カテゴリ:ZENworks( 57 )


Windows10 GPOでドライブを非表示にする。

10年前にこんな記事を書いたのですが、未だにご覧になられる方がいらっしゃるようで気になっていました。

グループポリシーでドライブを非表示にする。

という事で、 Windows10 でも、エクスプローラからドライブが非表示にできるかどうかを試してみました。


Windows のドライブは勿論、アルファベットのA~Zまであるのですが、意図的に見せたくないドライブもあります。例えばC:ドライブに勝手にディレクトリを掘って、そこに重要なデータを保管されたりすると、いざ、PCがご臨終になった場合に、データが無くなったとウルサいエンドユーザさんもいるわけですね。できれば、C:とD: は別なパーティションにわけて、D:ドライブは自由に使ってもいいけどC:ドライブは、システムを復旧した時に保証されないよ、という事もあるわけです。ついでに、ドキュメントフォルダなんかはD:ドライブに割り当ててあげて、タスクスケジューラなんかでD:ドライブだけをNASなどの隠しドライブに Robocopy してあげれば、最低限ユーザのデータのバックアップは為せば成る。

また、USB記憶装置なんかをつないだ時に、ドライブレターが、エクスプローラに表示されなければ、簡単にコピーすることもできません。「なぜコピーできないんだ」と言われれば、それは「セキュリティポリシーだから」で済むわけです。そこで、例えばネットワークに割り当てたP:とかS: とか以外は見せたくないという事も考えられるわけです。

という事で、エクスプローラから、見せたくないドライブを隠してしまおう Windows10 版です。もっとも、エクスプローラからは見えないだけで、コマンドプロンプトや、保存したり、エクスプローラから、開く時のアドレスバーに直接ドライブ名を入れてしまえば、見えてしまうのですが、おおよそ9割のエンドユーザさんはそんなことお構いなしに「見えないものは無いもの」と考えてくれるわけですから、それなりに便利だともいえます。



- 基本編 -

さて、グループポリシーエディタ gpedit のドライブを隠す設定は

  1. [ユーザーの構成]、[管理用テンプレート]、[Windows コンポーネント]、[エクスプローラー]
  2. [指定したドライブを [マイ コンピューター] 内で非表示にする] を開く
  3. [指定したドライブを [マイ コンピューター] 内で非表示にする] ダイアログ ボックスで [有効]
  4. ドロップダウン ボックスで該当するオプションをトグルして設定

という手順になるのですが、

a0056607_10500340.jpg


ただ、この gpedit のテンプレートでは、決め打ちのドライブを隠す設定だけなので D: とネットワークに割り当てた P: と S: だけは見せたいとかのカスタマイズができません。という事で、この「隠しドライブ」のテンプレートをカスタマイズしてみましょう、というのがテーマです。



- 不可視ドライブをカスタマイズする -

C:\Windows\PolicyDefinitions の下に WindowsExplorer.adml というファイルがあります。C:\Windows\PolicyDefinitions が本体で、さらに ..\ja-JP\ に翻訳した内容が記述されています。

C:\Windows\PolicyDefinitions\ja-JP>dir WindowsExplorer.adml
ドライブ C のボリューム ラベルは WindowsC です
ボリューム シリアル番号は 1856-98D7 です
C:\Windows\PolicyDefinitions\ja-JP のディレクトリ
2016/07/17 07:15 80,922 WindowsExplorer.adml
1 個のファイル 80,922 バイト
0 個のディレクトリ 25,201,598,464 バイトの空き領域
C:\Windows\PolicyDefinitions\ja-JP>

翻訳はメモ帳で開くとこんな設定が書かれています。gpedit に出てくる内容そのまんまですね。

: 略

<policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema"; xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"; revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">;
<displayName>表示名をここに入力する</displayName>
<description>説明をここに入力する</description>
<resources>
<stringTable>
<string id="ABCDOnly">A、B、C および D ドライブのみを制限する</string>
<string id="ABConly">A、B および C ドライブのみを制限する</string>
<string id="ABOnly">A および B ドライブのみを制限する</string>
<string id="ALLDrives">すべてのドライブを制限する</string>
<string id="ClassicShell">クラシック表示のシェルをオンにする</string>
<string id="ClassicShell_Help">この設定を使用すると、管理者は特定の Windows シェルの動作をクラシック表示のシェルの動作に戻すことができます。

