Insider's Eye

IE 7自動配布の基礎知識(2)

デジタルアドバンテージ 小川 誉久
2007/03/28

IE 7の自動更新プロセス

 前記のケースでIE 7の自動配信が実施されるが、ユーザーが知らないうちに無条件でIE 7がインストールされてしまうわけではない。IE 7のインストーラは、インストールを開始する直前に、ユーザーに次のようなダイアログを表示し、IE 7のインストール許可をユーザーに求める。

IE 7のインストール時に表示される確認ダイアログ(英語版)
IE 7の自動配信が通知され、ユーザーがインストールを開始すると、このダイアログが表示される。ここにはインストールを許可するか、許可しないか、後回しにするかを選択できるボタンが用意されている。画面は英語版のもの。以下、カッコ内は日本語版でのボタン名。(画面はマイクロソフトより転載)
  (1) IE 7のインストール作業を続行する([インストールする])。
  (2) IE 7をインストールしない。これをクリックすると、二度とIE 7の自動配信は行われなくなる([インストールしない])。
  (3) IE 7のインストールを後回しにする。後ほど、再度IE 7のインストール通知が行われる([後で確認する])。

 ここでのボタン操作により、IE 7のインストールの扱いは次のように分かれる。

IE 7のインストール確認ダイアログのボタン操作と働き
確認ダイアログのボタン操作により、このようにIE 7のインストールの取り扱いが変わる。

■[インストールする]をクリックした場合
 上記確認ダイアログの[インストールする]ボタンをクリックすると、IE 7がコンピュータにインストールされる(IE 6がIE 7にアップグレードされる)。IE 7がインストールされるのはこのボタンを押したときだけである。

 なお、IE 6からIE 7にアップグレードした場合でも、ホームページやお気に入りなど、IE 6で設定した情報の多くはIE 7でもそのまま使える。またIE 7をインストールしてしまっても、必要があれば、IE 7をコントロール・パネルの[プログラムの追加と削除]を使ってアンインストールすることで、従来のIE 6環境を取り戻すことができる。

■[インストールしない]をクリックした場合
 [インストールしない]ボタンをクリックした場合には、IE 7のインストール処理がキャンセルされる。また、一度[インストールしない]ボタンをクリックしたら、再度IE 7のインストールが促されることはない。従ってユーザーに対し、「IE 7のインストール確認ダイアログが表示されたら、[インストールしない]ボタンをクリックする」とアナウンスしておけば、IE 7のインストールを抑止できることになる。

 [インストールしない]ボタンをクリックした場合でも、必要なら、MU/WUで明示的にインストールを指定する、ダウンロード・センターからIE 7を入手してインストールすることで、IE 7を後からインストールすることは可能である。

■[後で確認する]をクリックした場合
 この場合は、その時点でのIE 7のインストールはキャンセルされるが、24時間以内にもう一度IE 7のインストールが促される。

レジストリを変更し、自動更新による配布をブロックする

 前記の確認ダイアログで[インストールしない]ボタンをクリックするように指導することで、IE 7のインストールを抑止できるのだが、これはあくまでユーザーまかせの対応である。残念ながら、ユーザーが常に指導を守ってくれるという保証はない。抑止の完全性を求めるなら、コンピュータのレジストリ値を変更することで、より抜本的にIE 7の自動配布を防止することができる。具体的には、レジストリに以下のキーを作成し、

HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup\7.0

 ここにDoNotAllowIE70というDWORD値を作成する。この値を1にすると、MU/WUによる自動配布が抑止されるようになる。

 マイクロソフトは、このレジストリ値を設定するためのツール(以下Blockerツール)を以下で無償公開している。具体的には、上記のレジストリ値を設定するためのグループ・ポリシー・テンプレートとスクリプトが提供されている。ツール自体は英語版だが、日本語環境でも問題なく実行できる。

 複数のコンピュータに対し、組織的にIE 7の自動配布を抑止したければ、ツールを活用するのが有効だ。なおグループ・ポリシー・テンプレートを利用するには、Active Directoryによるドメインが構成されている必要がある。Active Directory環境でない場合には、付属のスクリプトの方を使って、複数のコンピュータのレジストリ値を一括指定することが可能だ。

 同様のツールとして、XPSP2向けのブロッキング・ツールが過去に提供されたことがある。このツールは、XPSP2の自動更新での適用を一時的に抑止するもので、一定期間が過ぎると効果が失われるものだった。これに対しIE 7のBlockerツールは、いったん設定すると、未来永劫IE 7の自動配布が抑止される。

 なお、上記レジストリ値を設定したコンピュータであっても、MU/WUやダウンロード・センターから入手したインストーラからIE 7を手動でインストールすることは可能である。つまりレジストリ値を設定しても、ユーザーに管理者権限を与えているかぎり、ユーザーが自主的にIE 7をインストールすることを制限できない。

IE 7自動配布抑止のまとめ

 以上、組織の管理者を対象として、IE 7の自動配布を抑止する方法について説明した。説明したとおり、IE 7の自動配布の影響が及ぶのは、ユーザーにローカル・コンピュータの管理者権限を与えて、MU/WUをユーザーの責任で実行させている場合である。それ以外のコンピュータは影響を無視してよい。

 上記のケースで、IE 7の自動配布を抑止したければ、以下の4つの手段がある。対応が容易な順に並べると次のようになる。

  1. IE 7のインストールが開始されたときに表示されるダイアログで、[インストールしない]ボタンをクリックするようにユーザーに指示する
     最も簡単な方法は、IE 7インストール開始の確認ダイアログで、各ユーザーに[インストールしない]ボタンをクリックするようにあらかじめ告知しておくことだ。ユーザーがプログラマであるなど、コンピュータ・スキルの高いユーザーが多いのなら、この方法でもあまり問題はないだろう。一度[インストールしない]ボタンをクリックすれば、後で再度インストールが開始されることはない。

     ただしこの方法はユーザーの操作に全面的に依存しており、強制力はない。

  2. Blockerツールを利用してレジストリ値を設定する
     マイクロソフトが無償提供しているBlockerツールを利用してコンピュータのレジストリ値を設定すれば、IE 7の自動配布をそれ以後ずっと抑止できる。特にActive Directory環境があるなら、グループ・ポリシーを利用できるので設定は容易だ。Active Directory環境がない場合でも、付属のスクリプトで一括設定ができる。

  3. ユーザーからローカル・コンピュータの管理者権限を奪う
     通常のアプリケーション実行だけなら、ユーザーに管理者権限を与える必要はない。説明したとおり、管理者権限を持ったユーザーがコンピュータにログオンしないかぎり、IE 7の自動配布は実施されない。ユーザーが持つ権限から管理者権限を削除し、通常のユーザーとしてコンピュータを使ってもらうようにすれば、IE 7の自動配信を抑止できる。

     ただし、管理者権限のないユーザーは、アプリケーションやデバイス・ドライバをコンピュータに追加できないなど、用途によってはコンピュータの使用に重大な制限を加える結果になる可能性はある。

  4. WSUSなどの修正プログラム管理を導入する
     WSUSで管理されているコンピュータは、管理者がWSUSでインストールを承認しないかぎり自動配布されない。WSUSを導入すれば、IE 7の自動配布抑止だけでなく、ほかの修正プログラム管理も集中化できるので、最も理想的な対応といえる。

     ただしこれにはWSUS用のサーバ環境を準備するなど、少なくない投資が求められる。End of Article

 

 INDEX
  [Insider's Eye]
    IE 7自動配布の基礎知識(1)
  IE 7自動配布の基礎知識(2)
 
 「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT