ADで大量展開している端末のOfficeのリボンの最小化、表示を一括で変更したい

（質問）
当方SEなのですが、お客様の環境でOffice(Excel)のリボンが表示されている端末とされていない端末があるので、一括で変更を行いたい、と言われております。
ADでそのような操作は可能でしょうか？
※元々はIEの中でのOfficeの表示について変更したい、との要望だったのですが、これはOffice単体で起動した時と同じ表示になっているとの認識です。
環境は以下の通りなのですが、何か方法はありますでしょうか？
（具体的にはExcelについて指摘を受けていますが、WordやPowerPointについても要望が出てくる可能性がある為、できればそれら3つについて知りたいです。）
・OS:Windows7
・Officeバージョン:Office2007
・端末はAD環境

以上、よろしくお願いします。

（回答）
ひとまず、Office 2010ベースの情報ですが、リボン表示に関するレジストリを変更するスクリプトを「ログオンスクリプト」で実行するか、専用の管理テンプレートをインス トールしてGPOで設定する方法になりそうです(GPOの方はリボンのカスタマイズに関する項目を確認する必要があります)。
レジストリを設定する方法については、したのページがわかりやすいでしょう。
http://blogs.technet.com/b/office_jp/archive/2011/11/10/hiding-the-ribbon-in-office-2010.aspx
GPOの方はMSから情報が出ていますが、管理テンプレートで対応可能な項目はどこか、等調べながら実現する必要があります。
http://msdn.microsoft.com/ja-jp/library/office/ee704589(v=office.14).aspx
Office 2010の管理テンプレートはここにあります。
http://www.microsoft.com/en-us/download/details.aspx?id=18968.com/en-us/download/det
Office 2007ということなので、Office 2010と同じようにできるのか確認いただいた方がいいでしょう。

Office 2010 でグループ ポリシーを使用して設定を適用する－MS
管理用テンプレート（.adm）を追加するには－office-qa.com

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/977b91a9-3607-46ca-97ce-8859e1638c1a

ドメイン環境で使用されるポート

（質問）
信頼関係を結んでいる二つのドメインで使用する動的ポートについて
 
信頼関係を結んでいる二つのドメイン間で開放する必要のある動的ポートについての質問です。
OS：Windows Server 2003及びWindows Server 2008 R2　SP1
Windows Server 2003のDC2台で管理されているドメインとWindows Server 2008 R2のDC2台で管理されているドメインが信頼関係（フォレストの信頼）を結んでいます。信頼関係は2008R2ドメイン内のファイルサーバーに2003DCに属するコンピュータから2003DCのアカウントでシングルサインオンでアクセスする用途のためだけに結んでいます。
下記のサイトを参照すると、ADで使用する動的ポートとしては2003では1024-65535を2008では49152-65535を使用するとのことですので、本環境では二つのバージョンの動的ポートを網羅するため以下のそれぞれの箇所にあるファイアウォールで1024-65535を解放している状況でした。
1.2003ドメインと2008R2ドメインの間
2.2003ドメイン内
3.2008R2ドメイン内
しかし、そうすると開放しているポートがあまりに広範囲となるため、ためしに以上の３つの地点で1024-65535を解放していたものを49152-65535に狭めたら、特にADの動作に問題はありませんでした。
これにより、信頼関係を結んでいる相手のファイルサーバにアクセスするだけの用途であれば2003で必要な1024-49151が開放されている必要はないのかもしれないと解釈しているのですが、このままの環境にしておいて何か想定される問題はありますでしょうか
ご回答頂けると大変うれしいです。
 
（回答）
●●●●です。
片方向のみへのアクセス、という意味での信頼でしょうか？リクツとしては2003側のRPCサービス(エンドポイントマッパからの2次接続)にアクセスしない、ということならこの設定で大丈夫だと思うのですが、本当にそれで問題ないかどうかは、実際に想定する操作を一通り行って確認した方がいいと思います。RPCがどのポートを使っているかは、portqryuiツールで確認できます。
http://support.microsoft.com/kb/832919/ja
RPCポートのせいでFWが全開になってしまうのがちょっと、ということなら、RPC2次ポート範囲を明示的に指定し、その範囲だけFWを通す、という対応はどうでしょうか。したの情報を参考に設定を行ってください。ただし、ポートの範囲は数百個は必要なので、そこは注意してください。
http://support.microsoft.com/kb/154596
 
(MSのプログ)
ドメイン環境で使用されるポートについて
(MSのページ)
Active Directory および Active Directory ドメイン サービスのポートの要件
（参考ページ）
http://www.infraexpert.com/study/tea5.htm
http://www.cman.jp/network/term/port.html
http://www.vwnet.jp/mura/PortNumbers/tcpip-port.asp
（過去ログ）
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/529fa9f2-3b6e-4584-a87b-44f4ad6bbbd3/#43fcbc02-653b-49ed-afd4-7d27594f707c
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/f6c6e5c1-0199-4244-89dc-f95ce3663250
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/65ee97fc-fe41-4ae5-92d5-c387a5a9a166