: 略

実体を開くと

C:\Windows\PolicyDefinitions>dir WindowsExplorer.admx
ドライブ C のボリューム ラベルは WindowsC です
ボリューム シリアル番号は 1856-98D7 です
C:\Windows\PolicyDefinitions のディレクトリ
2016/07/17 07:20 41,886 WindowsExplorer.admx
1 個のファイル 41,886 バイト
0 個のディレクトリ 25,188,646,912 バイトの空き領域
C:\Windows\PolicyDefinitions>

例えば翻訳では 「AB のみを制限する」内容がこのように記述されています。翻訳版の ja-JP の "string id=" の部分を "item displayName=" で定義しています。

: 略

<item displayName="$(string.ABOnly)">
<value>
<decimal value="3" />
</value>
</item>

: 略

ここで問題となるのが "decimal valu=" の部分です。





- 不可視ドライブの値を決定する -

ここで Decimal Value は Z~A をビットに見立てて、0 は見せるドライブ、1 は見せないドライブです。
Dex:3 は 0011b: 0x03 ですから "D:C:B:A: ドライブの B: と A: はビットが立って、制限して見せない"という事になります。

右からZ:Y:X: .... C:B:A: とビットで制限して、内容を10進数で表記しているわけです。実に面倒くさい。

例えば D:E:F:P:S: ドライブだけ見せて、他のドライブをエクスプローラーに表示させたくない場合、次の様なバイナリデータが、7桁の十六進数 0x3FB7FC7 となり、 Decimal 十進数では 66812895 となります。

Novell の ZENworks の Knowledge Database に記事があります。

How to restrict drives on workstations

つまり、D:E:F:P:S だけ見せたいという計算はこういう事です。

**ZW|XWVU|TSRQ|PONM|LKJI|HGFE|DCBA <<-- Drive Letter
0011|1111|1011|0111|1111|1100|0111 <<-- Binary 1:Hide, 0:Show
0x03|0x0F|0x0B|0x07|0x0F|0x0C|0x07 <<-- Hex
66812895 <<-- Decimal

という事で、ドライブの見せ方を決定するには面倒で使えない Windows10 の「電卓アプリ」を使って、二進、十進の計算するわけです。

しかし電卓アプリよりこの面倒な数値を求めるサイトが、まだあるのでご紹介しておきます。とても便利です。


Drives to show/hide

不要なデフォルトの Show Only を Delete して、表示したいドライブレターをチェックします。"New" ボタンを押すと、必要最低限の情報だけを作ってくれます。

a0056607_10505797.jpg




Export すると、この様な hidedrive.adm が作成されてダウンロードできるので、参考にすると良いでしょう。 D:E:F:P:S: を表示する値は 66813895 になりました。0 は全部ビットが落ちて "ShowAll" で 67108863 は全部にビットが立って "HideAll" になります。

  : 略

CATEGORY !!WindowsComponents
CATEGORY !!WindowsExplorer
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ShowAll VALUE NUMERIC 0
NAME !!HideAll VALUE NUMERIC 67108863 DEFAULT
NAME !!DEFPS VALUE NUMERIC 66813895
END ITEMLIST
END PART
END POLICY
POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoViewOnDriveDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ShowAll VALUE NUMERIC 0
NAME !!HideAll VALUE NUMERIC 67108863 DEFAULT
NAME !!DEFPS VALUE NUMERIC 66813895
END ITEMLIST
END PART
END POLICY
END CATEGORY ; WindowsExplorer
END CATEGORY ;; WindowsComponents

