Windows★Active Directoryスレ
職場ではADが導入されたんだけど、自宅でも検証とか勉強をしたいから、近い環境がないかなって探してるだけでさ、で乞食呼ばわりとは。
>>728>>730
理論上はLDAPサーバとKerberos v5サーバとDNSサーバとSMBサーバを
用意してそれぞれを連動する様にすればAD互換とはなるよ。但し手間
は半端ないだろうけどね。2008R2の評価版とVMWARE Playerで動作確認
するなら金もかからないんじゃない? まだベータ版(アルファ版?)?ながら
samba4にADのDCの機能があるよ。
主な設定はWindowsからになるよう。 公式解説書で理解できないので、知恵拝借
nw-a と nw-b があって、お互いルーティングはできる。
nwセグメントも別で、それぞれがdhcpもってる。
それぞれにDCが立ってて、それをdc-a、dc-bとする。
で、nw-aのクライアントをnw-bに接続して、nw-bのipアドレスもらってクライアントとして動作させつつ、dc-bじゃなくてdc-aにログインさせたい
でも、dc-aとdc-bとで信頼とか委任とかの設定は(規則上)できない。
これって、可能? 操作対象のコンピューターはNICが2つあって
片方はドメインネットワーク(172.16.*.*)、
片方は開発ネットワーク(192.168.0.*)
に接続しています。
どちらも物理的に別のネットワークです。双方名前解決はできません。
操作対象のコンピューターは、ドメインネットワークに参加しています。
ドメインネットワークから、操作対象のコンピューターにドメインアカウントでリモートデスクトップはできる。
開発ネットワークから、操作対象のコンピューターにローカルアカウントでリモートデスクトップはできる。
開発ネットワークから、操作対象のコンピューターにドメインアカウントでリモートデスクトップはできない。
って状態です。
開発ネットワークから、操作したいパソコンにドメインアカウントでリモートデスクトップはできるようにするには
どのような設定が必要ですか? 実環境で色々試せないので鼻毛鯖に2003とActive Directoryをいれて実験環境構築中・・・ >>734
できない理由が思い当たらないのだけど。
少なくともDHCPでIPアドレスが貰えれば
後はルーターをまたごうと繋がる
>>735
リモートデスクトップ有効にして
ユーザーをリモート接続グループに追加して
ファイアウォールに穴あけるだけじゃね? ADでドメインコントローラにwsus入れたら、
ドメインに参加したクライアントってグループポリシーの設定しなくても
wsusのサーバを参照するようになる?
ログ見ると参照しにいって8001B0001のエラーになるんだよね
ドメインに入る前はwindowsUpdate出来てたのに sharepointを試すのにADが要るってんで、適当に手を出してエライ目にあってます。
開発マシンをDCにしたらそのマシンのSQLサーバが使えなくなったんで、
こりゃイカンとDCのアンスコ(降格)したら今までのアカウントの設定がぶっ飛んでしまいました。
(正確には、降格時に新アカウントが作成されて、旧アカウントに入れなくなった?)
Windowsバックアップはとってあるんですが、Cドライブは復元できないと怒られますorz
旧アカウントを復活させる方法はないのでしょうか? server2008+vistaのネットワーク
グループポリシーでvistaクライアント上のofficeのマクロを禁止したいけど、どうすればいいの?
そのものずばりの設定箇所はないけど。 >>742 おれに言ってるの?
なんで? ADのポリシーで設定できないか、って質問なんだけど。 M3mwkK5A
server2008+vistaのネットワーク
グループポリシーでvistaクライアント上のコリャ英和!のマクロを禁止したいけど、どうすればいいの?
そのものずばりの設定箇所はないけど。 古代のWindows 2003 Server稼働機がディスクトラブルでブートしない助けてって言われて見に行った。
Windowsの起動プロセスのどこでこけてるとかそういうのは正直わからんので、
とりあえずレスキュー作業をした。
ていうかPXEで適当なOSをブートしてディスク覗いたらだいたい健全で、NTFSパーティションは基本全部吸い出せた。
だったら修復インストールとかin-placeなんちゃらができるかなーと思ったらうまくいかんので
新規インストールを提案したら泣いて嫌がるの。
聞いてみたら、Active Directoryの再設定したくないんだって。
調べたらntds.ditだったけかに情報が集約されてると書いてあるのだが、
Windowsの外からこのファイルをがりっと上書きしてブートすればミッション達成でしょうか?
