カテゴリ:ZENworks( 56 )

ZENworks Configuration Management (ZCM) 11 sp2 をご紹介します。

ドメイン不要でユーザ管理

ZCM を導入すると、ドメイン不要、CAL不要で eDirectory などの LDAPによるローカルユーザ管理を行えます。まぁCALを買うよりユーザ単位で購入するので若干コストはかかりますが。そのコスト以上の効果があることをご理解いただければありがたいです。

また、ディレクトリサービスの OU, グループ、ユーザ単位でポリシー管理が行えます。ポリシーベースでディレクトリサービスを設計することなく、ネットワークの構成、組織の構成に合わせて、柔軟に運用ポリシーを設計し、ユーザに割り当てることができます。管理者、パワーユーザ、リモートデスクトップの許可をすべて集中管理することができます。

ZENworks ZCM11 How to work Dynamic Local User
https://www.youtube.com/watch?v=YLNP8BygSVI


例えば、同じ部門でも、Windows Update Service にパイロット的にパッチを配布するポリシーだとか、タイミングをグループに分けて配信するとか、できるだけ同じディレクトリであっても Update Service を分散させるなどのこともできるわけです。

ZENworks ZCM11 DIstribute GroupPolicy into WS
https://www.youtube.com/watch?v=-FrJbSXW-QQ


コンピュータに割り当てたポリシーはあまりユーザには変更してもらいたくないものです。リセットした WSUS の機能を強制的に再割り当てします。

Dynamic Local User(DLU)機能は、LDAP ソースを使って自動的にローカルユーザを作成する機能です。
Dynamic Local User & install Libre Office
https://www.youtube.com/watch?v=5ECLVk-kbPI
削除したユーザとプロファイルがネットワークの認証によって自動的に作成されます。


アプリケーションの自動配布

一般のユーザにはあまり管理者権限は与えたくないものです。しかし、アプリケーションは一台一台インストールするのは面倒くさい。ということで、MSIパッケージをパワーユーザが直接インストールせず、ZCMを通じてインストールできるという訳です。

このデモでは LibreOffice を一般のパワーユーザーに配信するデモです。
Distribute Office Application Via ZCM11
https://www.youtube.com/watch?v=yvXBW1A4P6k

一般ユーザではMSIインストーラの起動、アプリケーションの削除が拒否されています。

従来 NAL(Network Application Launcher)と呼ばれた、ZENworks の原点となった機能です。ZCMでは Bundle と呼ばれる機能に名前が変わりました。




複数のLDAPユーザソースを単一のポリシーで管理

組織はアメーバのように分割、結合します。複数のドメインや異なるディレクトリソースであっても ZENworks であれば複数の LDAP ソースを使って単一の運用ポリシーにまとめることができます。

Novell ZCM How to setup Multiple User Ldap Source
https://www.youtube.com/watch?v=E961k50FOPw






エージェントの自動配信

他所から借り物です。

ZCM : Deploying The Agent
https://www.youtube.com/watch?v=9tIxmor5KZY

残念ながら Windows7 ではうまく動かなかったので借りてきました。バグなのかパッチがあるのか、おそらく Windows7 の強力なブロックを突破できませんでした。シンクライアントを使ったターミナルサービス接続だからでしょうか。ちょっと実機で試してみる必要がありそうです。

ということで手動でインストールする方法です。
Novell ZCM11sp2 PreAgenhttps://www.youtube.com/watch?v=aQkGoTJBFrUtPkg Agent Install and Regstration
https://www.youtube.com/watch?v=M_EVSo8yZdQ


ヘルプデスク機能

ヘルプデスク機能はリモートコンピュータへのファイルの配信、リモートビューと制御、リブート、起動などを行う機能です。ここでは実際にリモートコンピュータをリブートしてみました。

Novell ZCM11 Remote Workstation Reboot
https://www.youtube.com/watch?v=aQkGoTJBFrU