: 略




- 実装してみる -

メモ帳などのテキストエディタで、 C:\Windows\PolycyDefinitions の中身を書き換えて追加する隠しドライブのポリシーを追加します。上書きできないのでいったん保存して、ファイルのバックアップを取ってから、ファイルを PolicyDefinicions にコピーして実装します。

C:\Windows\PolicyDefinitions>type WindowsExplorer.admx

: 略

<item displayName="$(string.DEFPSonly)">
<value>
<decimal value="66813895" />
</value>
</item>

: 略

C:\Windows\PolicyDefinitions\WindowsExplorer.admx は所有者が Administrator でなければ上書きできません。ファイルのセキュリティの詳細から所有者を Administrator グループなどに変更する必要があります。一応バックアップをとってから書き換えることができました。

C:\Windows\PolicyDefinitions\ja-JP>type WindowsExplorer.adml

: 略

<stringTable>
<string id="ABCDOnly">A、B、C および D ドライブのみを制限する</string>
<string id="ABConly">A、B および C ドライブのみを制限する</string>
<string id="ABOnly">A および B ドライブのみを制限する</string>
<string id="ALLDrives">すべてのドライブを制限する</string>
<string id="DEFPSonly">DEFPSのみ見せる</string>
<string id="ClassicShell">クラシック表示のシェルをオンにする</string>
<string id="ClassicShell_Help">この設定を使用すると、管理者は特定の Windows シェルの動作をクラシック表示のシェルの動作に戻すことができます。

: 略

この様な感じで、追加したポリシーを書き換えて保存します。

このC:\Windows\PolicyDefinitions\ja-JP\WindowsExplorer.adml ファイルはいったん別なディレクトリに保管して管理者として上書きします。

実装前

G: I: が見えています。

a0056607_10542889.jpg




"DEFPS のみ見せる"が出てきました。「有効」にポリシーを設定して「適用」します。

a0056607_10562741.jpg


グループポリシーを即座に適用します。

C:\WINDOWS\system32>gpupdate.exe
ポリシーを最新の情報に更新しています...
コンピューター ポリシーの更新が正常に完了しました。
ユーザー ポリシーの更新が正常に完了しました。
C:\WINDOWS\system32>

エクスプローラからC: H: I: ドライブが消えました。

a0056607_10552891.jpg



S:にネットワークの共有記憶領域を割り当てます。S:は見えるようです。



--


今回は、単体PCで実施しましたが、 ZENworks Configuration Management では、変更したPCで iManager から設定し、サーバーにアップすれば良いかと思います。 Windows ドメインを使う場合は、たぶんどこぞの隠し共有フォルダにこのファイルがあるので、書き換えて管理できるでしょう。

このグループポリシーのテンプレート自体をカスタマイズする方法は、若干面倒ですが、他で紹介されているように直接レジストリを書き換える方法より安全でしょうし、また、他にいくつかの Hide Drive Policy のテンプレートを追加して作っておけば応用が利きます。

ドメインコントローラや ZENworks ユーザによって、管理者、ヘルプデスク、一般パワーユーザ、一般ユーザ、先生、生徒の様に様々なパターンが二つのファイルのカスタマイズだけでできるのでとても便利です。





-Keyword-

Windows, Windows10 特定のドライブ, ドライブが見えない, ドライブを不可視, ドライブを隠す, 特定のドライブを非表示, グループポリシー, How to Hide Drive letter from Explorer,特定のドライブを「コンピューター」や「エクスプローラー」で非表示, 指定したドライブを [マイ コンピューター] 内で非表示にする, カスタマイズ, マイコンピュータから特定ドライブを見せない, マイコンピューターからドライブを消す方法,

[PR]
by islandcenter | 2017-10-19 11:14 | ZENworks | Trackback | Comments(0)

ZENworks Configuration Management (ZCM) 11 sp2 をご紹介します。

ドメイン不要でユーザ管理

ZCM を導入すると、ドメイン不要、CAL不要で eDirectory などの LDAPによるローカルユーザ管理を行えます。まぁCALを買うよりユーザ単位で購入するので若干コストはかかりますが。そのコスト以上の効果があることをご理解いただければありがたいです。

