping physical memory to disk” の値が 100 になったタイミング(後述の画面ピクチャ参照)で電源 OFF/ON による再起動を実施してください 。尚、自動再起動が設定されている場合は 100 になったタイミングで自動で再起動されます。
- 自動再起動の設定値について
自動再起動の設定は以下のレジストリ値よりご確認いただけます。
レジストリ キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\AutoReboot
値:
0 = 自動再起動無効
1 = 自動再起動有効
ブルー スクリーンが表示されている際には、物理メモリの情報をファイルとして出力しております。その出力状況が “Dumping physical memory to disk” の値です。その為、この値が 100 に達する前に再起動を実施した場合には正しくファイルが出力されない状況となりますので、必ず 100 になったことを確認してから再起動を実施ください。このファイル出力にかかる時間は、ディスクへの書き込み速度および物理メモリのサイズに応じて変化します。
(6) NMI を使用したメモリ ダンプ生成方法
NMI を有効にする為、まずはソフトウェア側のダンプ設定を行います。
1. [スタート] から [コンピューター] を右クリックし [プロパティ] をクリックします。
2. [システム] 画面から右下の [設定の変更] をクリックします。
3. [システムのプロパティ] 画面の [詳細設定] タブより、[起動と回復] 欄にある [設定] ボタンをクリックします。
4. [起動と回復] 画面より、デバッグ情報の書き込みを [完全メモリ ダンプ] に設定します。
5. [OK] をクリックし画面を閉じます。
6. 次に [レジストリ エディター] を開き、以下のレジストリ サブ キー を選択します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
7. [CrashControl] キーを右クリックし、[新規] から [DWORD 値] をクリックします。
8. 追加された DWORD 値の名前に ”NMICrashDump” と入力し、ENTER キーを押します。
9. NMICrashDumpを右クリックし、[修正] をクリックします。
10. [値のデータ] の空欄に ”1” を入力し [OK] ボタンをクリックします。
11. 再起動を実施し、レジストリの変更を反映します。
12. NMI スイッチを使用してダンプ ファイルが生成されるか確認します。
ダンプの取得する為の NMI スイッチはそれぞれのサーバーによって場所が異なります。NMI の発行方法につきましてはハードウェア ベンダーのご提供元様にお問い合わせください。
尚、Windows Server 2012、Windows 8 の環境においては NMI の設定が既定で構成されておりますので、上記レジストリの追加および変更は必要ありません。
Windows ベースのシステムに、NMI を使用して完全クラッシュ ダンプ ファイルまたはカーネル クラッシュ ダンプ ファイルを生成する方法
http://support.microsoft.com/kb/927069/ja
NMI_HARDWARE_FAILURE error when an NMI is triggered on Windows 8 and Windows Server 2012
http://support.microsoft.com/kb/2750146
(7) キーボードを使用したメモリ ダンプ生成方法
キーボードからの割り込み処理を有効にする為、レジストリの設定を行います。
[PS/2 キーボードの場合]
レジストリ エディタで、下記のレジストリの値を設定してください。
場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters
名前:CrashOnCtrlScroll
種類:REG_DWORD
値:1
[USB キーボードの場合]
場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters
レジストリ値の変更後はシステムを再起動します。
- キーボードの種類を確認する方法について
上記キーボードの種別は、対象のコンピューター上にて msinfo32.exe を実行いただくことでご確認いただけます。
上記値などをご確認ください。
※ 判別が難しい場合は、両方のレジストリの値を設定いただいても問題ございません。
- 強制ダンプの採取手順
強制ダンプの採取手順は以下の通りです。
- 参考
キーボード操作でメモリ ダンプ ファイルを作成できる Windows の機能
http://support.microsoft.com/kb/244139/ja
Windows Server 2008 および Windows Server 2008 R2 でカーネルまたは完全メモリ ダンプ ファイルを生成する方法
http://support.microsoft.com/kb/969028/ja
ダンプの調査をご検討される方にとって上述の内容がご参考になりますと幸いです。
こんにちは。Windows プラットフォーム サポートの北原です。
最近、Service Pack 1 が既に適用されているのにもかかわらず、Windows 7 の Windows Update に Service Pack 1 が現れるというお問い合わせをいくつかいただいております。