うーん、未知の世界すぎる… スレ進んで無さ過ぎ…。
去年の分からだけでもレスしとこうか…。
>>738
するようにならない。
>>739
DC に SQL Server を入れるのは MS の非推奨。
詳細は知らんが何が起こっても不思議じゃないので俺はやったことない。
>>741
Office は Office でそれ用のポリシーがある。インポートして使う。
Office のバージョン毎にあるから泣けること必須。
>>745
助けて、と言ってきた相手による。 csvdeか何かで、特定ou内の特定の複数のグループについてメンバーを取得したいのですがご教示いただけないでしょうか。
目的は現時点でのグループに所属している者を一覧でわかりやすく開示するためです。 今やSamba4でタダで組める時代になったので隔世の感が
個人用に適当に実験するだけなら十分かな まあ評価版WindowsServerも180日使えるし、
お好きな方法で、といったところか。 ソフトウェア開発環境に対して、外部(GlobalSignとかVeriSign)から得たコードサイニング証明書を
再配布する(複数端末利用可の証明であることは前提として)ことは可能でしょうか?
AD CS でコード証明書を発行する( ttps://gallery.technet.microsoft.com/scriptcenter/6ae5d016-3c55-4b26-a0db-ebb0580cad7b )
という記事から、「証明書の発行」が可能なことは理解できているつもりなのですが、
自己発行で無い証明書の、署名実施のための配布というのは可能なのでしょうか? windows(7-10) pro クライアントpcを複数台使っているんですけど、
ドメインコントローラーを用意したら、ユーザー管理、リソースへのアクセス管理、
それ以外にどんなことができるんですか。
各PCの設定、アプリケーションのインストールが自動的にできたら素晴らしいなと思っているんですが。
また、windows phone 10 を参加させるとどんないいことがあるんでしょうか。
windows phone 10 に遠隔ロックをかけるなんてこともできるんでしょうか。
MDMの機能がほしいなあと。 Azure ADとAD FSを勉強した方がいい
アプリの配布は一応できる >>754
ありがとうございます。
まさかAzureを使った管理サービスの勉強をすることになるとは思ってもみませんでした。
自分は、linuxでsamba4をつかって、ドメインコントローラーを構築してマシンを管理できたら良いなくらいに思っていたので。
(linuxは触ってきたんですが、windows serverは今までに一度もないです。)
やはり、Azureということは、windows phoneなど様々なネット上のデバイスの統合の必要があるって理解で良いでしょうか。
これは、これまでのようにプライベートネット内にwindows serverでドメインコントローラーを動作させる時代が終わりになること意味するんでしょうか。
windows phone 10には興味があるので、やはり、Azure上のそういうドメインコントローラー代わり?のサービスについて知るために本屋に行ってきます・・・
間違っているところがあれば、どうかご指摘ください。
ありがとうございます。 勉強用の為にサーバー買ってAD環境作ってみようとしたけど全然あかん。
参考書通りの設定してんのにドメインにアクセスできないとかいってADツールは立ち上がらないし
、dcdiagコマンド叩けばグローバルカタログが停止してるしnetlogonとsysvolには共有化かかってないし、
ドメインネットワークに繋がってないしどこが悪いんだか。
ADのアンインストールからOSの入れなおしてからのリトライしても状況変らんしお手上げだ。 テスト環境作りたいのですが本番環境を丸コピーすると
ドメインまでかぶってコピーしたつもりがコピーになってなかったとかあるんでしょうか? 参考書自体は5000円近くして分厚い構築・運用・管理パーフェクトガイドってやつ。
おそらく、おかしいのではないと思われる。
ネットワークは
インターネット---ルーター(プロバイダの)-------ローカルサーバー
の構成でやってダメ(サーバーへはPCからリモートデスクトップで操作)
ADインストール時の問題は特になし、ただ昇格させようとした時に問題が発生しているようで
DNSでForestDomainZoneとDomain names Zoneが作成されない為、全てが上手くいかないものと思われる。
ちなみに、上記二つのゾーンを作成しようとしてもドメインがみつからないとか言って作成できない。
そのくせ、nslookupやdcdiagでの動きは上手くいくんだよなぁ。 先週のWindows Update
グループポリシーのトラブルで嵌った人、います?
