こんにちは。Windows テクノロジー サポートの服部です。

Windows Server 2008 でイベント ログを管理するためのセキュリティ アクセス許可の変更に関する
お問い合わせを複数いただきましたので以下にご紹介したいと思います。

Windows Server 2003 では、以下の公開技術情報にもありますとおり
"CustomSD" レジストリ値を編集する事により、イベント ログに対するセキュリティ アクセス許可をカスタマイズできます。

- ご参考
Windows Server 2003 のイベント ログのセキュリティをローカルまたはグループ ポリシーで設定する方法
http://support.microsoft.com/kb/323076/

結論としましては、Windows Server 2008 においても上記技術情報 323076 に記載されている、
Windows Server 2003 と同様の手順でイベント ログのセキュリティ アクセス許可を変更することが可能です。

ただし、Windows Server 2008 では、既定で CustomSD レジストリ値は存在しませんので
技術情報 323076 の方法をご利用の場合は、新たに CustomSD レジストリ値を作成する必要があります。

また、Windows Server 2008 では、OS 標準でイベント ログに関するコマンドユーティリティとして
wevtutil コマンドが付属しており、wevtutil コマンドからもイベント ログに関するアクセス許可の
変更が可能となっています。

今回はアプリケーションログに対して wevtutil コマンドを用いて
セキュリティアクセス許可を追加する方法についてご紹介します。

- wevtutil コマンドを用いたセキュリティ アクセス許可の追加方法

1. "スタート メニュー" から "コマンドプロンプト" を右クリックし、"管理者として実行"
から起動します。

2. 以下のコマンドを実行します。

wevtutil sl application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x3;;;DU)

※Windows Server 2008 でのアプリケーションログに対するアクセス権は
既定で以下となります。

O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)

上記例では、Windows Server 2008 の既定値に "(A;;0x3;;;DU)" の値を追記する事で、
アプリケーションログに対する "読み取り" および "書き込み" 権限を "Domain Users" に付与しております。

上記設定を行う事で、例えば、以下のスクリプト等を利用し、
対象となる Windows Server 2008 に対して、"Domain Users" の権限で
リモートからイベントログの書き込みを行う事も可能になります。

リモートイベント ログへのイベントの書き込み
http://www.microsoft.com/japan/technet/scriptcenter/scripts/logs/eventlog/lgevvb18.mspx

wevtutil コマンドライン ツールについては以下の Technet の記事をご参照ください。

Wevtutil
http://technet.microsoft.com/ja-jp/library/cc732848(WS.10).aspx

以下の Technet 記事にはコマンド ラインからイベント ログを消去する方法についての
説明が含まれています。よろしければ併せてご参照ください。

イベントログを消去する
http://technet.microsoft.com/ja-jp/library/cc722318.aspx

- 参考資料
Event Logging Security
http://msdn.microsoft.com/en-us/library/aa363658(VS.85).aspx
 
Eventlog Key
http://msdn.microsoft.com/en-us/library/aa363648(VS.85).aspx

Security Descriptor Definition Language
http://msdn.microsoft.com/en-us/library/aa379567(VS.85).aspx

※ NEW! 2010/6/21 追記:  本現象についての修正プログラムがリリースされました。

Windows Server 2003 SP2、Windows Server 2008、または Windows Server 2008 R2 では TS ライセンス サーバーまたは RD ライセンス サーバーのシステム ログにイベント ID 17 が記録される

http://support.microsoft.com/kb/983385/ja

注意事項は以下となります。

1.        適用にあたっては、ライセンス サーバーの再起動が必要です。このため、再起動の間は新規クライアントからはターミナル サーバーへの接続が行えない状況となります。(既に接続済みのクライアントへの切断などはございません。) 従いまして、ユーザー様のアクセスが無い時間帯等に適用をスケジュールいただきますようお願いします。

2.        当該修正プログラム適用によって、自動的に証明書の期限を更新する動作となるわけではありません。ライセンスサーバーが証明書の異常を検知した場合、ライセンス サーバーの画面上でエラー: c0010020 のポップアップ メッセージが出てしまい、管理操作ができない状況が発生することがありますが、当該修正プログラムにより、本ブログにもご紹介しておりましたレジストリを自動で編集して回避し、操作可能な状態に修復します。

