ZENworks のワークステーションポリシー

ZENworks のワークステーションポリシーは Windows の HKLM レジストリに影響します。つまり、ログインしたユーザには関係なくポリシーがそのコンピュータに影響するものです。

起動からワークステーションポリシーのダウンロード

Windows が起動して ZfDAgent が動作し始めると、次のレジストリを参照します。

\HKLM\Software\NovellWorkstation Manager\Identification

Tree, Workstation ID, Workstation Object の三つのキーがありますが、ZfDAgent は Workstation Object のキーに登録された。

CN=MyPC-192_168_1_22.OU=Workstation.OU=Tokyo.OU=AP.O=ACE といった内容のワークステーション名で Tree キーが示すツリーに認証を求めます。

この Workstation Object と Workstation ID が一致したオブジェクトが eDirectory にあると、ZfDagent は Workstation Object に Associate されたポリシーをダウンロードします。

NetWare サーバの場合、Monitor > Connection の表示をよく見ると、ワークステーションがログインを開始するのがよくわかるはずです。このタイミングでワークステーションポリシーがダウンロードされます。


ワークステーションの命名規則

ワークステーションの命名規則は、サーバーポリシーオブジェクトのワークステーション登録のポリシーにより決定されます。

デフォルトでは「コンピュータ名、IPアドレス、MACアドレス」をなどを組み合わせたものですが、任意の符号を追加することができます。例えば "ComputerName-IP_Address"のように間にダッシュを追加するなどです。

ZENworks のワークステーションポリシー_a0056607_1350821.gif


ただし、命名規則に "@"などは避けなければなりません。これは ZENworks が Java のアプリケーションであるため、DNS参照を行う場合にメールアドレスとして解釈してしまう可能性があるからです。"."などの特殊記号も避けた方が良いでしょう

もし、eDirectory にワークステーションオブジェクトが見当たらない場合、次のレジストリにある、ZEN Import サーバに eDirectory への登録要求を発行します。

HKLM\SOFTWARE\Novell\ZENworks\zenwsreg
Importserver=My_ZEN_Importserver_IP_Address

もちろん、ZEN Import Server は動作している必要がありますが。

よく、Windows 2000/XP で起動後の動作が遅いというケースがありますが、 ImportServer の設定が正しくなかったり、正しくワークステーションが設定されていない場合に、ZfDAgent がインポートサーバを徘徊して探し回ることによるものです。


コンピュータ名を変えた場合、IPアドレスを変えた場合はどうなるの

よくある質問で、既に登録されたコンピュータ名やIPアドレスを変えた場合、ワークステーションオブジェクトの名前は自動的に変わるのですか、という質問を頂くのですが、そんなことは一切してくれません。

eDirectory にある Workstation Object は HKLM\Software\Novell Workstation Managaer\Identification に登録された名前と Object ID で判断します。

したがって、DHCP でダイナミックIPを使っている場合は、命名規則から IP Address を外した方がいいでしょう。IP は変化してもオブジェクト名の IP アドレスの部分は変わりません。

もし、既に登録済みのコンピュータ名と同じコンピュータ名で未登録のワークステーションの登録を行おうとすると、Identification の Object ID の違いによって、末尾に数字を追加したワークステーション名 MyPCxxxx001 が自動的に生成されてしまいます。その後、ワークステーション名を修正しても、同期しないわけですから、困ったことになるわけです。

ワークステーションをイメージ配布するような場合、ワークステーション名や IP アドレスをしっかり設定してから、ワークステーション登録を行う必要があるわけです。

ワークステーションの登録と削除

Workstation オブジェクトを eDirectory に登録するには ZWSREG.EXE を使用します。このプログラムは ZfDAgent と共に C: ドライブにインストールされます。

> ZWSREG -importserver MyZenServerAddress

Successfully imported workstation MYPC.MyWorkstations.ou.org

このプログラムはインポートサーバに eDirectory への登録を行い。 Identification のレジストリに登録結果を格納します。


また、次のレジストリにしたがって、自動的に登録やインベントリ収集を行います。

HKLM\SOFTWARE\Novell\ZENworks\zenwsreg
Importserver

したがって、ワークステーションの登録を実施するには zenwsreg/Importserver のレジストリに ZEN サーバの IP アドレスを事前に regedit などで登録しておくか、ZWSREG.EXE を強制実行させる方法が一般的です。

HKLM\SOFTWARE\Novell\ZENworks\zenwsreg|Importserver のレジストリを書き換える方法は SnapShot を使ったユーザへのアプリケーション、レジストリ配布を使うのが一番簡単です。

Zwsreg.exe を使う場合は、ログインスクリプトを使うか、ヘルプデスクが実行することになります。

ワークステーションの削除は zwsreg.exe -unreg オプションで実施します。ただし、このオプションを実行する場合、Identification のレジストリを削除するだけなので、eDirectory 上に登録されたワークステーションオブジェクトは手動で削除しなければなりません。

ワークステーションが正しく登録されていない場合、一旦 unreg を実行して ConsoleOne より、問題のワークステーションオブジェクトを削除して再登録してあげてください。

ZWSREG.exe に関しては次の文書が参考になります。

Using ZWSREG
http://support.novell.com/docs/Tids/Solutions/10068910.html

ワークステーションポリシーでのグループポリシー

ワークステーションポリシーにおけるグループポリシーは HKLM のキーに影響します。

移動プロファイルを使う場合は「コンピュータの構成 > 管理用テンプレート > システム > ユーザプロファイル」を操作します。特に「低速回線を検出しない」をイネーブルにしないとネットワークの状態によってはプロファイルを正しくロードできないので注意してください。

ZENworks のワークステーションポリシー_a0056607_13505848.gif


移動プロファイルを使う場合、デスクトップの起動、終了に異常に時間がかかりますが、プロファイルをサーバ上に保管してくれるので、キオスク端末や学校などでは必須の機能ですし、ユーザPCを交換することが多い環境においては大変有用です。

「コンピュータの構成 > 管理用テンプレート > システム > スクリプト」の「ログオンスクリプトを同時実行する」を有効にします。デスクトップの起動は遅くなりますが、ログインスクリプトが終了してから、デスクトップが起動するため、プロファイルやデスクトップをリダイレクトする際は必ずイネーブルにしておきます。特に My Document をネットワーク上にリダイレクトしなければならない場合は有効にしておきましょう。

セキュリティオプション

ZEN4 においてはこのオプションはワークステーションポリシーに含まれていましたが、ZEN6.5 ではワークステーションポリシーとは別提供されています。

「コンピュータの構成 > Windows の設定 > ローカルポリシー > セキュリティオプション」にいくつか設定する内容があります。

デフォルトではリムーバブルメディアのフォーマットは Administrator 権限が必要となってしまうので Individual User に変更することが多いようです。

--
この他に、ワークステーションポリシーはデフォルトユーザを作成したときに重要な動きをいくつか見せてくれます。
by islandcenter | 2006-08-04 13:52 | ZENworks | Comments(0)