Windows PowerShell のActive Directoryモジュール

（質問）
ADサイト用のサブネットを登録するコマンド・ツールは有りませんか
 
ドメインへのサイトの新設を考えています。
必要なサブネットの数を確認してみたところ、４００を超えるため、「サイトとサービス」スナップインから手作業で登録する事は出来れば避けたいです。
そこでご質問なのですが、ADサイト用のサブネットを、コマンドやツールを用いて作成する手法は有りませんか。
環境としてはWindows Server 2003 R2 , DC 2台でシングルフォレスト/シングルドメイン/サイト無しで運用中。
情報がございましたらご教授頂けたら幸いです。
 
【追記】
状況を追記します。
DHCPサーバで端末側へ振り出しているIPアドレスが全て現在、24ビットマスクで管理されています。
MS公開情報には次の記述が有りました。
「サイト、サブネット、およびサイト リンクとは」
http://technet.microsoft.com/ja-jp/library/cc754697.aspx
 
「AD DS の "サブネット" という用語は、一連のすべてのアドレスを 1 台のルーターに設定するような、厳密なネットワーク定義を意味するものではありません。AD DS のサブネットの唯一の要件は、アドレス プレフィックスが IP Version 4 (IPv4) 形式または IP Version 6 (IPv6) 形式に準拠することです。」
 
つまり、ＡＤサイト用のサブネットを指定する際は、「24ビットマスクのサブネットを一括で登録する意味で、16ビットマスク形式でサブネットを作成しても構わない」という意味にとって良いでしょうか？
であればだいぶ楽です。
今後の事も含めて、コマンド/ツールが有るに越したことはないのですが…
 
（回答）
例えば、PowerShell で可能です。( 以下は、PowerShell 2.0 の場合です。)
 
Import-Module -Name ActiveDirectory
New-ADObject -Type subnet <その他の引数...>
作成例としては、PowerShell にて、Get-Help -Name New-ADObject -Examples  を実行するか、New-ADObject を参照すると、例 1 として載ってますね。
 
AD DS の新機能: Windows PowerShell の Active Directory モジュール
Windows PowerShell を使用した Active Directory レプリケーションおよびトポロジ管理
（＠ＩＴ資料）
http://www.atmarkit.co.jp/fwin2k/winsv2008r2/03powershell/
03powershell_01.html
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/058914cc-c61f-4d9b-ab18-6157b81b74cc

異なるフォレスト間におけるリソースのアクセス許可設定

（質問）
異なるフォレスト間におけるリソースのアクセス許可設定について
 
異なるフォレスト間（フォレストA、フォレストB）において双方向の信頼関係を結びました。
フォレストAには、Aドメインのみ 、フォレストBには、Bドメインのみ存在しています。
フォレストAにあるリソース（ファイルサーバー）にアクセスさせるために、フォレストBのユーザーをフォレストAのグループに登録する方法についてご教授いただきたく存じます。
詳細について申しますと、フォレストAにあるグループ（ユニバーサルグループ、グローバルグループ）にフォレストBのユーザーを追加したいと考えております。フォレストA側の「Active Directory ユーザーとコンピュータ」において既存のグループ（ユニバーサルグループ、グローバルグループ）にフォレストBのユーザーを追加したいのですが、グループのプロパティのメンバータブ追加を押した際に、「ユーザー、連絡先、コンピュータまたはグループの選択」の場所においてフォレストBが表示されず、フォレストBのユーザーを追加できません。追加する方法についてご教授ください。
不足している情報等があればご指摘いただけると大変助かります。
宜しくお願い致します。
 
（回答）
グローバルグループには、同一ドメイン内のユーザーやグローバルグループを参加させることができます。
ユニバーサルグループには、同一フォレスト内のユーザーやグローバルグループ、ユニバーサルグループを参加させることができます。
どちらのグループも他のフォレストにあるユーザーやグループを参加させることはできません。
フォレスト A にある ユニバーサル or グローバルグループのメンバー追加画面で フォレスト B が表示されないのはそのためです。
ドメインローカルグループであれば、他のフォレストに存在するユーザーやユニバーサル or グローバルグループをメンバーに加えることができますので、
A ドメインにドメインローカルグループを作成して、そこにフォレスト B 内のユーザーやグループを追加してやれば良さそうです。

(MSのページ）
グループのスコープ 
（参考資料）
AGUDLPポリシー
http://ascii.jp/elem/000/000/505/505060/index-2.html

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/7c9a9028-bba1-45f7-a80b-57b10e35988e

PowerShellのGet-ADComputerコマンドレット

 Windows Server 2008 R2にはActive Directory専用のPowerShellモジュールが実装されている。
 
（質問）
特定OUのコンピュータオブジェクトのプロパティ情報抽出方法
 
特定のOUに属している、コンピュータ名一覧とオペレーションシステムの名前の抽出方法をご教授いただきたく質問させていただきます。
可能であれば、バージョンとServive Packの項目も出力できれば助かります。
Power ShellのGet-ADComputerコマンドでは、上記情報の出力はできなかったので他に方法があればと思います。
何卒、宜しくお願い致します。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
○○○○です。
 