BIOSにパスワードをかけられると、効果はないのはご愛嬌ですね。

ヘルプデスク機能として、リモートデスクトップ管理ができます。
http://www.youtube.com/watch?v=QEJZQfazVZI&feature=youtu.be


ヘルプデスク担当者が接続を要求する際に、相手にパスワードをセットしてもらうか、「リクエストされているダイアログ」でOKボタンを押すと、ヘルプデスクがユーザのデスクトップ画面をそのまま操作できます。ここでコマンドプロンプトを「管理者で実行」すれば、一般ユーザでは行えない必要なアプリケーションのインストールや設定変更を「居ながらに」行うことが出来ます。フロアを駆け回る必要はありません。また、ちょっとユーザPCのメンテナンスをする場合、ユーザさんに「机からどいてもらって」修正するわけですが、その必要もないわけです。管理者にとっても、利用者さんにとっても非常に生産性が上がることになります。

--
このような機能が ZENworks Configuration Management の概要です。沢山のドメインが乱立して管理が行き届かない組織、何らかの理由があってドメインが使えないネットワーク。リモート拠点のヘルプデスクサービスが必要なネットワーク。

samba4 が本格的に利用されると、Windows の CAL が不要になりますが、ネットワークの管理はやっぱり面倒なものです。

islandcenter.jp
[PR]
by islandcenter | 2013-12-02 10:33 | ZENworks | Trackback | Comments(0)

ZENworks 11 SP2 Streamline your IT operations

ダウンロードすましたが忙しくて試していません。
[PR]
by islandcenter | 2012-04-11 09:36 | ZENworks | Trackback | Comments(0)

English Translate Hire

よほど Microsoft さんはWinodws の「拡張子」というものの過去の存在が恥ずかしいのでしょうか。 GroupPolicy では「拡張子の表示、非表示」をポリシーで設定することは出来ません。しかし拡張子が表示されないと、ユーザが誤ってクリックして「実行」してしまうことができてしまいます。フォルダオプションから変更するのが一般的ですが、一番簡単な方法はレジストリを変更すればよいようです。次の文書に懇切丁寧に書かれています。

Windows 7 - File Extensions - Hide or Show

具体的には次のレジストリを regedit で実行する必要があるようです。

------------->
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt"=-

<--------------------

gpedit からこの項目を変更できるようにするには次の二つのファイルを書き換える必要があるようです。ZCM10では、管理用PCの次のファイルを書き換えて gpedit のメニューを追加する必要があるようです。

C:\Windows\PolicyDefinitions\WindowsExplorer.admx
C:\Windows\PolicyDefinitions\ja-JP\WindowsExplorer.adml

hide file extensions of known file types

ZENworks 3...7 では SYS:public にグループポリシーがテキストのまま保存されるので、テキストをそのまま編集すれば良かったのですが、 ZCM10 では修正したグループポリシーが ZIP 圧縮されて ZCM サーバにアップされてしまいます。また Windows Vista/7 系は 2000/XP系よりかなり修正が面倒なようです。

Windows 2000/XP 系は割とこの設定は簡単でした。
ZEN works Desktop で特定のドライブを隠したい

グループポリシーでドライブを非表示にする。

おそらく、2000/XP 系では次の記述を system.adm に書き加えるだけです。

CLASS USER
CATEGORY "Windows Explorer Customization"
POLICY "Show file extensions of known file types"
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
VALUENAME "HideFileExt"
VALUEON NUMERIC 0
VALUEOFF NUMERIC 1
END POLICY
END CATEGORY

Windows 7 系でマイコンピュータから特定のドライブを隠す方法はこちらに実例があります。参考になるでしょう。
┏|∵|┛Windows2008Server のGPOで特定のドライブにアクセスさせない方法 その1

Hide local drives (Vista and Windows Server 2008)