>>756
OS書いたら?
参考書と自環境のOSは、同じだよね? そこまで即座にupdate当てられる運用出来てていいなー
みたいな。 クライアント 250台 windows鯖14台 +Mac 等 50代の会社のおひとり世話係りだからね
一応、ISO27001取ってるし
ゼロディアタックも喰らってるから(社内記録はもみ消されたが)
シンクラと違い百人百様の環境
OSもビスタから10までの、まともに管理できる環境じゃないしね
まあ、問題出す訳には行かんので
今回も何とか、自力回復できてよかった 2012R2サーバをファイルサーバ兼2台目のドメインコントローラーとして使っているんですけど
ローカルユーザを追加してドメインに参加していないクライアントを共有フォルダへアクセスさることはできますか? ドメイングループポリシーのコンピューターの構成ってコンピュータオブジェクトが入ってるOUにしか効果ないの?
部署単位でユーザーオブジェクトが入ってるOUにリンクさせても無意味? あとオペレーションミスでユーザーオブジェクト消しちゃう人がいるんだけど
わかりやすくユーザーオブジェクトが消されたときにわかる履歴ってとる手段ないだろうか?
消された時間と消されたユーザーオブジェクトの名前(SIDではない)とかだけフィルターをかけて出したいけど WIndows Server 2016でのADの新機能
特権アクセス管理 (Privileged Access Management: PAM)
ハイブリッド ID 管理
Windows Hello for Business(旧称、Microsoft Passport for Work)
SYSVOL と NETLOGON 共有のセキュリティ強化 (MS15-011 対策)
この期に及んでもまだ新機能あるのな、みたいな。
まあ半分はAAD対応で一つはセキュリティアップデートみたいな。 スレ汚し失礼します。
質問はここでよかったでしょうか?
違ってれば誘導していただければと。
以下に示すネットワークは全てVPNで接続されローカルとして扱えるものとします。
現在 ABC拠点がありそれぞれに拠点のドメインコントローラが存在します。
また現在は各拠点のクライアントPCは自身の拠点にあるドメインコントローラにしか現在接続しないものとします。
(拠点AのクライアントはSV Aにしか繋ぎません。)
SV A: ADDS,DNS aaa.test.co.jp
SV B: ADDS,DNS bbb.test.co.jp
SV C: ADDS,DNS ccc.test.co.jp
ここにPC Dを追加しABCの各ドメインのバックアップを持たせ
各拠点のドメインコントローラが死んだ際にはDへ接続出来るようにしたいと考えています。
プライマリ、セカンダリのDNS設定で優先先は決定できると思っているのですが。。。
PC Dにドメインをどのように作成していいかがわかりません。
そもそもそのようなことは出来ない等、情報をご教示いただければと思っております。
よろしくお願いいたします。 >>772
PC Dはドメイン情報のバックアップするだけ。ドメインコントローラーは全部死なない限り相互で自動同期取る仕様なんで。自動昇格とかは各ドメイン配下のサーバーで設定しないと。 ここで聞くことじゃないかもしれんが、sambaのADって使い物になるの? 友達がWindowsで稼げている情報など。ニュースというか参考までに。
⇒ http://kuchibeta.sblo.jp/article/181868190.html
興味がある方のために書きました。
HF7Y7ZC55U v6プラスにしたら
pcがDC見つけられなくてドメインに追加できなくなった。
pcのipv6を無効にしたら
ドメインに参加できたけどなんだこれ。 ADとは、直接関係無いのだが
悪意のあるソフト削除ツール は、更新で当月分以外は不要でO.K?