誠に恐縮ながら、現在のところ、この事象について述べられている情報が、以下の KB 内の概要情報のみとなっておりますので、本記事にてこの更新プログラムの詳細についてご説明します。
Description of Software Update Services and Windows Server Update Services changes in content for 2014http://support.microsoft.com/kb/894199/en-us
=============概要=============この 2014 年 8 月 12 日に公開された Windows 7 Service Pack 1 (KB976932) は、実際の Service Pack 1 のインストーラーと全くの同名ですが、中身は別物で、10MB 以下の非常に小さなサイズとなっております。この中には、以下の 2 つの更新プログラムが含まれております。
KB2534366Windows 7 SP1 または Windows Server 2008 R2 SP1 をインストールするときに "0xC000009A" エラー メッセージが表示されるhttp://support.microsoft.com/kb/2534366/ja
KB2533552Windows 7 SP1、Windows Server 2008 R2 SP1、または Windows Embedded Standard 7 SP1 をインストールしたときに "0xC0000034" エラー メッセージが表示されるのを防ぐ更新プログラムを利用できますhttp://support.microsoft.com/kb/2533552/ja
この 2 つの更新プログラムは、Windows 7 に Service Pack 1 をインストールする際の問題に対処することを主な目的として用意されたもので、これまでは通常どおりWindows Update にて提供されてきました。
今回、この 2 つの更新プログラムが Windows 7 の Service Pack 1 に追加されることになったのですが、既存のバイナリには一切変更をせずに、別途、違うパッケージとして、提供する方法がとられました。以下は、そのイメージを表した図になります。
結局のところ、この「追加分の Windows 7 Service Pack 1 (KB976932)」の実体は、重要な更新プログラムの集まりとなりますので、Windows Update に現れましたら、他の重要な更新プログラムと同様に適用いただくことを強く推奨しております。
=============事象が起こる環境=============2014 年 8 月 22 日現在、この「追加分の Windows 7 Service Pack 1 (KB976932)」が Windows Update に現れる環境は以下の通りです。
対象: Windows 7 (Service Pack の有無は問わない) 上の Windows Update WSUS は現在のところ対象外です
(2014 年 8 月 29 日追記) x86 だけではなく、x64 も対象となりました
条件: 上記の 2 つの更新プログラムのどちらか、または両方がインストールされていないこと
※ 今後、このルールは変更になる可能性があります
=============事象のパターン=============現在、以下に示す 2 つのパターンで、「追加分の Windows 7 Service Pack 1 (KB976932)」がWindows Update に現れます。
(1) Service Pack 1 が適用されていない場合
Service Pack 1 が適用されておらず、上記の 2 つ更新プログラムも適用されていない場合、以下のスクリーンショットのように、「追加分の Windows 7 Service Pack 1 (KB976932)」が現れます。
※ 公開日が 8 月 14 日となっているのは、8 月 14 日に内部のメタ データに変更があったためです
「追加分の Windows 7 Service Pack 1 (KB976932)」を適用後、OS を再起動すると、[インストールされた更新プログラム] に上記の 2 つ更新プログラムが現れます。
ここでようやく Service Pack 1 のインストーラーの本体が Windows Update に現れますので、これをインストールすることで Service Pack 1 のインストールが完了します。
その後、Windows 7 Service Pack 1 (KB976932) という名前をしたパッケージが表示されることはありません。
(2) 既に Service Pack 1 が適用されている場合
Service Pack 1 が既に適用されてしまっている環境でも KB2533552 が適用されていない場合のみ、以下のスクリーンショットのように、「追加分の Windows 7 Service Pack 1 (KB976932)」が現れます。この中には、KB2533552 のみが含まれております。
※ Service Pack 1 適用後においては、KB2534366 が不要であるため、このような動きになっています
「追加分の Windows 7 Service Pack 1 (KB976932)」を適用後、OS を再起動すると、[インストールされた更新プログラム] に KB2533552 が現れます。