また、ディレクトリサービスの OU, グループ、ユーザ単位でポリシー管理が行えます。ポリシーベースでディレクトリサービスを設計することなく、ネットワークの構成、組織の構成に合わせて、柔軟に運用ポリシーを設計し、ユーザに割り当てることができます。管理者、パワーユーザ、リモートデスクトップの許可をすべて集中管理することができます。

ZENworks ZCM11 How to work Dynamic Local User
https://www.youtube.com/watch?v=YLNP8BygSVI


例えば、同じ部門でも、Windows Update Service にパイロット的にパッチを配布するポリシーだとか、タイミングをグループに分けて配信するとか、できるだけ同じディレクトリであっても Update Service を分散させるなどのこともできるわけです。

ZENworks ZCM11 DIstribute GroupPolicy into WS
https://www.youtube.com/watch?v=-FrJbSXW-QQ


コンピュータに割り当てたポリシーはあまりユーザには変更してもらいたくないものです。リセットした WSUS の機能を強制的に再割り当てします。

Dynamic Local User(DLU)機能は、LDAP ソースを使って自動的にローカルユーザを作成する機能です。
Dynamic Local User & install Libre Office
https://www.youtube.com/watch?v=5ECLVk-kbPI
削除したユーザとプロファイルがネットワークの認証によって自動的に作成されます。


アプリケーションの自動配布

一般のユーザにはあまり管理者権限は与えたくないものです。しかし、アプリケーションは一台一台インストールするのは面倒くさい。ということで、MSIパッケージをパワーユーザが直接インストールせず、ZCMを通じてインストールできるという訳です。

このデモでは LibreOffice を一般のパワーユーザーに配信するデモです。
Distribute Office Application Via ZCM11
https://www.youtube.com/watch?v=yvXBW1A4P6k

一般ユーザではMSIインストーラの起動、アプリケーションの削除が拒否されています。

従来 NAL(Network Application Launcher)と呼ばれた、ZENworks の原点となった機能です。ZCMでは Bundle と呼ばれる機能に名前が変わりました。




複数のLDAPユーザソースを単一のポリシーで管理

組織はアメーバのように分割、結合します。複数のドメインや異なるディレクトリソースであっても ZENworks であれば複数の LDAP ソースを使って単一の運用ポリシーにまとめることができます。

Novell ZCM How to setup Multiple User Ldap Source
https://www.youtube.com/watch?v=E961k50FOPw






エージェントの自動配信

他所から借り物です。

ZCM : Deploying The Agent
https://www.youtube.com/watch?v=9tIxmor5KZY

残念ながら Windows7 ではうまく動かなかったので借りてきました。バグなのかパッチがあるのか、おそらく Windows7 の強力なブロックを突破できませんでした。シンクライアントを使ったターミナルサービス接続だからでしょうか。ちょっと実機で試してみる必要がありそうです。

ということで手動でインストールする方法です。
Novell ZCM11sp2 PreAgenhttps://www.youtube.com/watch?v=aQkGoTJBFrUtPkg Agent Install and Regstration
https://www.youtube.com/watch?v=M_EVSo8yZdQ


ヘルプデスク機能

ヘルプデスク機能はリモートコンピュータへのファイルの配信、リモートビューと制御、リブート、起動などを行う機能です。ここでは実際にリモートコンピュータをリブートしてみました。

Novell ZCM11 Remote Workstation Reboot
https://www.youtube.com/watch?v=aQkGoTJBFrU


BIOSにパスワードをかけられると、効果はないのはご愛嬌ですね。

ヘルプデスク機能として、リモートデスクトップ管理ができます。
http://www.youtube.com/watch?v=QEJZQfazVZI&feature=youtu.be