この程度の問題であれば、”そのとおり”という回答がどこかにあるはずですが、見つけることができませんでした。もしご存知であればコメントください。

-Key Word-

Novell ZCM10 ZCM11 グループポリシー Exploror オプション 拡張子を表示する 拡張子を表示しない。 Windows 7

islandcenter.jp
[PR]
by islandcenter | 2011-04-23 14:37 | ZENworks | Trackback | Comments(0)

1月に出荷された ZENworks 11 をインストールしてみました。

- Windows 版 -

仮想 Windows 2003 sp1 をC:10G、D:10Gで仮想マシンを作りました。

2G バイト以上のメモリ : 仮想マシンでは 2048 ではインストーラが起動できなかったので 2.3G 程度与えておくと良いでしょう。

DNS の設定 : DNS でインストールするサーバの名前解決が完全にできるようにします。IPだけでもかまわないのですが、(おそらく)DNS名でエージェントが作成されるため、DNSの設定を完全に行っておくことです。

.NET 3.5 のインストール : メディアの中に dotnetfix 3.5 の頒布版があります。事前にインストールしておきます。



ここまで準備できれば、setup.exe を起動してインストールします。日本語のインストーラが起動します。デフォルトは C:\Program Files なので D: に任意にディレクトリを指定します。

が、コピー中にシャットダウン、何度やってもだめ ---- 終了

-Linux 版-

仮想SLES11sp1 に16Gのディスクを与えてインストールしました

2Gのメモリ: やはりメモリは2G以上必要です。2.2G程度事前に与えておいてインストールします。

mono2.01 のインストール: メディアに mono のパッケージがあるのでインストールします。setup.sh を実行します。iso から解凍した場合は x (実行)フラグがついていませんので、 chmod で x フラグを付けてください。

DNS の設定 : これも Windows 版と同じです。クライアントから zensrv.local などに正しく ping できるように設定します。

ここまで準備できたら、X端末から setup.sh を実行します。インストーラは日本語が選べません。英語でインストールします。
インストーラは英語ですが、正しくブラウザでは日本語が使えます。

a0056607_15423579.gif


ちなみにログインは Administrator/install-password です。

なお、FireFox 4 ではGroupPolicy Helper プラグインが正しく動かないようです。Firefox 3.6 では動作しました。

a0056607_1544932.gif


Windows 用の PreAgent は /opt/novell/zenworks/install/downloads/setup/ に作成されます。

zcm11linux:/opt/novell/zenworks/install/downloads/setup/x86 # ls
PreAgentPkg_Agent.exe PreAgentPkg_AgentLinux.bin
PreAgentPkg_AgentComplete.exe PreAgentPkg_AgentLinuxComplete.bin
PreAgentPkg_AgentCompleteDotNet.exe


今のところ、Windows 版のインストール中にハングアップしてしまうのは原因不明です。

-総合評価-

まだ決め付けるわけには行かないのですが、現時点で ZCM11 は買いではありません。基本的な機能、である「ローカルポリシーの作成」「ダイナミックローカルユーザDLU」の機能については ZCM10.3 の方が確実に動作しました。
特に Windows ポリシー管理には Windows プロクシが必要なのですが、 ZCM の Windows 版サーバがインストール中に意味なくハングアップしてしまうのは何とも、もったいないです。Linux 版でも DLU は動作させることができませんでした。

ちなみに、手抜きをしてポリシー管理に「窓の手 Bata2 」を使ってみたら、見事にグループポリシー編集のプラグインが動かなくなったので、(アンインストールしてもだめ)おとなしく複雑な Windows のグループポリシーエディタから編集する必要があります。

今、導入するなら ZCM 10.3 今後導入する計画があるなら ZCM 11.x のSP版を評価してからでしょう。

ZCM11,10, ZENworks7 との機能比較表はこちら
What's new in Novell ZENworks Configuration Management 11?