しかしながら、証明書自体は期限が切れているままですので、引き続き手動にて再アクティブ化行う必要があります。(自動接続での再アクティブ化であれば、再アクティブ化はものの数秒で完了します。)

Ø  KB 983385 より抜粋: この修正プログラムをインストールした後、イベント ID 46 を持つ警告イベントがイベント ログに記録されます。このイベントでは、管理者が TS ライセンスサーバーまたは RD ライセンス サーバーを再アクティブ化するように指示されます。

再アクティブ化の方法は、上記 KB の回避策セクションからリンクされている、以下の KB の手順となります。(本ブログの回避策の手順 4,5 と同様です。)

ターミナル サーバー ライセンスサーバー/リモート デスクトップ ライセンス サーバーは一時ライセンスのみを発行し、イベント ID 17 をログに記録する

http://support.microsoft.com/kb/2021885/

※ 5/25 追記: 

本件につきまして、複数のご質問をいただきましたので補足いたします。

[ターミナル サーバー ライセンス] 管理画面において、ポップアップが表示され編集が出来ないという現象を確認いただいているお客様はご一読下さい。

当該現象発生時、環境によっては [ターミナル サーバー ライセンス] 管理画面において、以下のポップアップが発生して UI の操作ができない状況となります。これにより、回避策である、サーバーの再アクティブ化が行えない状況となります。 

ライセンスサーバのアクティブ化ウィザード：ライセンスサーバより内部エラーが発生しました。メッセージ番号：0xc0110011

(また、当該ログと併せて、イベント ログに ID 38 が記録される場合がございます。)

当該状況が発生した場合も、本ポストの回避策のセクションの手順 1 ～ 3 のレジストリ削除と Terminal Server Licensing サービス再起動にてポップアップを回避し、回避策である再アクティブ化を正常に実行可能です。

尚、CAL の追加インストールを行っていない限り、本ポップアップが出た場合でもユーザーは正常に接続可能であることが確認出来ておりますが、可能な限り早急に回避策を実施いただくことをお奨めいたします。

---------------------------- 

こんにちは。Windows テクノロジー サポート部門の石井です。

 今年、2 月末のあたりから、ターミナルライセンス サーバーにて ID 17 の証明書破損のイベントが記録されるといったお問い合せが多数寄せられております。Windows 2000 Server から、最新の Windows Server 2008 R2 までの全 OS にて、発生し得る事を確認しております。

本ブログ記事においては、イベント ID: 17 の原因と回避策をお知らせいたします。

(以下手順や画像はWindows Server 2003 を例としております。)

原因について

弊社サポート部門において調査を行ったところ、ライセンスサーバーの証明書が 2010/02/26 に失効するために本現象が発生することが確認出来ました。ライセンス サーバーの証明書は、ライセンス サーバーのアクティブ化の際に作成されますが、自動接続によるアクティブ化を行った場合は弊社ライセンス クリアリング ハウスが発行する証明書を取得します。

この証明書の失効日が、2010/02/26 であることから、今年の 2/26 以降に失効し、証明書破損を示すエラーが発生いたします。(電話、もしくは Web によりアクティブ化した場合には、ライセンス サーバー自身が自己署名証明書を発行しますが、この期限は 2049 年のため、本現象は発生しません。)

影響について

本警告イベントが記録されたとしても、ライセンス サーバーとしては正常に CAL を発行することが可能です。

しかしながら、ライセンス サーバーにおいて CAL の新規追加作業などを行った瞬間、ライセンス サーバーは異常を検知し、自分自身を非アクティブ化します。この場合、ライセンス サーバーとしての機能を失う為、ユーザーが CAL の発行を受けられなくなり、ターミナル サーバーに接続出来ない状態となりますので、早急に回避策を実施いただく必要がございます。

