Windows技術情報

IT業界の多重請負構造について

面白い記事があり、賛同できる部分が多かったのでご紹介いたします。

https://headlines.yahoo.co.jp/hl?a=20190426-00000027-zdn_mkt-sci

私はIT業界でよく見かける多重契約構造の末端にあるある会社で、エンジニアとしてのスタートを切りました。

一般ユーザーの問い合わせ先の仕事でしたが、よくユーザーからはITサービス部は効率が悪い、仕事の進め方が遅い、そして直せない!とお叱りを受けた記憶があります。

今考えるとちょっとPCに詳しい人間が数人集まったチームでメンバーのモチベーションは非常に低く、お客様が怒るのも仕方なかったなと思います。

お客様から見れば高いお金を出して専門家を雇っているのに何でこんなサービスレベルなんだ!

私たちから見れば、ちゃんとした訓練も受けていないしこんなにお給料も安くて勉強するお金もないのに、どうやってモチベーションを保つんだ!

なんて、お互いの立場からの意見がぶつかるだけで何の良い方向にも向かうことが無かったですね。この時は4次受けの小さな会社の社員でした。

 

こんなIT底辺での経験の結果、会社の理念として考えたことは「エンジニアが作るエンジニアのための会社」でした。これはある意味現在の上位契約者の会社から見ればよくない考え方かもしれません。

しかし、無意味に多重下請け構造を作り、エンジニアの質ではなく単純に工数とみて現場に送り込むだけの仕事では「絶対」に未来はないと思っております。

正社員としての身分で、一般的より高いお給料、そしてプライベートも大事にできる働き方。

それが理想かは人によって尺度が違うかと思いますが、当たり前のことを当たり前にできる会社ではないかなと自画自賛。

多重下請け構造を無くせば、日本は良くなるに違いなと思っております。

Windows技術情報

SSOの範囲拡大

ActiveDirectory はそもそも組織内の SSO (シングルサインオン)を実現するために作られて、その便利さに企業が飛びついたミドルウェアになります。

確かに社内の FileServer へのアクセスやプリンターへのアクセス、管理系のアカウントの管理など今でもかなり有用です。

しかし、時代も変わりクラウドへの依存が大きくなってきますと、ActiveDirectory が認証をして発行したトークンでは用が足りないことが多くなってきました。

そのため最近では ADFS と呼ばれるシステムを使うことが多くなっています。

ADFS は簡単に説明すると、認証は ActiveDirectory で行い、トークンの発行は ADFS から行います。

ADFS はクラウドへの対応をするために作られていますので、発行するトークンの内容を自由に変更することが可能です。SSO を一度体験するとその快適性にやめられなくなります。

求めるトークンの中に ActiveDirectory にある属性情報を含ませることも可能なため、例えばお問い合わせの画面にてユーザーの部署を最初から入力された状態で表示させるなどでも利用することが可能です。

また SSO が可能ということは、スクリプトでマクロを作る際に一連の認証を自動化することが可能なため、最近流行りのの RPA の構築が非常に簡単になるということです。

ITは一般的にはそのものは売り上げを上げるわけではなく、本業の商売をより効率的にするお手伝いをする分野です。

RPA や SSO などユーザーの操作が減るためのシステム導入はどんどん積極的に進めていくことが大事です。

Windows技術情報

グループポリシーでのクライアント制御

OSにライセンス料金がかかるWindows Serverを使う理由として一番に挙げられるのは、ActiveDirectory が標準で使えるからという企業はかなり多いです。

また ActiveDirectory を使う理由としては、SSO の実現と GPO を使う用途が最も多いと思います。

インフラエンジニアであれば確実に「完璧」といわれるレベルまで ActiveDirectory に精通しているほうが契約金も高くなりますし、ActiveDirectory 系の仕事は構築さえしっかりしてしまえば割とゆったりと働ける現場が多く負担がないので非常にお勧めです。

ActiveDirectory の中でも GPO は基本設計によって設定方法が目まぐるしく変わるため、フィルターやロールバックの設定などを使って企業側から出される様々な課題に答える必要があります。

よく使う方法を記載してみます。

1. フィルターとしてセキュリティフィルターを使用する。

ADのグループを対象にして対象を設定します。

気を付けなくてはいけないのは、コンピューター側のGPOは対象をPCオブジェクトにしなくてはいけませんし、ユーザー側はユーザーオブジェクトをフィルターに入れないといけません。

あまりない状況かと思いますがひとつのGPOにコンピューターとユーザーの設定を書いてある場合、すべてのコンピューターとユーザーを対象にする場合は Domain Computers と Domain Users の両方を対象にする必要があります。

2. WMIフィルターを使う。

WMIフィルターはクエリを書かないといけないので使用していない企業が多いのですが、WMIからはクライアントの情報をほぼすべて抜けるのできめ細かい設定が可能ですので是非覚えてください。

例としては Windows 7 にだけ適用、クライアント系OSにのみ適用、ある特定のOUにいるときだけ適用、サブネットが~の時だけ適用などWMIで値が取れるものはなんでも設定可能です。

WMIを使うメリットとしては、例えば~ビルの2Fにだけプリンターの~を使わせたいといった要望があった場合に、OUを分けて設定を入れる方法を採用すると部署移動の時期になると地獄を見ます。

WMIフィルターを使ってすべて同じOUにリンクしておけば、PCが移動すれば設定がOn/Offされるので管理者側の負担がかなり減ります。

3. ロールバック処理を使う。

よくあるパターンとしては、同じユーザーがファットPCとシンクライアントの両方にログオンする環境などがある場合に、シンクライアントでログオンした場合のみある設定を有効にさせたいといった場合に使います。

WMIフィルターでも全く同じことは可能ですが、ロールバックのほうがGUIから設定できるので簡単と感じる人も多いかもしれません。

ロールバック処理はコンピューター側のGPOで設定し、置換と統合のどちらかが選べます。

置換を選んだ場合は、ユーザーの本来適用されるGPOはすべて破棄されて、ロールバック処理を設定したGPOのユーザー設定の値を適用します。

統合の場合は本来適用されるGPOの設定とロールバック処理を設定したGPOのユーザー設定の値を合算して適用します。

 

管理側の仕事の場合、上記の方法のどれかを採用して運用している現場の後釜として入るためすべてを理解している必要があります。

最もみんなが苦手であるにもかかわらず必要になるのはWMIフィルターです。

正直、クエリなんてググればいくらでも見つかるのでとくに覚える必要もありません。

インフラ系の仕事は結果としては全く同じことしかやっていないのに、エンジニアのレベルによって片方はいつも暇なのに、もう片方の人はいつも残業といったことが起こります。

可能な限り効率を上げて、余計な仕事を減らしていきたいですね。