ヘルプデスク担当者が接続を要求する際に、相手にパスワードをセットしてもらうか、「リクエストされているダイアログ」でOKボタンを押すと、ヘルプデスクがユーザのデスクトップ画面をそのまま操作できます。ここでコマンドプロンプトを「管理者で実行」すれば、一般ユーザでは行えない必要なアプリケーションのインストールや設定変更を「居ながらに」行うことが出来ます。フロアを駆け回る必要はありません。また、ちょっとユーザPCのメンテナンスをする場合、ユーザさんに「机からどいてもらって」修正するわけですが、その必要もないわけです。管理者にとっても、利用者さんにとっても非常に生産性が上がることになります。

--
このような機能が ZENworks Configuration Management の概要です。沢山のドメインが乱立して管理が行き届かない組織、何らかの理由があってドメインが使えないネットワーク。リモート拠点のヘルプデスクサービスが必要なネットワーク。

samba4 が本格的に利用されると、Windows の CAL が不要になりますが、ネットワークの管理はやっぱり面倒なものです。

islandcenter.jp
[PR]
by islandcenter | 2013-12-02 10:33 | ZENworks | Trackback | Comments(0)

ZENworks 11 SP2 Streamline your IT operations

ダウンロードすましたが忙しくて試していません。
[PR]
by islandcenter | 2012-04-11 09:36 | ZENworks | Trackback | Comments(0)

English Translate Hire

よほど Microsoft さんはWinodws の「拡張子」というものの過去の存在が恥ずかしいのでしょうか。 GroupPolicy では「拡張子の表示、非表示」をポリシーで設定することは出来ません。しかし拡張子が表示されないと、ユーザが誤ってクリックして「実行」してしまうことができてしまいます。フォルダオプションから変更するのが一般的ですが、一番簡単な方法はレジストリを変更すればよいようです。次の文書に懇切丁寧に書かれています。

Windows 7 - File Extensions - Hide or Show

具体的には次のレジストリを regedit で実行する必要があるようです。

------------->
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt"=-

<--------------------

gpedit からこの項目を変更できるようにするには次の二つのファイルを書き換える必要があるようです。ZCM10では、管理用PCの次のファイルを書き換えて gpedit のメニューを追加する必要があるようです。

C:\Windows\PolicyDefinitions\WindowsExplorer.admx
C:\Windows\PolicyDefinitions\ja-JP\WindowsExplorer.adml

hide file extensions of known file types

ZENworks 3...7 では SYS:public にグループポリシーがテキストのまま保存されるので、テキストをそのまま編集すれば良かったのですが、 ZCM10 では修正したグループポリシーが ZIP 圧縮されて ZCM サーバにアップされてしまいます。また Windows Vista/7 系は 2000/XP系よりかなり修正が面倒なようです。

Windows 2000/XP 系は割とこの設定は簡単でした。
ZEN works Desktop で特定のドライブを隠したい

グループポリシーでドライブを非表示にする。

おそらく、2000/XP 系では次の記述を system.adm に書き加えるだけです。

CLASS USER
CATEGORY "Windows Explorer Customization"
POLICY "Show file extensions of known file types"
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
VALUENAME "HideFileExt"
VALUEON NUMERIC 0
VALUEOFF NUMERIC 1
END POLICY
END CATEGORY

Windows 7 系でマイコンピュータから特定のドライブを隠す方法はこちらに実例があります。参考になるでしょう。
┏|∵|┛Windows2008Server のGPOで特定のドライブにアクセスさせない方法 その1

Hide local drives (Vista and Windows Server 2008)


この程度の問題であれば、”そのとおり”という回答がどこかにあるはずですが、見つけることができませんでした。もしご存知であればコメントください。

-Key Word-

Novell ZCM10 ZCM11 グループポリシー Exploror オプション 拡張子を表示する 拡張子を表示しない。 Windows 7

islandcenter.jp
[PR]
by islandcenter | 2011-04-23 14:37 | ZENworks | Trackback | Comments(0)