新機能に興味がなければ 10.x でも大丈夫でしょう。

-Key word-
Novell ZENworks11 ZCM11 グループポリシー管理 LDAP

islandcenter.jp
[PR]
by islandcenter | 2011-04-17 03:06 | ZENworks | Trackback | Comments(0)

Novell より、 ZENworks 11 の出荷が開始されました。

Novell Ships ZENworks 11

60日評価版はこちらからダウンロードできるようです。


-Keyword-

LDAP, Windows Management , Grouppolicy Management , asset management, Novell,

グループポリシー管理、資産管理

visit my site
[PR]
by islandcenter | 2011-01-09 16:21 | ZENworks | Trackback | Comments(0)

サーバのインストールもポリシーの設定もおわったら、

クライアントには ZCM サーバの download ディレクトリからエージェントを選びインストールします。このエージェントは Deploy タスクから配布することもできるようですが、うまく行きませんでした。

a0056607_15354843.gif


Windows の更新に合わせて、インストールしておくのがよいでしょう。

この時点ではまだ、ローカルアカウントは作成されていません。
a0056607_1539085.gif


エージェントをインストールした Windows 7 を再起動し、ネットワークに接続します。

a0056607_1541124.gif


ネットワークのログインの後、新規ローカルユーザが作成されて、新しいプロファイルが作成されます。

a0056607_15424378.gif


ここで、PowerUserがローカルアカウントに追加されていることが確認できます。
a0056607_15442151.gif


続く..かな

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-03 15:45 | ZENworks | Trackback | Comments(0)

ユーザソースをLDAP サーバから設定したら、ダイナミックローカルユーザポリシー(DLU)を作成します。

DLUは Windows のドメインがなくても、ダイナミックに認証を受けたユーザをローカルPCに作成する機能です。わざわざドメインコントローラを作らなくても、ZENworks のゾーン認証を受けたユーザがローカルPCになくても、ローカルアカウントが作成されるため、非常に便利な機能です。LDAPソースのパスワードを変更すれば、自動的に Windows ローカルアカウントも変更されます。

a0056607_14544159.gif


ポリシー名に "DLU-PowerUser" などの名前をつけて、ユーザのセキュリティレベルを設定します。
ここでは、DLU ユーザポリシーとして「パワーユーザ」を指定します。

a0056607_14591995.gif


次にグループポリシーを作成します。

グループポリシーの編集は、Windows 2008 サーバーで行わず、Windows 7 クライアントで行います。ここで編集されたグループポリシーは ZIP 化されて、ZCM サーバにアップロード/ダウンロードして適用される仕組みです。

グループポリシーについては詳細は省略しますが、 ZCM と連携させるために、必ずパスワードのポリシーを定義しなければなりません。ネットワークのパスワードポリシーと Windows のデフォルトパスワードポリシーが異なると、ネットワークのIDとパスワードではログインできない場合があるためです。

ポリシー画面から Windows グループポリシーを選びます。
a0056607_1542726.gif


ここで、任意のポリシー名を付けて次の画面をひらくと
a0056607_1562487.gif


ポリシーの「設定」ボタンがグレーアウトして編集することができません。これは、ブラウザのプラグインの問題なので、「グループポリシーエディタ」のプラグインダウンロードのリンクをクリックしてブラウザのプラグインを追加します。

ここでいったんブラウザを終了させて、ブラウザを再起動します。

再び、グループポリシーの編集画面を開くと 「設定」ボタンが有効になります。
a0056607_15104832.gif


設定ボタンを押してアップロードすると、マイクロソフト管理コンソールが起動します。

a0056607_1513432.gif



これは最低必要なポリシーです。
a0056607_15144748.gif

このポリシーを有効にしないと、Windows ローカルポリシーが制御できず、ネットワークのログイン/パスワードでダイナミックローカルユーザが作れません。

ちょっと内容は違いますが、次の文書を参考にしました。
ZCC cannot launch Group Policy tool on Windows 7 when logged in as a Dynamic Local User

a0056607_15193458.gif


ポリシーの編集が終わったら、それぞれ作成した DLU ポリシーと GroupPolicy を「割り当て」タブを開き、ワークステーションとユーザに関連付けします。

ここではまだ「検出タスク」を動かしていないため、割り当てるワークステーションは "Windows 7 ワークステーション" 全てとしました。

また割り当てるユーザは、ユーザソースである LDAP サーバをブラウズして OU=Users の中にあるグループ、またはユーザ、あるいはOU全体を選択することが出来ます。