WSUSの容量減らしたくて >>772
ぶら下がっている奴はADサーバも兼ねているだろ
GPOでDNSをまとめて設定すりゃいい >>782
使いもしないパッチを減らせば
OSも種類もあるけどMSのソフトなんていらないだろに
少なくともオフィスの特定のバージョンだけとか
少なくとも何を使ってるかは把握してるんだろうし。 >>772
無知で日本語のパッチレベルで適応させると400GB以上になるよw
大半が無駄パッチ
下手なADサーバーだとそれで死ぬ。
WSUSなっていい加減に設定するとハマるんだよ。
余裕がないのなら限定して組まないと共倒れになるぞw >>782
というか、パッチの置き換えがあったかをトーナメント表みたいな
アイコンで表示できるでしょ。
優勝アイコンもしくはアイコンが表示されないパッチ以外は
全部削除してクリーンアップで容量は激減するよ。 >>785
>>787
レス有難うございます。
やってはいるんですけど、糞鯖な物で
たぶんテレメ入り(蚤じゃない方)のマンスリーと同じだと思うんだけど 容量が多いのは、高速パッチが原因なのは判るけども
前任者が調達含め、いい加減な対応しかしてないので
ほとんど、おまかん状態
導入済みソフトの調査だけで、大変だった
で、結局悪意の古いのは要るの?要らないの? >>789
>>787をやってるんだな?
じゃあ答えは出てるだろ。
糞鯖とか前任者とか全く関係なく、お前の理解不足。 Windows10からデフォルトログオンドメインの挙動変わった?
w8.1まではポリシー設定効いてたのに効かない
ワークグループ環境での挙動が違うだけなのかもしれんが お家のネットワークに、最新のSamba 4.8.0でAD DCを構築。
Windowsは値段が高いし、これで十分だね。 基本的なグループポリシーは問題ないみたい。
(PC管理がずいぶん楽になった。)
今はお試し版のWindowsServerを同時に動かして、いろいろ弄っているところ。 友達から教えてもらった簡単確実稼げる秘密の方法
関心がある人だけ見てください。
グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』
8CBPS 友達から教えてもらったネットで稼げる情報とか
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
H3273 ドメイン取ってないようなとこで.localの代わりに何使ってるのか気になって覗いたけど
過疎スレだね★
客先で.testもあれだしなぁ さんきゅ
とりあえず、DNSが解決しないドメイン名にした。
つかなんで手のひら返したように.localは使うなとか言いだすんだよ。中途半端な知識の情シスがうるせえうるせえ。 導入数年のAD管理任されました
今までユーザーのパスワード無期限を、約半年単位で変更と言うことに落ち着きました、
正月休み明けから、実行を考えていますが
12/1に有効期間30日でGP設定 1/10に183日に変更で思ったような運用可能でしょうか?
最初の30日設定のカウント開始が判らず、当日にパスワード変更要求がかかるなら1月に設定変更しますので と言われましても、社内統一パスワードの設定なので
アホとしか思えん >>801
これから運用するものにlocalなんて使っちゃだめですよ。
新しくドメイン作って末尾を.jpにしてますよ。
フォレスト同士を信頼関係で結んで接続すれば
双方のドメインでユーザーはログイン可能。
ただドメインが違うのでログイン時に、ドメイン名+アカウント名を入れないとダメだけど メアド用にお名前.comなんかで取ったドメイン名にサブドメイン勝手に作ってもいいのかな?
ad.onamae.com みたいなドメイン名で、ログオン時に user@ad.onamae.com って作っちゃうとなんかメアドと間違えられそうだし・・・
.localなんて十数年実績あるんだからなんで勝手に予約語にしたんだか グループポリシーについて教えて下さい。
本部OUと支社OUにそれぞれGPOを作成しました。
本部OUのユーザーが支社OUのコンピューターにログインした時は、本部OUのユーザーの構成が適用されるで合っていますでしょうか?
支社OUのコンピューターの構成でループバックの置換を設定すると支社OUのユーザーの構成が適用されますでしょうか?
何故かループバックの設定をしてないのに、本部OUのユーザーが支社OUのコンピューターにログインしたら支社のユーザーの構成が適用されました。何故でしょうか。
また、コンピューターの構成を適用したい場合はユーザーの構成を無効にする以外は方法無いでしょうか?? >>809
ユーザーの構成はユーザーアカウントに適用
コンピュータの構成はコンピュータアカウントに適用
gpupdate /force & gpresult /R で端末確認しながら勉強しろ
諸悪の根源はこいつか、、、
ttps://support.apple.com/ja-jp/HT204684
.private
.intranet
.internal
.lan
上記4つもいずれは、、、と考えるとサブドメインかね 最近だとOffice365がらみもあるな。大企業ほど大変 ワークグループに落として再参加とか気軽にいうなよなぁ >>809
わかりません
フォレストの信頼関係で繋がっている前提で
なっているなら本社のユーザーは本社のグループポリシーが適用される。 Windowsは作りが雑なので消えてなくなれと言いたい。
グループポリシーはユーザーとコンピュータに別れ
各々しか適用さない。
設定したつもりになっていて、設定しても無効になるのがある。
管理に限界があるときはバッチでも使って管理しましょう
Windows互換性はないからな。廃止されたものもあるし
謎の不具合もある。
奥は深いよ ポリシ当たらないときは何やっても当たらないからな
ログオンスクリプトに書いてる客も多い ドメコン動かしてるサーバにやらせてもよい事orやらせるべきではないことってどうなんでしょう?