その後、Windows 7 Service Pack 1 (KB976932) という名前をしたパッケージが配信されることはありません。
=============まとめ=============2014 年 8 月 12 日に公開された「追加分の Windows 7 Service Pack 1 (KB976932)」の実体は、KB2534366 と KB2533552 になります。
繰り返しとなりますが、既に Service Pack 1 をご適用いただいている環境におきましても、この「追加分の Windows 7 Service Pack 1 (KB976932)」が Windows Update に現れましたら、他の重要な更新プログラムと同様にご適用いただくことを強く推奨しております。
こんにちは、Windows プラットフォーム サポート担当の頂です。
今回は、ファイルやフォルダーを削除されないようにするためのアクセス権設定をコマンドから実行する方法についてご紹介いたします。ファイルやフォルダーを削除されないようにするためには、フォルダーやファイルの [プロパティ] の [セキュリティ] タブから、削除を拒否するためのアクセス権設定を変更することでできますが、今回は、同様の設定を icacls コマンドを使用して行う場合の手順と注意点について、ご紹介いたします。
icacls コマンドとは----------------------------------------------------フォルダーやファイルのアクセス権について設定へ変更などを行う事ができるコマンドです。Windows Server 2003 SP2 で提供され、Windows Vista ( Windows Server 2008 ) 以降では、標準のコマンドとして実装されました。
- 設定方法まずは、ファイルやフォルダーについて、削除や読み取りなどを拒否する場合に利用できる、”拒否” のアクセス権を設定するコマンドについてご紹介いたします。
“拒否” のアクセス権を設定する際のコマンド基本型--------------------------icacls "<対象のファイルまたはフォルダーのパス>" /deny "<ユーザー名>":(拒否対象の権限)
ファイルやフォルダーについて、削除させないようにするために、"削除 (DELETE)" の権限を拒否に設定する場合には以下コマンドを利用します。
"削除 (DELETE)" の権限を拒否に設定する場合のコマンド--------------------------ファイルやフォルダーを削除されないように、"削除 (DELETE)" の権限を拒否に設定する場合には、“(拒否対象の権限)” 設定を必ず、(DE) と設定します。
icacls "<ファイルまたはフォルダーのパス>" /deny <ユーザー名>:(DE)コマンド例図
- 注意点icacls コマンドのヘルプでは、"D -削除のアクセス権" と記載されておりますが、下記コマンド例のように、"削除 (DELETE)" の権限を拒否設定する場合に、(D) を使用すると、/deny <ユーザー名> に指定したユーザーが、コマンド実行対象のファイルやフォルダーにアクセスできなくなります。これは、“(拒否対象の権限)” に (D) を指定することで、"削除 (DELETE)" の権限だけで無く、"同期 (SYNCHRONIZE)" の権限も拒否されることによる動作となります。
コマンド例icacls "<ファイルまたはフォルダーのパス>" /deny <ユーザー名>:(D)
"同期 (SYNCHRONIZE)" の権限が拒否された場合には、以下手順でファイルやフォルダーにアクセス出来なくなります。
・ コンピューターにログオンした状態で、フォルダーやファイルにアクセスする。・ SMB2 を利用したネットワーク経由でフォルダーやファイルにアクセスする。
現在設定されているアクセス権を確認する場合にも、icacls コマンドは利用できますが、コマンド プロンプト上には、"同期 (SYNCHRONIZE)" の権限は表示されないため、 /Save オプションを利用して、ファイルへSDDL形式での出力、もしくは PowerShell の Get-Acl コマンドレッド での確認が必要となります。そのため、ファイルへの出力をせずに、アクセス権の確認が必要な場合には、PowerShell の Get-Acl コマンドレッドをご利用ください。
PowerShell Get-Acl コマンドレッドの実行結果icacls "<ファイルまたはフォルダーのパス>" /deny <ユーザー名>:(D) コマンドを利用した場合には、"同期 (SYNCHRONIZE)" の権限が、DENY (拒否のアクセス権) に、設定されていることを確認できます。
なお、icacls コマンドのオプション設定により、アクセスが拒否される動作については、以下技術文書で公開いたしております。
文書番号: 2784859 icacls コマンドで、オブジェクトに削除拒否の設定を行うと、リモートからの接続時にアクセスが拒否されることがありますhttp://support.microsoft.com/kb/2784859/ja
- 参考情報
Windows Server 2008 のアクセス制御の新機能http://technet.microsoft.com/ja-jp/library/cc731677(v=WS.10).aspx
Get-Acl コマンドレットの使用http://technet.microsoft.com/ja-jp/library/ee176838.aspx