続いて、ローカルPC側の動きを見て見ましょう。

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-03 15:23 | ZENworks | Trackback | Comments(0)

サーバのインストールが終わったら、ブラウザから、サーバアドレスをアドレスバーにセットして、コンソールを開きます。 administrator/インストールパスワード、でログインします。

ユーザ認証の設定は、環境設定>ユーザソース>新規ユーザソースから作成します。

ここではユーザソースを Novell eDirectory の LDAP サービスを利用します。
a0056607_1421939.gif


ユーザ認証のため、ディレクトリにリードアクセスがあるユーザを指定します。ここでは cn=admin,o=MyCompany を指定していますが、認証専用のユーザを作って指定しても良いでしょう。
a0056607_14242617.gif


cn=xxx,o=xxx の区切りは(ドット)ではなく(カンマ)です。
Windows ドメインの場合は cn=administrator,dc=MyDomain,dc=com のように設定します。

必要に応じてユーザソースとなるLDAP サーバを追加します。

a0056607_1447457.gif


次にポリシー管理を行います。

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-03 14:48 | ZENworks | Trackback | Comments(0)

前回に続いて、ZCM10sp3 を Windows 2003 サーバに導入します。ZCM でWindows 7 のポリシー管理をするには Windows 2008 を導入する必要はありません。

なお、Linux 版でもインストールの手順はほぼ同じ工程です。GUI が必要なのでリモートで操作するのが良いでしょう。

デフォルトでは C:\Program Files が指定されますが、任意のドライブにインストールすることが出来ます。インストール先に Novell ディレクトリが作成されます。Windows 版ではデフォルトで指定されたディレクトリはデフォルト共有ディレクトリとなります。
a0056607_1333595.gif



セットアッププログラムから言語を選び、新規のゾーンを作成します。ここで設定したパスワードは後にブラウザにログインする時の Administrator のパスワードになります。
a0056607_13232318.gif


組み込み Sybase を選びます。
a0056607_13263131.gif


CA局はここでは内部認証局を選びます。

ZCMのライセンスコンポーネントを選びます。ここでは UNIX 管理は入れません。ライセンスを入れない場合は90日間の評価版としてインストールされます。後にブラウザから正規のライセンスをセットして空くティベーと出来ます。

a0056607_1330194.gif


引き続きパッチマネジメントのライセンス入力画面がありますが、ここもチェックをはずして次へ進みます。

インストールサマリを確認してインストールを開始します。
a0056607_13323998.gif


インストールが終わったら、システムを再起動します。

ブラウザから ZCM10 サーバの名前をアドレスバーに入れるとデフォルトで https に接続します。

-よくあるトラブル-

- メモリが足りない
運用では2G必要ないのですが、インストーラがさまざまな設定を行うため、インストールの時だけは2Gのメモリが最低必要になります。

- mono/.NET が入っていない。

これは必須の要件なので、事前にインストールしておきます。

- 80,433 番ポートが使われている
 IIS や Apache などのサービスは導入しておいてはいけません。また SSL を使用するアプリケーションも導入してはいけません。ポートをデフォルトから変えるようにインストーラが指示します。

-DNS の設定
 DNS で確実に名前解決ができるか、hosts に完全修飾名を設定しておく必要があります。警告レベルですが、後々の運用を考えて、prefix などを正しく設定しておきます。

-アンインストールと再インストール

アンインストールはできますが、パスワードを設定せず削除すると Novell/ZCM のディレクトリが残ります。一度インストールに失敗して、再インストールするとうまく動いたので、もしなにかトラブルがあった場合は、アンインストール、ディレクトリ削除、再インストールをしてみてください。