1月に出荷された ZENworks 11 をインストールしてみました。

- Windows 版 -

仮想 Windows 2003 sp1 をC:10G、D:10Gで仮想マシンを作りました。

2G バイト以上のメモリ : 仮想マシンでは 2048 ではインストーラが起動できなかったので 2.3G 程度与えておくと良いでしょう。

DNS の設定 : DNS でインストールするサーバの名前解決が完全にできるようにします。IPだけでもかまわないのですが、(おそらく)DNS名でエージェントが作成されるため、DNSの設定を完全に行っておくことです。

.NET 3.5 のインストール : メディアの中に dotnetfix 3.5 の頒布版があります。事前にインストールしておきます。



ここまで準備できれば、setup.exe を起動してインストールします。日本語のインストーラが起動します。デフォルトは C:\Program Files なので D: に任意にディレクトリを指定します。

が、コピー中にシャットダウン、何度やってもだめ ---- 終了

-Linux 版-

仮想SLES11sp1 に16Gのディスクを与えてインストールしました

2Gのメモリ: やはりメモリは2G以上必要です。2.2G程度事前に与えておいてインストールします。

mono2.01 のインストール: メディアに mono のパッケージがあるのでインストールします。setup.sh を実行します。iso から解凍した場合は x (実行)フラグがついていませんので、 chmod で x フラグを付けてください。

DNS の設定 : これも Windows 版と同じです。クライアントから zensrv.local などに正しく ping できるように設定します。

ここまで準備できたら、X端末から setup.sh を実行します。インストーラは日本語が選べません。英語でインストールします。
インストーラは英語ですが、正しくブラウザでは日本語が使えます。

a0056607_15423579.gif


ちなみにログインは Administrator/install-password です。

なお、FireFox 4 ではGroupPolicy Helper プラグインが正しく動かないようです。Firefox 3.6 では動作しました。

a0056607_1544932.gif


Windows 用の PreAgent は /opt/novell/zenworks/install/downloads/setup/ に作成されます。

zcm11linux:/opt/novell/zenworks/install/downloads/setup/x86 # ls
PreAgentPkg_Agent.exe PreAgentPkg_AgentLinux.bin
PreAgentPkg_AgentComplete.exe PreAgentPkg_AgentLinuxComplete.bin
PreAgentPkg_AgentCompleteDotNet.exe


今のところ、Windows 版のインストール中にハングアップしてしまうのは原因不明です。

-総合評価-

まだ決め付けるわけには行かないのですが、現時点で ZCM11 は買いではありません。基本的な機能、である「ローカルポリシーの作成」「ダイナミックローカルユーザDLU」の機能については ZCM10.3 の方が確実に動作しました。
特に Windows ポリシー管理には Windows プロクシが必要なのですが、 ZCM の Windows 版サーバがインストール中に意味なくハングアップしてしまうのは何とも、もったいないです。Linux 版でも DLU は動作させることができませんでした。

ちなみに、手抜きをしてポリシー管理に「窓の手 Bata2 」を使ってみたら、見事にグループポリシー編集のプラグインが動かなくなったので、(アンインストールしてもだめ)おとなしく複雑な Windows のグループポリシーエディタから編集する必要があります。

今、導入するなら ZCM 10.3 今後導入する計画があるなら ZCM 11.x のSP版を評価してからでしょう。

ZCM11,10, ZENworks7 との機能比較表はこちら
What's new in Novell ZENworks Configuration Management 11?

新機能に興味がなければ 10.x でも大丈夫でしょう。

-Key word-
Novell ZENworks11 ZCM11 グループポリシー管理 LDAP

islandcenter.jp
[PR]
by islandcenter | 2011-04-17 03:06 | ZENworks | Trackback | Comments(0)

Novell より、 ZENworks 11 の出荷が開始されました。

Novell Ships ZENworks 11

60日評価版はこちらからダウンロードできるようです。


-Keyword-

LDAP, Windows Management , Grouppolicy Management , asset management, Novell,

グループポリシー管理、資産管理

visit my site
[PR]
by islandcenter | 2011-01-09 16:21 | ZENworks | Trackback | Comments(0)

