サーバのインストールもポリシーの設定もおわったら、

クライアントには ZCM サーバの download ディレクトリからエージェントを選びインストールします。このエージェントは Deploy タスクから配布することもできるようですが、うまく行きませんでした。

a0056607_15354843.gif


Windows の更新に合わせて、インストールしておくのがよいでしょう。

この時点ではまだ、ローカルアカウントは作成されていません。
a0056607_1539085.gif


エージェントをインストールした Windows 7 を再起動し、ネットワークに接続します。

a0056607_1541124.gif


ネットワークのログインの後、新規ローカルユーザが作成されて、新しいプロファイルが作成されます。

a0056607_15424378.gif


ここで、PowerUserがローカルアカウントに追加されていることが確認できます。
a0056607_15442151.gif


続く..かな

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-03 15:45 | ZENworks | Trackback | Comments(0)

ユーザソースをLDAP サーバから設定したら、ダイナミックローカルユーザポリシー(DLU)を作成します。

DLUは Windows のドメインがなくても、ダイナミックに認証を受けたユーザをローカルPCに作成する機能です。わざわざドメインコントローラを作らなくても、ZENworks のゾーン認証を受けたユーザがローカルPCになくても、ローカルアカウントが作成されるため、非常に便利な機能です。LDAPソースのパスワードを変更すれば、自動的に Windows ローカルアカウントも変更されます。

a0056607_14544159.gif


ポリシー名に "DLU-PowerUser" などの名前をつけて、ユーザのセキュリティレベルを設定します。
ここでは、DLU ユーザポリシーとして「パワーユーザ」を指定します。

a0056607_14591995.gif


次にグループポリシーを作成します。

グループポリシーの編集は、Windows 2008 サーバーで行わず、Windows 7 クライアントで行います。ここで編集されたグループポリシーは ZIP 化されて、ZCM サーバにアップロード/ダウンロードして適用される仕組みです。

グループポリシーについては詳細は省略しますが、 ZCM と連携させるために、必ずパスワードのポリシーを定義しなければなりません。ネットワークのパスワードポリシーと Windows のデフォルトパスワードポリシーが異なると、ネットワークのIDとパスワードではログインできない場合があるためです。

ポリシー画面から Windows グループポリシーを選びます。
a0056607_1542726.gif


ここで、任意のポリシー名を付けて次の画面をひらくと
a0056607_1562487.gif


ポリシーの「設定」ボタンがグレーアウトして編集することができません。これは、ブラウザのプラグインの問題なので、「グループポリシーエディタ」のプラグインダウンロードのリンクをクリックしてブラウザのプラグインを追加します。

ここでいったんブラウザを終了させて、ブラウザを再起動します。

再び、グループポリシーの編集画面を開くと 「設定」ボタンが有効になります。
a0056607_15104832.gif


設定ボタンを押してアップロードすると、マイクロソフト管理コンソールが起動します。

a0056607_1513432.gif



これは最低必要なポリシーです。
a0056607_15144748.gif

このポリシーを有効にしないと、Windows ローカルポリシーが制御できず、ネットワークのログイン/パスワードでダイナミックローカルユーザが作れません。

ちょっと内容は違いますが、次の文書を参考にしました。
ZCC cannot launch Group Policy tool on Windows 7 when logged in as a Dynamic Local User

a0056607_15193458.gif


ポリシーの編集が終わったら、それぞれ作成した DLU ポリシーと GroupPolicy を「割り当て」タブを開き、ワークステーションとユーザに関連付けします。

ここではまだ「検出タスク」を動かしていないため、割り当てるワークステーションは "Windows 7 ワークステーション" 全てとしました。

また割り当てるユーザは、ユーザソースである LDAP サーバをブラウズして OU=Users の中にあるグループ、またはユーザ、あるいはOU全体を選択することが出来ます。


続いて、ローカルPC側の動きを見て見ましょう。

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-03 15:23 | ZENworks | Trackback | Comments(0)

サーバのインストールが終わったら、ブラウザから、サーバアドレスをアドレスバーにセットして、コンソールを開きます。 administrator/インストールパスワード、でログインします。

ユーザ認証の設定は、環境設定>ユーザソース>新規ユーザソースから作成します。

ここではユーザソースを Novell eDirectory の LDAP サービスを利用します。
a0056607_1421939.gif


ユーザ認証のため、ディレクトリにリードアクセスがあるユーザを指定します。ここでは cn=admin,o=MyCompany を指定していますが、認証専用のユーザを作って指定しても良いでしょう。
a0056607_14242617.gif


cn=xxx,o=xxx の区切りは(ドット)ではなく(カンマ)です。
Windows ドメインの場合は cn=administrator,dc=MyDomain,dc=com のように設定します。

必要に応じてユーザソースとなるLDAP サーバを追加します。

a0056607_1447457.gif


次にポリシー管理を行います。

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-03 14:48 | ZENworks | Trackback | Comments(0)