エージェントインストーラへの共有設定
a0056607_13451386.gif


エージェントのインストーラは インストール先> Include > Download に作成されます。ここに作成されたクライアントエージェントのインストーラにアクセスできるように共有を設定します。デフォルトでも共有されますが、明示的にアクセスさせておくと便利でしょう。

ここでは guest アカウントを有効にして everyone に read アクセスを与えました。

続いて、LDAPソースへの認証管理を設定します。

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-03 13:47 | ZENworks | Trackback | Comments(0)

ZENworks 10 は sp3 より Windows 7 に対応しています。Windows 7 を導入するにあたり、新たに Windows 2008 系でドメインを構築してから、ということになるのですが、中々そう簡単に行かないのか、あまり Windows 7 を現場で管理する、ということにはならないようです。

Novell Zenworks 10 Desktop Management (以下ZCM10) は単独で LDAP 認証を行い、設定したポリシーによって、ユーザ、ワークステーションにポリシーを適用できる優れたシステムです。

Windows ドメインの場合、OU 単位でのみポリシー設定を行えるのに対し、ZENworks は OU(部門) ユーザグループ、個人、ワークステーション単位で細かなポリシー設定が行われます。
たとえば OU=Users に一般ユーザと、ヘルプデスクが存在するような場合、それぞれをグループ化して Power User に設定したり Administrator を追加することができます。

デスクトップワークステーションは Bitlocker を無効に、モバイルノートは有効に、などの細かな設定ができる(と思い)ます。

また、複数の LDAP ソースを利用することができるため、複数の Windows ドメインから eDirectory, openLDAP などのユーザ情報をソースとして利用できるため、単一のポリシーで複数のドメインなどのLDAP ユーザソースを管理することができます。企業の合併、分離、子会社化しても同じポリシーが利用できます。

ただの Windows ドメインのポリシー管理と違い、それぞれのワークステーションのインベントリ管理、パッチ管理、リモート管理など、ヘルプデスクが必要とする機能を備えており、使い倒すことで、SMSと WSUS の機能も備えています。

-Windows 板と Linux 板-

ZCM10サーバは Windows 板と Linux 板が用意されています。どちらも .NETframework を利用するため、 Linux 板では添付の mono をインストールして対応することが出来ます。しかし、一部 Windows の(Windowsプロクシ)が必要なため、中小ネットワークの環境では Windows 板を導入することをお勧めします。

ある程度の規模のネットワークでは、複数の Windows ZCM サーバと、より少ない Linux ZCM サーバで構成するのがよいでしょう。

-インストール前の必要事項-

Windows 版 Linux 版共に 2G バイトのインストール用メモリが必要です。これはインストール時に必要で、仮想化運用する場合は、1Gバイト程度にメモリを減らしても稼動します。

インストール後は 2.7G バイトほどディスク容量を必要とします。アプリケーションパッケージの配布なども考えると、数十Gbのディスク容量を用意した方が良いでしょう。

.NetFramework が必要です。Windows 版ではDVDに付属の .Net 2.0 を、Linux 版では mono 2.0x を利用します。ただし ZCM10sp3 は SLES11 用の mono しか添付されていないため、現在の OES Linux (SLES10) ベースでは動作しないようです。

Windows 版 .Net 2.0 は DVD:> Common > include にあります。
Linux 版 mono 2.0 は DVD > Install > mono にパッケージがあります。

DNSの名前解決が必要です。

a0056607_15321586.gif


正しくフルパスで DNS 名前解決が出来るようにDNSを設定しておく必要があります。 Windows の場合は、ネットワークのプロパティ>TCPIP>DNSの項目に DNS プリフィックスの設定を行います。DHCP環境では必ずワークステーションにプリフィックスを配布できるように設定しておくのが良いようです。

続く....
LDAP を使った Windows 7 の管理 ZCM10(2) サーバへインストール

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-02 15:37 | ZENworks | Trackback | Comments(0)