サーバのインストールもポリシーの設定もおわったら、

クライアントには ZCM サーバの download ディレクトリからエージェントを選びインストールします。このエージェントは Deploy タスクから配布することもできるようですが、うまく行きませんでした。

a0056607_15354843.gif


Windows の更新に合わせて、インストールしておくのがよいでしょう。

この時点ではまだ、ローカルアカウントは作成されていません。
a0056607_1539085.gif


エージェントをインストールした Windows 7 を再起動し、ネットワークに接続します。

a0056607_1541124.gif


ネットワークのログインの後、新規ローカルユーザが作成されて、新しいプロファイルが作成されます。

a0056607_15424378.gif


ここで、PowerUserがローカルアカウントに追加されていることが確認できます。
a0056607_15442151.gif


続く..かな

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-03 15:45 | ZENworks | Trackback | Comments(0)

ユーザソースをLDAP サーバから設定したら、ダイナミックローカルユーザポリシー(DLU)を作成します。

DLUは Windows のドメインがなくても、ダイナミックに認証を受けたユーザをローカルPCに作成する機能です。わざわざドメインコントローラを作らなくても、ZENworks のゾーン認証を受けたユーザがローカルPCになくても、ローカルアカウントが作成されるため、非常に便利な機能です。LDAPソースのパスワードを変更すれば、自動的に Windows ローカルアカウントも変更されます。

a0056607_14544159.gif


ポリシー名に "DLU-PowerUser" などの名前をつけて、ユーザのセキュリティレベルを設定します。
ここでは、DLU ユーザポリシーとして「パワーユーザ」を指定します。

a0056607_14591995.gif


次にグループポリシーを作成します。

グループポリシーの編集は、Windows 2008 サーバーで行わず、Windows 7 クライアントで行います。ここで編集されたグループポリシーは ZIP 化されて、ZCM サーバにアップロード/ダウンロードして適用される仕組みです。

グループポリシーについては詳細は省略しますが、 ZCM と連携させるために、必ずパスワードのポリシーを定義しなければなりません。ネットワークのパスワードポリシーと Windows のデフォルトパスワードポリシーが異なると、ネットワークのIDとパスワードではログインできない場合があるためです。

ポリシー画面から Windows グループポリシーを選びます。
a0056607_1542726.gif


ここで、任意のポリシー名を付けて次の画面をひらくと
a0056607_1562487.gif


ポリシーの「設定」ボタンがグレーアウトして編集することができません。これは、ブラウザのプラグインの問題なので、「グループポリシーエディタ」のプラグインダウンロードのリンクをクリックしてブラウザのプラグインを追加します。

ここでいったんブラウザを終了させて、ブラウザを再起動します。

再び、グループポリシーの編集画面を開くと 「設定」ボタンが有効になります。
a0056607_15104832.gif


設定ボタンを押してアップロードすると、マイクロソフト管理コンソールが起動します。

a0056607_1513432.gif



これは最低必要なポリシーです。
a0056607_15144748.gif

このポリシーを有効にしないと、Windows ローカルポリシーが制御できず、ネットワークのログイン/パスワードでダイナミックローカルユーザが作れません。

ちょっと内容は違いますが、次の文書を参考にしました。
ZCC cannot launch Group Policy tool on Windows 7 when logged in as a Dynamic Local User

a0056607_15193458.gif


ポリシーの編集が終わったら、それぞれ作成した DLU ポリシーと GroupPolicy を「割り当て」タブを開き、ワークステーションとユーザに関連付けします。

ここではまだ「検出タスク」を動かしていないため、割り当てるワークステーションは "Windows 7 ワークステーション" 全てとしました。

また割り当てるユーザは、ユーザソースである LDAP サーバをブラウズして OU=Users の中にあるグループ、またはユーザ、あるいはOU全体を選択することが出来ます。


続いて、ローカルPC側の動きを見て見ましょう。

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-03 15:23 | ZENworks | Trackback | Comments(0)

