PCオタクの新入社員がやってきた! そのとき管理者(あなた)は…良い管理者 悪い管理者 普通の管理者(5/5 ページ)

» 2006年07月25日 19時53分 公開
[木村尚義,ITmedia]
前のページへ 1|2|3|4|5       

良いシステム管理者

ユーザーの理解と協力を得つつ
グループポリシーを適用しよう

 〔良いシステム管理者・鈴木洋〕はA社のシステム管理者である。2年前にA社が全面的にPCを入れ替えることになってからシステム管理者として任命されたので、自分にはまだ経験が不足していることを自覚している。そんな自分にとっては、いろいろなPC環境が混在するとトラブルの原因究明が難しくなってしまう。また今年4月からは個人情報保護法が全面的に施行される。情報漏えいの問題もある。環境の違うPCが混在するとセキュリティ管理も複雑になってしまう。そこで日ごろから、不用意にソフトウェアを導入することで不安定な要因を作ることを避けていた。

 鈴木はA社のシステム管理を任されたと言っても、PCに詳しいという自信はなかった。だから、山田健太のような、ITに詳しい社員には気後れを感じていた。しかし、一部の社員の個人的な考えで社内環境を変更されると、ルールがあいまいになってしまう。逆に、スキルの足りない自分にとっては、彼らオタク社員の能力をうまく引き出しつつ、ITシステムを劇的に改善したいという思惑もある。

 そこで以下の3つのポイントに従い、オタク社員からシステム環境を守ることにした。

  1. 組織
  2. プロセス
  3. 技術

1.組織
 組織としてポリシー(方針)を定めることを目的とし、IT化のゴールを明確にする。定められたポリシーに従って人を配置し、教育を実施するのだが、ポリシーを施行する前に、背景をきちんと説明しなければ同意が得られないだろうし、管理者に内緒で環境を変更されるかもしれない。

 そこで鈴木は社内説明会を開き、次のような背景をきちんと説明した。

1) 全社で統一環境にした理由
 仕事の効率が上がるからと善意で自分の使いやすい環境を作ったとしても、全社レベルで考えると、かえって効率が落ちることがある。

2) 環境を1人だけ変更すると生じる問題
 社内の環境を個別に変更した場合は、さまざまな組み合わせがあり、トラブルが生じた際に過去の事例を参照することができず、原因究明に時間がかかる。

 例えば、1人だけアプリケーションのバージョンアップを行うと、過去のアプリケーション互換モードを使ったとしても、書式がズレてしまったり、他の人がファイルを使う時に互換性の問題が発生したりということがある。

3) 全社の作業効率改善に協力
 もし環境を変更したほうが効率を良くすると思える時はどしどし提案をしてほしい。テスト環境を作り、十分に検証後、全社で計画的に実施する。その時は、テスト環境作りにも協力してほしい。

4)同意書
 最後にこれまでの説明に同意をしたら、組織ポリシーを盛り込んだ同意書に署名をしてほしい。同意書の内容は以下の通りである。

  • PC 環境を管理者の許可なく変更しない
  • PCを使って送受信するすべての内容はセキュリティ保護のため証拠としてログを残す(会社でプライベートな通信は控える)

2.プロセス
 組織としてのポリシーを定めた後、環境を変更する場合のプロセスを定着させる必要がある。個人情報保護法の問題もあるため、勝手な環境変更はセキュリティの問題があるのだ。そこで鈴木は、実際の運用として情報の出入り口を制限するとともに、環境を変更する時の手順を作ることとした。

1) PCには周辺機器を接続できないようにする
 内蔵CD、FD、USBポートが使用できないよう、シールなどでポートを殺す。これで外部接続メディアからOSを起動することはできなくなる。また私物のハードウェア増設を防ぐため、PCの筐体もシールで封印する。

2) 例外の申請
 運用には必ず例外が発生するので、環境を変更する場合、どこまで変更してよいか基準を作る。基準を超えて環境を変更する時は、システム管理者まで申請する。

3.技術
 全社のPC環境を統一するために、OSレベルで環境をロックしてしまう。「つい出来心で…」といった事態を防止するためだ。Windows XPをクライアントOSに採用すれば、一般ユーザーはアプリケーションをインストールできないように制限できる。

 しかし、Windowsのデスクトップではユーザーが自由に作業できるように、読み取り、書き込み、実行が許可されている。そのため、いくらアプリケーションを禁止しても、デスクトップに実行ファイルをコピーしてしまえば実行が可能になってしまう。そこで鈴木は、アプリケーション実行の例外を許さない仕組みを導入することとした。

 Windows ServerのActive Directoryであれば、環境を統一するにあたりグループポリシーを適用できる。一度の操作で、多数のユーザーおよび多数のコンピュータ環境を統一できるのだ。

1) アプリケーション制限ポリシーを設定
 特定のディレクトリパス以外からはアプリケーションを起動できないようにする。

グループポリシーのソフトウェア制限ポリシーを設定
クライアントで運用ポリシーに違反してアプリケーションを実行した時に表示されるメッセージ

 鈴木は実際に運用していく中で問題点を解決したり、改善すべきところを洗い出したりするために、山田健太に協力を求めるようにした。こうして、敵対することなくオタク社員たちに理解を求めることにより、組織のポリシーを定着することに成功したのだ。

良い管理者への心得4箇条

  1. 組織、プロセス、技術を重視し環境を構築する。
  2. オタク社員と決め付け、最初からマイナス評価のレッテルを貼らない。
  3. なぜ社内のPC環境を変更したらいけないのかという背景を説明する。
  4. IT化推進のために良いアイデアがあったら、提案するように協力を求め、システム管理に協力してもらえる工夫を図る。

このコンテンツはサーバセレクト2005年5月号に掲載されたものを再編集したものです。


前のページへ 1|2|3|4|5       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