前回に続いて、ZCM10sp3 を Windows 2003 サーバに導入します。ZCM でWindows 7 のポリシー管理をするには Windows 2008 を導入する必要はありません。

なお、Linux 版でもインストールの手順はほぼ同じ工程です。GUI が必要なのでリモートで操作するのが良いでしょう。

デフォルトでは C:\Program Files が指定されますが、任意のドライブにインストールすることが出来ます。インストール先に Novell ディレクトリが作成されます。Windows 版ではデフォルトで指定されたディレクトリはデフォルト共有ディレクトリとなります。
a0056607_1333595.gif



セットアッププログラムから言語を選び、新規のゾーンを作成します。ここで設定したパスワードは後にブラウザにログインする時の Administrator のパスワードになります。
a0056607_13232318.gif


組み込み Sybase を選びます。
a0056607_13263131.gif


CA局はここでは内部認証局を選びます。

ZCMのライセンスコンポーネントを選びます。ここでは UNIX 管理は入れません。ライセンスを入れない場合は90日間の評価版としてインストールされます。後にブラウザから正規のライセンスをセットして空くティベーと出来ます。

a0056607_1330194.gif


引き続きパッチマネジメントのライセンス入力画面がありますが、ここもチェックをはずして次へ進みます。

インストールサマリを確認してインストールを開始します。
a0056607_13323998.gif


インストールが終わったら、システムを再起動します。

ブラウザから ZCM10 サーバの名前をアドレスバーに入れるとデフォルトで https に接続します。

-よくあるトラブル-

- メモリが足りない
運用では2G必要ないのですが、インストーラがさまざまな設定を行うため、インストールの時だけは2Gのメモリが最低必要になります。

- mono/.NET が入っていない。

これは必須の要件なので、事前にインストールしておきます。

- 80,433 番ポートが使われている
 IIS や Apache などのサービスは導入しておいてはいけません。また SSL を使用するアプリケーションも導入してはいけません。ポートをデフォルトから変えるようにインストーラが指示します。

-DNS の設定
 DNS で確実に名前解決ができるか、hosts に完全修飾名を設定しておく必要があります。警告レベルですが、後々の運用を考えて、prefix などを正しく設定しておきます。

-アンインストールと再インストール

アンインストールはできますが、パスワードを設定せず削除すると Novell/ZCM のディレクトリが残ります。一度インストールに失敗して、再インストールするとうまく動いたので、もしなにかトラブルがあった場合は、アンインストール、ディレクトリ削除、再インストールをしてみてください。

エージェントインストーラへの共有設定
a0056607_13451386.gif


エージェントのインストーラは インストール先> Include > Download に作成されます。ここに作成されたクライアントエージェントのインストーラにアクセスできるように共有を設定します。デフォルトでも共有されますが、明示的にアクセスさせておくと便利でしょう。

ここでは guest アカウントを有効にして everyone に read アクセスを与えました。

続いて、LDAPソースへの認証管理を設定します。

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-03 13:47 | ZENworks | Trackback | Comments(0)

ZENworks 10 は sp3 より Windows 7 に対応しています。Windows 7 を導入するにあたり、新たに Windows 2008 系でドメインを構築してから、ということになるのですが、中々そう簡単に行かないのか、あまり Windows 7 を現場で管理する、ということにはならないようです。

Novell Zenworks 10 Desktop Management (以下ZCM10) は単独で LDAP 認証を行い、設定したポリシーによって、ユーザ、ワークステーションにポリシーを適用できる優れたシステムです。

Windows ドメインの場合、OU 単位でのみポリシー設定を行えるのに対し、ZENworks は OU(部門) ユーザグループ、個人、ワークステーション単位で細かなポリシー設定が行われます。
たとえば OU=Users に一般ユーザと、ヘルプデスクが存在するような場合、それぞれをグループ化して Power User に設定したり Administrator を追加することができます。

デスクトップワークステーションは Bitlocker を無効に、モバイルノートは有効に、などの細かな設定ができる(と思い)ます。

また、複数の LDAP ソースを利用することができるため、複数の Windows ドメインから eDirectory, openLDAP などのユーザ情報をソースとして利用できるため、単一のポリシーで複数のドメインなどのLDAP ユーザソースを管理することができます。企業の合併、分離、子会社化しても同じポリシーが利用できます。

ただの Windows ドメインのポリシー管理と違い、それぞれのワークステーションのインベントリ管理、パッチ管理、リモート管理など、ヘルプデスクが必要とする機能を備えており、使い倒すことで、SMSと WSUS の機能も備えています。

-Windows 板と Linux 板-

ZCM10サーバは Windows 板と Linux 板が用意されています。どちらも .NETframework を利用するため、 Linux 板では添付の mono をインストールして対応することが出来ます。しかし、一部 Windows の(Windowsプロクシ)が必要なため、中小ネットワークの環境では Windows 板を導入することをお勧めします。