例えば
IIS(イントラ用で)
ファイルサーバ
Hyper-V ホスト
プロキシサーバ
とかやらせて良い? >>817
ローカルユーザアクセス権の関係でSQL Serverも非推奨だったはず。
あとは頻繁に再起動が必要な環境も避けた方がいいとは言われた。 >>817
Hyper-V ホスト
は、状況しだいだがライセンス問題が
ドメコンは朝とかの初期アクセス以外は暇なんだけどね
仮想できない昔はファイル、ウイルス対策、WSUSなんかも兼用で動かしてた active directoryを管理するGUIツールを探しているのですが
WEBブラウザ型の管理ツールはありますか?
DBで言うところのadminerのようなツールのAD版を探しています 今年後半のldaps強制は回避できないんだろうか?
知ってる方いらっしゃれば 3月が延期になってなかったら、非Windows連携で入退出管理システムとか組んでるベンダが死んでたと思う 教えてください。
ADユーザー情報3000件を一括で変更しようと思ったら、
PowerShellが良いですか?コマンドプロンプトが良いですか? >>829
OS:WindowsServer2012
やりたいこと:各ユーザーの所属するグループを更新したい。
更新するためのユーザー抽出方法は既にできてる。
出力データを編集するのは人間。
編集したデータをうまいことADに取り込みたい。
(グループの追加、ではなく、上書きのイメージ)
です。 >>830
わからない。
グループ作ってユーザー突っ込めばいい話かと
Windowsはクソなので勝手にユーザー作って
権限入れた後にユーザ消すと、幽霊会員の残骸ができるからね。
共有フォルダーの権限の大元をグループで変えるのか
実際作ったフォルダーをいじるかでも違ってくる .batでできるが
そのバッチを効率的に作るために
excelとかでベースを作って
テキストに書き出し後に
TABとかを置換で消して作ればいい。 >>831
今回はグループが主ではなく、ユーザーが主
(AAAというユーザーが所属しているグループの更新作業)
として考えたいです。
なので、グループ自体をどうこうする、というのは考えていません。
あとWindowsはクソなのですね。
覚えておきます。(大切なことなので。)
残骸ができるのは困るので、丁寧に作業します。 >>832
.batですか。
例えば、、、それはどのような記載になるでしょうか?
ヒントだけでもいただけると助かります。 名前で人は登録するな
名前は同性同名で重複するの途中失敗する恐れあり >>835
ありがとうございます。
確認しました。。。が、既存のユーザー情報変を変更したい場合は、
【ActiveDirectoryユーザーを一括操作する】の項目のところを
工夫すれば良いのでしょうか?
キーとなるログオン名の重複はない(はず)なので、
重複によるエラーは発生しない予定です。 PowerShellなら効率的な使い方あるんだろうなーって思いながらExcelでバッチ作っちゃうねえ・・・ すんごい基本的なことですが、わからんす。
2016ad環境でグループポリシーつかってwin10proの大型アップデート制御する方法を教えて下さい。 スタンドアロンで使ってたクライアントをドメインに参加させる予定なんだけど、そのユーザが使ってたデスクトップは変えたくないんだが、何か方法あるかな? ドメイコンのレプリケート範囲ってデフォルトでは同じドメイン内って認識であってますか? >>840
つ 何もできない。
が回答。
ドメインに参加させる際に全ての権限があるのなら
実際に使うユーザー側でローカルのユーザー名の場所にアクセス権を追加してやれば
ドメイン参加後にクライアントのデスクトップにやファイルすべにアクセス可能なので
フォルダー追加程度で同じことが可能だが
権限がないなら
ローカルのユーザーのフォルダをC直下にコピーしたのちに
ドメインの実際に使うユーザー側にコピーするとかするしかないのでは? しかしMSはなぜ「ドメイン」という言葉を使い始めたのだろう?