(※ 今回の問題を放置したまま、CAL の追加を行うことによりライセンス サーバーが非アクティブ化された場合については、内部エラー コード 0xc0110011  を示すポップアップが表示されます。)

尚、本イベント発生後もライセンス サーバーとしての機能を失うわけではありませんので、影響度としては低い点は上述いたしました通りですが、弊社において当該 ID 17 の警告が出たままでのライセンス サーバーにおいて詳細な運用テストを行ったわけではございませんので、当該状況において恒久的にライセンス サーバーをご利用いただくことの安全性を保証するものではございません。

従いまして、後述する回避策を可能な限りお早めに実施いただきますようお願いします。

対処方法について

 以下の対処方法により、自動接続により発行を受けた署名を削除し、2049 年を期限とする自己署名を発行することで本現象を回避することが可能です。

手順としては、以下とな��ます。

1. [管理ツール] - [サービス] より "Terminal Server Licensing" サービスを停止します。

2. ライセンス サーバー上のレジストリ エディタを開き、以下の 3 つのレジストリ キーが存在する場合には、それぞれを削除します。(本レジストリ キーに失効した証明書が保持されております。)

HKLM\Software\Microsoft\TermServLicensing\Certificates

HKLM\System\CurrentControlSet\services\TermservLicensing\Parameters\Certificates.000

HKLM\System\CurrentControlSet\services\TermservLicensing\Parameters\Certificates.001

3. [管理ツール] - [サービス] より "Terminal Server Licensing" サービスを開始します。

4. 上記レジストリ キー削除後、[ターミナル サーバー ライセンス] のコンソールを開き、

ライセンスサーバーを右クリックし、[拡張] - [サーバーの再アクティブ化] を選択します。

5. 再アクティブ化のウィザードに従い、再アクティブ化を完了することで上記の証明書が再作成されます。

※ 再アクティブ化の方法として、電話、Web、自動接続等を切り替えたい場合は、[ターミナル サーバー ライセンス] のコンソールにて、[プロパティ] を選択し、”インストールの方法” を切り替えて下さい。(下図参照)

お電話いただく場合には、予め、担当者様名、会社名、およびライセンスの種類 (Per User や Per Device、ボリューム ライセンスや市販のライセンス等) を控えていただけますと、スムーズです。

その他、アクティブ化にあたって用意すべき情報等、詳細をご確認いただきたい場合については、画面に表示されるライセンス クリアリング窓口にお電話いただき、ご質問いただければと存じます。

参考:

再アクティブ化の手順については、以下の技術情報をご参考下さい。

- Windows 2000 Server

[HOW TO] ターミナル サービス ライセンスを使用して、ライセンス サーバーをアクティブ化する方法

http://support.microsoft.com/kb/306622/ja

- Windows Server 2003
[HOWTO] ターミナル サーバー ライセンスを使用してライセンス サーバーを非アクティブ化または再アクティブ化する方法
http://support.microsoft.com/kb/814593/

ターミナル サーバー ライセンス サーバーを再アクティブ化する
http://technet.microsoft.com/ja-jp/library/cc787541(WS.10).aspx

- Windows Server 2008 および Windows Server 2008 R2
リモート デスクトップ ライセンス サーバーを再アクティブ化する
http://technet.microsoft.com/ja-jp/library/cc754189.aspx

上記対応における注意事項について

上記の再アクティブ化手順を実施中は、ライセンスサーバーが不在の状態となります。従いまして、その間のみは、クライアントからターミナル サーバーへのアクセスを行った場合に接続が出来ない状態が続きます。既に接続済みのクライアントが切断されることはありませんが、ユーザーからのターミナルサーバーへの接続が頻繁に行われる時間帯を避けて上記を実施いただきますようお願いいたします。(ライセンス クリアリング窓口は、24 時間、休日も対応しております。詳細については、ライセンス クリアリング窓口に予めお電話いただくことをお奨めいたします。)

弊社における今後の対応について

現在、開発部門においては上記問題についての修正プログラムの作成について検討しております。しかしながら、修正案と、修正後のテストの日程などを考慮いたしますと、具体的な修正のリリース日時はまだ未定の状態となっております。