サーバのインストールが終わったら、ブラウザから、サーバアドレスをアドレスバーにセットして、コンソールを開きます。 administrator/インストールパスワード、でログインします。

ユーザ認証の設定は、環境設定>ユーザソース>新規ユーザソースから作成します。

ここではユーザソースを Novell eDirectory の LDAP サービスを利用します。
a0056607_1421939.gif


ユーザ認証のため、ディレクトリにリードアクセスがあるユーザを指定します。ここでは cn=admin,o=MyCompany を指定していますが、認証専用のユーザを作って指定しても良いでしょう。
a0056607_14242617.gif


cn=xxx,o=xxx の区切りは(ドット)ではなく(カンマ)です。
Windows ドメインの場合は cn=administrator,dc=MyDomain,dc=com のように設定します。

必要に応じてユーザソースとなるLDAP サーバを追加します。

a0056607_1447457.gif


次にポリシー管理を行います。

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-03 14:48 | ZENworks | Trackback | Comments(0)

前回に続いて、ZCM10sp3 を Windows 2003 サーバに導入します。ZCM でWindows 7 のポリシー管理をするには Windows 2008 を導入する必要はありません。

なお、Linux 版でもインストールの手順はほぼ同じ工程です。GUI が必要なのでリモートで操作するのが良いでしょう。

デフォルトでは C:\Program Files が指定されますが、任意のドライブにインストールすることが出来ます。インストール先に Novell ディレクトリが作成されます。Windows 版ではデフォルトで指定されたディレクトリはデフォルト共有ディレクトリとなります。
a0056607_1333595.gif



セットアッププログラムから言語を選び、新規のゾーンを作成します。ここで設定したパスワードは後にブラウザにログインする時の Administrator のパスワードになります。
a0056607_13232318.gif


組み込み Sybase を選びます。
a0056607_13263131.gif


CA局はここでは内部認証局を選びます。

ZCMのライセンスコンポーネントを選びます。ここでは UNIX 管理は入れません。ライセンスを入れない場合は90日間の評価版としてインストールされます。後にブラウザから正規のライセンスをセットして空くティベーと出来ます。

a0056607_1330194.gif


引き続きパッチマネジメントのライセンス入力画面がありますが、ここもチェックをはずして次へ進みます。

インストールサマリを確認してインストールを開始します。
a0056607_13323998.gif


インストールが終わったら、システムを再起動します。

ブラウザから ZCM10 サーバの名前をアドレスバーに入れるとデフォルトで https に接続します。

-よくあるトラブル-

- メモリが足りない
運用では2G必要ないのですが、インストーラがさまざまな設定を行うため、インストールの時だけは2Gのメモリが最低必要になります。

- mono/.NET が入っていない。

これは必須の要件なので、事前にインストールしておきます。

- 80,433 番ポートが使われている
 IIS や Apache などのサービスは導入しておいてはいけません。また SSL を使用するアプリケーションも導入してはいけません。ポートをデフォルトから変えるようにインストーラが指示します。

-DNS の設定
 DNS で確実に名前解決ができるか、hosts に完全修飾名を設定しておく必要があります。警告レベルですが、後々の運用を考えて、prefix などを正しく設定しておきます。

-アンインストールと再インストール

アンインストールはできますが、パスワードを設定せず削除すると Novell/ZCM のディレクトリが残ります。一度インストールに失敗して、再インストールするとうまく動いたので、もしなにかトラブルがあった場合は、アンインストール、ディレクトリ削除、再インストールをしてみてください。

エージェントインストーラへの共有設定
a0056607_13451386.gif


エージェントのインストーラは インストール先> Include > Download に作成されます。ここに作成されたクライアントエージェントのインストーラにアクセスできるように共有を設定します。デフォルトでも共有されますが、明示的にアクセスさせておくと便利でしょう。

ここでは guest アカウントを有効にして everyone に read アクセスを与えました。

続いて、LDAPソースへの認証管理を設定します。

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-03 13:47 | ZENworks | Trackback | Comments(0)