インターネットのコミュニティをとことん馬鹿にしてたとしか思えない AD環境のグループポリシーについて
ユーザ構成の項目がOUに適用されているGPOで全て未構成だった場合、LGPOで有効、無効ならLGPOの設定が適用されますか? わからない。
もっと勉強しろ。
質問の意図がかわからないし
そもそもユーザーと端末の各々独立している 設定後に検証も自分で出来ないようならば利用するなとしか言いようがない
AD環境なんてのは企業でしか利用しないたろうよ
管理者ならばしっかりとせいよ >>845
概念だけ説明すると
AD概念を説明すると、
フォルダがグループ
ファイルの相当するのが ユーザー または 端末。
ポリシーのルールがあり作ったルールをフォルダー紐づける。
ただマイクロソフトが作っているのでいい加減だしポンコツで適用がアバウト。
ルールはユーザ側と端末側と重複する項目があるが
実際は片方か動かないとかある。または全く記載がない。
こういう仕組みでザル構造になっているがザルだけあって対策はある。
ユーザがログインした際に強制的にバッチを読ませるログオンスクリプトを作って
実行させる手がある。
Windowsが作りがいい加減なので、
管理側どこに記載するべきポリシーなのかがわかってないと運用できないのですよ。
ポリシーも有効にならないものはグレーアウトとかもしくは表示しないとかあれば
混乱はないでしょうけど、設定しもて動かないものが混ざっているので
経験則を必要とするものになってます。
話は戻ると質問が間違っていて
そもそも今回のは
〇〇をしたいのですがどういう方法がありますか?
と書くべきかと思うな 会社のPCでワークグループ状態のときローカルアカウントを作成して超短いパスワードつけられたけど
その後ドメイン参加したらローカルアカウントのパスワード変更はドメインのポリシーに縛られちゃうのな
超短いパスワードのローカルアカウントが必要ならドメイン参加前に作っとかなきゃ駄目ってことか Windows Server 2016で、.localのドメインから〇〇.実在のドメインにドメイン名変更をしましたが、
ドメイン参加に失敗するようになりました。
助けてください。
netlogonのエラーで下記のように出ています。
次のDNSサーバーでDNSレコード'_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.〇〇.実在のドメイン. 600 IN SRV 0 100 389 pc名.〇〇.実在のドメイン'の動的登録に失敗しました。
DNSサーバーのアドレス:実在ドメインのレジストラのipアドレス
返された応答コード(RCODE):5
返された状態コード:9017
あと何か必要な情報があれば指摘いただければ追記します。
よろしくお願いします。 Active Directoryに参加しているPCって
サーバー側からusersフォルダが丸見えになるのがデフォですか?
今日初めて気づいたんですが、これで良いのか?とちょっとビビってます。 >>851
管理者権限あればなんとでもなるでしょ。気にしたって仕方ない。 個人のマイクロソフトアカウントでデバイスが見えるのと同じ理屈です
ライセンス管理もしている企業用アカウントなので見えて当然でしょう >>851
言葉がわからない。
サーバー側というなら見えない。
管理者のアカウントでドメインの参加してる端末であれば見れるかも
Administrator、Administratorだから権限があるわけではない。
一般ユーザーとAdministratorは同列。Administratorが管理権限があるかは
Administratorsやなど他のグループにAdministratorがユーザーとして入ってるため。
ファイルの所有者がその人だけで
アクセス権にAdministratorがユーザーとして含まれてなければ覗くことがはできない。 >>854
個々のPCのAdministratorの権限は会社で管理してるって意味では? >>851
だからEnterprise AdminsグループやDomain Adminsグループはガチガチに保護する必要がある 全員死んじまえよ構わないというだけではないやろ…
フルポジだから気にならんのか
どう考えてから再度お試しください。
https://i.imgur.com/vOQlj0h.jpg デイは滅多にやらないけど短期繰り返してる、じゃない人は作品の質が低いんだろうな
何が面白かった
ただでさえ少ない本国ペンに絞められでもしないと
> 散弾銃ではない