修正プログラムがリリースされ次第、詳細を弊社技術情報 (Knowledge Base) に公開させていただきますが、当面の対処としては上記をご検討いただければ幸いです。

皆様には、本現象によりご不便をおかけしてしまい、大変申し訳ありませんが、よろしくお願いいたします。

参考情報:

同一の現象につきまして、弊社開発部門のブログからも情報がリリースされております。(記事は英語となります。)

Remote Desktop Services (Terminal Services) Team Blog

http://blogs.msdn.com/rds/archive/2010/03/30/event-17-certificate-corruption-on-terminal-services-remote-desktop-license-servers.aspx

補足:

上記以外のID 17 の発生理由として、ライセンス サーバーのデータベースが破損している可能性が考えられます。(破損の理由はファイル システムの異常やディスクの不具合など、様々です。) そういった場合、上記のライセンスサーバーの再アクティブ化のみでは現象が改善しない場合があり、ライセンス サーバーのコンポーネントの再構築が必要となります。

上記の回避策だけでは現象が改善しなかった場合については、下記技術情報をご参考下さい。

Event 17 is recorded in the System log on a Windows 2000 Server-based computer that is running Terminal Services Licensing Server

英語版: http://support.microsoft.com/kb/887443/en-us

日本語機械翻訳版: http://support.microsoft.com/kb/887443/ja

Event ID 17 — Terminal Services License Server Activation

http://technet.microsoft.com/en-us/library/cc775254(WS.10).aspx

(恐れ入りますが、英語ドキュメントのみとなっております。)

こんにちは。Windows テクノロジー サポートの安達です。

KMS ライセンス認証で使用されるボリューム ライセンス用プロダクト キーの
プロダクト キー グループの考え方等についてご紹介したいと思います。

なお、本日ご紹介させていただきます内容については、特に明記が無い限り
プラットフォーム (x86, x64, IA64) に依存しない内容としてご紹介しております。

また、KMS ライセンス認証そのものについての説明は、
以下のブログで紹介させて頂いておりますので
よろしければ合わせてご確認ください。

コンテンツ

• プロダクト キー グループと KMS クライアントの関係
• プロダクト キー グループと KMS ホストの関係
• プロダクト キー グループの対応表
• まとめ

プロダクト キー グループと KMS クライアントの関係

KMS ライセンス認証は、KMS ホストと呼ばれる端末が KMS クライアントに対して
ライセンス認証を提供する構成となります。

KMS ライセンス認証用のボリューム ライセンス プロダクト キーは
KMS ホストとして構成する端末にインストールするためのプロダクト キーとなりますが、
プロダクト キーごとにライセンス認証可能な KMS クライアントの OS が異なります。

上記 KMS ライセンス認証用のボリューム ライセンス プロダクト キーの
種類を表す言葉として プロダクト キー グループ という表現が使われます。

現在提供されている KMS ライセンス認証用のプロダクト キーの
"プロダクト キー グループ" および "プロダクト キー グループ" ごとに
ライセンス認証可能な KMS クライアントの OS を 1 つの図にまとめると
以下のようになります。

KMS ライセンス認証 "プロダクト キー グループ"

KMS ライセンス認証の "プロダクト キー グループ" は階層構造を取っており、
上位の "プロダクト キー グループ" は下位の "プロダクト キー グループ" の
内容も含む形になります。

また、上記図における黒字の内容が "プロダクト キー グループ" の名称、
白字の内容が該当の "プロダクト キー グループ" のプロダクト キーを使用した場合に
ライセンス認証が可能な KMS クライアントの種類となります。

※ "Windows Server 2008" と "Windows Server 2008 R2" では
"サーバー グループ" という同じ表現を使用しますが、
含まれる対象が異なりますのでご注意ください。

上記図では、便宜上左上にカタカナ 1 文字を付与しておりますが、
このカタカナ 1 文字を用いて各 "プロダクト キー グループ" ごとに
ライセンス認証可能な KMS クライアントの組み合わせをまとめると以下のようになります。