Get-ADComputerコマンドレットでオブジェクトを取得すると、既定のセットのみの情報が取得され、すべての情報はしゅとくされません。で、すべての情報を取得するなら、-Propertiesオプションを使って追加属性を指定します。ワイルドカードで全属性を取得できます。

（略）

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
○○○○様
 
ご教授いただき有難うございました。
教えていただいたコマンドを参考にさせていただき出力することができました。
大変、助かりました。
テキストへ出力するコマンド
Get-ADComputer -Filter * -SearchBase "CN=Computers,DC=Example,DC=com" -Properties * | Format-List Name,operatingSystem,operatingSystemServicePack,operatingSystemVersion | -Out-File C:\data.txt
 
（MSページ）
http://technet.microsoft.com/ja-jp/library/dd378783(WS.10).aspx
（資料）
http://www.atmarkit.co.jp/fwin2k/winsv2008r2/03powershell/
03powershell_01.html
http://www.atmarkit.co.jp/fwin2k/winsv2008r2/06adr2/adr2_03.html
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/5fb44a5a-2d0e-4170-a506-80aea9ad72bc

グループポリシーのループバック処理とWMIフィルター

「特定の名前のコンピュータにログオンするときだけ」グループポリシーを適用するにはグループポリシーのループバック処理を使う。グループポリシーのWMIフィルターを使う方法もあるがスクリプトの知識が必要である。
 
（質問）
ログオン/ログオフスクリプトを適用するコンピュータを指定したい
 
お世話になっております。
 
AD環境(ADサーバ:Win2008R2SP1)の[DefaultDomainPolicy]-[ユーザーの構成]-[ログオン/ログオフ]にてスクリプト(.vbs)を設定しております。
すべてのドメインユーザーをスクリプト実行の対象とし、コンピュータ単位でスクリプトを実行するか選択することはできるのでしょうか？
関数やサンプルソース、参考となるURLを添付いただけると幸いです。
 
以上、宜しくお願いいたします。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（回答１）
http://support.microsoft.com/kb/231287/ja
http://office-qa.com/win/win84.htm
http://technet.microsoft.com/ja-jp/library/cc756717(WS.10).aspx
にあるように、グループポリシーのループバック処理を使ってみてはいかがでしょうか。
 
なお、グループポリシーはDefault Domain Policyとは別に作成し、適用対象のコンピュータを集めたOUに対して適用するグループポリシーに設定する必要があるかと思います。

 －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（回答２）
○○○○です。
 
△△△△さんが適切な方法を紹介されていますが、別の方法もあります。
グループポリシーのWMIフィルターを使うことで、「特定の名前のコンピュータにログオンするときだけ」グループポリシーを適用する(あるいはその逆)、ということもできますよ。
 
http://jehupc.exblog.jp/13131701/
 
 （参考資料）
WMIを使うスクリプトを簡単に作成する
http://www.atmarkit.co.jp/fwin2k/win2ktips/756wmicreator/wmicreator.html
WMI Code Creator v1.0
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/5567eb3e-84b9-4860-8909-a8b1bcf909dc/#8b207f3d-ac83-4820-88bb-e2acae7b4bcf
 

OutlookのPSTファィルをネットワーク共有に置くのは危険である

ＯＵＴＬＯＯＫのＰＳＴファイルはフォルダリダイレト、移動プロファイルの対象とすることはできない。
 
（質問）
移動プロファイルのoutlookについて
 
お世話になっております。
 
【現象概要】
・移動プロファイルに設定した、Outlook のデータが 0 キロバイトになり、開けない
・Outlook は破損しておらず、メールアカウントが破損していた
・イベントログ上では、ログオフの際にタイムアウトが発生していた
・ネットワークが見つからず、コピーできないというエラーも発生していた
・ネットワーク障害は起きておらず、他のユーザーはインターネット、
  ファイルサーバーにアクセスが可能だった
 
【環境】
・ADサーバ　windows 2003 Server Enterprise
・クライアントPC windows 7 Professhional(SP1）
・ユーザアカウント　移動プロファイル
・office製品　Office2010Plus(SP1）
【ご質問】
 
・PSTファイルのサイズは 5M あったのですが、
  移動プロファイルユーザではメールファイルの限界があるためにエラーが起きるのでしょうか
・原因の特定、あるいは移動プロファイル設定時に注意事項を知りたい
 
以上よろしくお願いします。
 
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答）
http://office.microsoft.com/ja-jp/outlook-help/HA010354876.aspx
などに、
「注意 Outlook データ ファイル (.pst) をネットワーク共有、または別のコンピューターに置いてアクセスすることは、データが損失する可能性が高いのでお勧めしません。」
 
とあるとおりではないかと思います。移動プロファイルということは、PSTファイルはネットワーク共有上にありますよね。
 
（参考投稿）
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008r2ja/thread/35ad8f2e-0d46-4a73-a7d6-04b9c4d0e825
 
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/8706d775-09ed-499b-a24e-26d0bc6bf701/#7c7dd824-5e7c-4ca3-8c18-e92fca66c112