例えば、上記 「カ」 の [Windows Server 2008 向け サーバー グループ B] の
プロダクト キーでは、下位の [Windows Server 2008 向け サーバー グループ A] と
[クライアント (Windows Vista) 用の プロダクト キー グループ] を包含しますので、
最終的にライセンス認証可能な KMS クライアントとしては以下となります。

Windows Server 2008 向けサーバー グループ B を使用した場合に
ライセンス認証が可能な KMS クライアント

• Windows Server 2008 Standard
• Windows Server 2008 Enterprise
• Windows Web Server 2008
• Windows Vista Business
• Windows Vista Enterprise

また、Windows Server 2008 R2 向け "プロダクト キー グループ" では、
同一エディションの Windows Server 2008 についても KMS クライアントとして
ライセンス認証を行うことができるようになっています。

例えば、上記 「ウ」 の [Windows Server 2008 R2 向けサーバー グループ A] の
プロダクト キーでは、Windows Web Server 2008 R2 と
Windows HPC Server 2008 R2 に加え、同一エディションの下位 OS である
Windows Web Server 2008 および Windows HPC Server 2008 についても
KMS クライアントとしてライセンス認証を行う事が可能です。

この事は、上記図内においては 「ウ」 配下に下位 OS の Windows Server 2008 向けの
サーバー グループ A である 「キ」 が含まれるように記載する事で表現しています。

上記をふまえ、下位の "プロダクト キー グループ" も含めた
最終的にライセンス認証可能な KMS クライアントをまとめると以下のようになります。

Windows Server 2008 R2 向けサーバー グループ A を使用した場合に
ライセンス認証が可能な KMS クライアント

• Windows Web Server 2008 R2
• Windows Web Server 2008
• Windows HPC Server 2008 R2
• Windows HPC Server 2008
• Windows 7 Professional
• Windows 7 Enterprise
• Windows Vista Business
• Windows Vista Enterprise

プロダクト キー グループと KMS ホストの関係

現在 KMS のバージョンとしては "1.0" "1.1" "1.2" の 3 種類があります。
KMS ホストとして構成する場合にはこの KMS バージョンの違いにより
使用できる "プロダクト キー グループ" が異なります。

KMS ホストとして構成可能な OS ごとに KMS ホストとして構成した場合の
既定の KMS バージョンおよび該当の OS を KMS ライセンス認証でホストする場合に
必要な KMS バージョンをまとめると以下のようになります。

例えば Windows 7 の KMS クライアントを KMS ホストで管理する事を考えた場合、
KMS のバージョンが "1.2" である必要があります。

また、Windows 7 は既定で KMS 1.2 のため、Windows 7 を KMS ホストとして構成すれば
同じく Windows 7 の KMS クライアントを管理する事ができる事になります。

その他の OS については KMS 1.2 用のアップデート モジュールが別途提供されておりますので、
これらのモジュールをインストールする事で、その他の OS でも KMS ホストとして
Windows 7 や Windows Server 2008 R2 をホストする事が可能となります。

ただし、原則的にはクライアント用の "プロダクト キー グループ" (クライアント VL) は
クライアント OS で使用し、サーバー用 "プロダクト キー グループ" (サーバー グループ) は
サーバー OS で使用する必要があります。

つまり、Windows 7 を KMS ホストとして構成した場合に Windows Server 2008 R2 用���
プロダクト キーを使用したり、反対に Windows Server 2008 R2 で
Windows 7 用のプロダクト キーを使用する事はできません。
(Windows Vista および Windows Server 2008 でも同様の考え方となります。)

また、Windows Server 2003 を KMS ホストとして構成する場合は、
他の OS を KMS ホストとして構成した場合とは若干扱いが異なり、
全ての "プロダクト キー グループ" に対応した KMS ホストとして構成する事が可能です。

Windows Server 2003 の KMS ホストでは 上記表の "ホストする場合に必要な KMS バージョン"
と同様に KMS のバージョンによって、以下のようにホスト可能な OS が異なります。

各 OS ごとの KMS 用アップデート モジュールについては
以下よりダウンロードが可能となっておりますのでご確認ください。

プロダクト キー グループの対応表

最後にここまでの内容でご紹介させていただきました "プロダクト キー グループ" ごとの
KMS ホストとして構成可能な OS および KMS クライアントとしてライセンス認証可能な
OS について、各 OS 向けの "プロダクト キー グループ" ごとに一覧にさせていただきましたので
ご確認ください。

まとめ

最後に今回ご説明いたしました内容について
抑えて頂きたいポイントのまとめと参考情報のご紹介をさせていただきます。

• KMS ライセンス認証用プロダクト キーの種類を表現する言葉として
  "プロダクト キー グループ" がある
• "プロダクト キー グループ" は階層構造で下位の "プロダクト キー グループ" の
  内容を包含する
• KMS ライセンス認証用プロダクト キーによってライセンス認証可能な
  KMS クライアントが異なる
• KMS ライセンス認証用プロダクト キーによって KMS ホストとして構成できる OS が異なる
• KMS のバージョンによってホスト可能な KMS クライアントの OS が異なる

参考情報

こんにちは。Windows プラットフォーム サポートの丸山です。
本日は Windows 7 における、既定のユーザー プロファイルのカスタマイズについてお話しします。

Windows で既定のユーザープロファイルをカスタマイズする場合には、よく知られている方法として、以下の 2 つの方法がありました。

(1) カスタマイズしたプロファイルを、既定のユーザー プロファイルへコピーする (非サポート)
(2) Sysprep を実行し、カスタマイズしたプロファイルを既定のユーザー プロファイルへコピーする (推奨)

さまざまな理由により、現在では (2) の方法のみ、弊社でサポート可能な手順として推奨しています。

それぞれの手順がどういったものであるか、見てみましょう。

(1) カスタマイズしたプロファイルを、既定のユーザー プロファイルへコピーする (非サポート)

従来の Windows では、Administrator ユーザー アカウントのプロファイルにカスタマイズを行い、既定のユーザー プロファイルに上書きコピーすることで、既定のユーザー プロファイルのカスタマイズを行うことができました。

ただし、本来この方法は既定のユーザー プロファイルをカスタマイズすることを目的として提供されているものではなく、ローカル プロファイルを移動プロファイルとしてプロファイル サーバーへアップロードを行うために提供されているものです。

また、いくつかのプロファイル コピー ツールが公開されており、これらのツールを使用して、カスタマイズを行ったユーザー プロファイルを、既定のユーザー プロファイルに上書きすることで、カスタマイズを行うこともできました。

※この手順は、弊社でも多くの技術情報を公開していましたが、現時点ではすべて公開を停止しています。

この手順は、古くから存在している方法で、Windows の実装が単純であった Windows NT 4 では期待通り動作していました。

しかしながら、Windows 2000 以降、Windows の実装は大変複雑になり、この手順により既定のユーザー プロファイルのカスタマイズを行った環境では、様々な問題が発生する事が明らかになりました。

特に、Windows XP や、Windows Vista 以降では、以下の問題を含め、より多くの問題が確認されました。

• よく使うプログラムの一覧が削除されていない
• [マイ ドキュメント] フォルダの表示名が正常に表示されない
• Internet Explorer でファイルのダウンロードを行うときの既定のフォルダが、別のユーザーのフォルダになる
• アプリケーションがファイルを開く際、既定のフォルダが、別のユーザーのフォルダになる
• Windows 7 の [ライブラリ] 機能が正常に動作しない

弊社では、問題解決のためにさまざまな調査を行い、修正を検討しましたが、残念ながらこの問題の根本的な解決は困難であると判断せざるをえませんでした。

このため、この手順による既定のユーザー プロファイルのカスタマイズは、Windows XP 以降、非サポートの手順となりました。

しかしながら、Windows XP や Windows Vista などの Windows では、ユーザー プロファイル画面にて、カスタマイズを行ったプロファイルを、既定のユーザー プロファイル フォルダに上書きコピーすることにより、結果として既存のユーザー プロファイルをカスタマイズすることができてしまいます。

この操作が可能であることにより、コンピューターの管理者は引き続きこの手順を使用した既定のユーザー プロファイルのカスタマイズを行えるため、その結果上記のような問題を含んだ既定のユーザー プロファイルが作成されてしまいます。

上記のような背景により、Windows 7 ではこれらのトラブル発生を未然に防ぐため、プロファイルのコピーそのものができないよう、変更されております。

図1:Windows Vista の [ユーザー プロファイル] 画面では、既定のユーザープロファイルが上書きできてしまう

図2:Windows 7 の [ユーザー プロファイル] 画面では、プロファイルのコピーができないよう変更されました

Windows XP 以降、既定のユーザー プロファイルのカスタマイズを行うためには、次の手順にて紹介する、Sysprep コマンドを使用したユーザー プロファイルのカスタマイズが必要となります。

(2) Sysprep を実行し、カスタマイズしたプロファイルを既定のユーザー プロファイルへコピーする (推奨)

Windows XP Service Pack2 以降、Sysprep 実行時の動作が変更され、既定のユーザー プロファイルのカスタマイズが可能となりました。

Sysprep を使用した既定のユーザー プロファイルのカスタマイズにつきましては、次のように技術情報を公開しております。

• Windows Vista、Windows Server 2008、Windows XP、または Windows Server 2003 のイメージを準備する際に、デフォルトのローカル ユーザー プロファイルをカスタマイズする方法
  http://support.microsoft.com/kb/959753/ja

• Windows 7 でネットワークの既定のユーザー プロファイルまたは必須のユーザー プロファイルをカスタマイズする方法
  http://support.microsoft.com/kb/973289/ja

しかし、上記技術情報の方法を用いた場合でも、カスタマイズを行ったすべての内容が既定のユーザー プロファイルに反映されるわけではありません。

いくつかの設定は、Minisetup や、ユーザー アカウントの初回ログオン処理によって、初期化されます。

この動作は、各コンポーネントの動作に問題が発生しないよう考慮されたための動作となりますが、反映されない設定や、初期化される設定の一覧は今後変更される可能性があり、現時点では公開しておりません。

また、Windows XP / Windows Server 2003 と、Windows Vista 以降では、Sysprep の動作および、応答ファイルの書式が大幅に変更されています。

Windows Vista 以降の OS では、既定のユーザー プロファイルのカスタマイズを行う場合、generalize(一般化する) オプションを有効にした Sysprep コマンドの実行時に <CopyProfile> パラメータを有効にした応答ファイルを指定する必要があります。

なお、本手順にて必要な応答ファイルは、以下の Windows 自動インストール キット (AIK) に含まれる Windows システム イメージ マネージャ (SIM) を使用して作成することができます。

• Windows 7 用の Windows 自動インストール キット (AIK)
  http://www.microsoft.com/downloads/details.aspx?familyid=696DD665-9F76-4177-A811-39C26D3B3B34&displaylang=ja

AIK のインストール手順、及び、SIM を使用した応答ファイルの具体的な作成手順につきましては、次の技術情報をご参照ください。

• ステップ 1. テクニシャン コンピューターの準備
  http://technet.microsoft.com/ja-jp/windows/ee676464.aspx

※既定のユーザー プロファイルのカスタマイズのみを行う場合は、上記 "1.2. 起動可能な Windows PE メディアの作成" の作業は不要です。

最後に

繰り返しとなりますが、さまざまな理由により、Windows 7 では Sysprep を使用した既定のユーザープロファイルのカスタマイズが、唯一サポートされた推奨手順となります。

Windows 7 にて、[ユーザー プロファイル] 画面におけるプロファイルのコピーが使用できないことについては大変反響が多く、弊社サポート窓口にも多くのお問い合わせをいただいておりますが、問題発生を未然に防ぐための変更であることをご理解いただければ幸いです。

- 参考資料
Windows 7 展開センター
http://technet.microsoft.com/ja-jp/windows/ee517406.aspx

Windows 7 標準クライアント イメージの作成手順
http://technet.microsoft.com/ja-jp/windows/ee676462.aspx