ある程度の規模のネットワークでは、複数の Windows ZCM サーバと、より少ない Linux ZCM サーバで構成するのがよいでしょう。

-インストール前の必要事項-

Windows 版 Linux 版共に 2G バイトのインストール用メモリが必要です。これはインストール時に必要で、仮想化運用する場合は、1Gバイト程度にメモリを減らしても稼動します。

インストール後は 2.7G バイトほどディスク容量を必要とします。アプリケーションパッケージの配布なども考えると、数十Gbのディスク容量を用意した方が良いでしょう。

.NetFramework が必要です。Windows 版ではDVDに付属の .Net 2.0 を、Linux 版では mono 2.0x を利用します。ただし ZCM10sp3 は SLES11 用の mono しか添付されていないため、現在の OES Linux (SLES10) ベースでは動作しないようです。

Windows 版 .Net 2.0 は DVD:> Common > include にあります。
Linux 版 mono 2.0 は DVD > Install > mono にパッケージがあります。

DNSの名前解決が必要です。

a0056607_15321586.gif


正しくフルパスで DNS 名前解決が出来るようにDNSを設定しておく必要があります。 Windows の場合は、ネットワークのプロパティ>TCPIP>DNSの項目に DNS プリフィックスの設定を行います。DHCP環境では必ずワークステーションにプリフィックスを配布できるように設定しておくのが良いようです。

続く....
LDAP を使った Windows 7 の管理 ZCM10(2) サーバへインストール

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
[PR]
by islandcenter | 2010-12-02 15:37 | ZENworks | Trackback | Comments(0)

ZENworksのDLU (Dynamic Local User)の機能を使うと、自動的にユーザアカウントがローカルに作成され、 Document and Settingsの下に自由にユーザが書き込みできるフォルダが作成されます。

が、管理の都合上、My Document は書き込み禁止にしたいとか、スタートメニューに余計なショートカットは作ってほしくないという要望がたまにあります。

Windowsの標準のコマンドに Cacls.exeというのがあるので、次のようなバッチファイルを作成して、Naldeskの強制実行バッチ(remove_ACL.bat)として登録してあげればいいのです。

a0056607_1733575.gif


echo y|cacls "C:\Documents and Settings\%username%\スタート メニュー" /T /C /P %username%:R < \\MyServer\SYS\PUBLIC\yes.txt

Yes.txt は Cacls がエコーバックする確認メッセージに対して Yes を入力するためのものです。次の方法で作ります。

> copy con Yes.txt
y^Z

1つのファイルをコピーしました。

で簡単に作成します。

このバッチファイルは、ログインスクリプトで実行してもいいのですが、初めてログインするDLUユーザの場合、ログインスクリプトが実行されてからデスクトップが起動するので、ZENworksを使ったほうがよいようです。

なお、Cacls には /T /C オプションを付けないとサブディレクトリまで継承されないので注意が必要です。

caclsコマンドをバッチ・ファイルで利用する

バッチファイルで確認メッセージを自動で入れたい

ファイルのセキュリティ設定
[PR]
by islandcenter | 2007-08-30 17:08 | Windows | Trackback | Comments(0)

Policy の適用方法

ZENworks が Active Directory とは一番異なる点は、

ポリシーをグループ、個人、OU単位で細かく設定できる点にあります。 AD の場合は OU 全体にポリシーを適用することが出来ません。したがってOUの設計は必ずポリシーの設計を考えた上で考慮しなければならないところです。

これに対してZENworks のポリシーは、グループオブジェクトやOU、さらには個人に対して適用できるため、OUのどこにユーザが居ようと任意のポリシーを自由に与えることができるのです。

a0056607_13215883.gif


例えば、General Policy を Users 全体に与えた上で、HelpDesk 用の管理者ポリシーを HelpDesk グループに与えるということが容易に出来ます。Active Directory の大雑把な管理方法とは異なり、非常に細やかな管理ができる(ある意味では煩雑になる場合もあり得る)点は大いに評価していいでしょう。

連結子会社が多かったり、グループ企業が複雑な組織の都合などにより、全社的なポリシー運用ができない組織においては、単一のポリシー運用ができ、さらに細かなポリシー例外を設けることができる ZENworks は充分検討するに値するシステムなのです。

a0056607_1334176.gif


この方法はワークステーション管理にも有効です。登録されたワークステーションをグループ化して、グループに対してワークステーションポリシーを適用させることにより、利用者や内部のデータに応じたポリシーを適用させることができるのです。

Active Directory を導入したいが、全体のポリシー設計が難しい、あるいはAD導入自体が難しい、全体をワークグループ運用している、連結対象の企業をひとつのポリシーで運用したいといった組織にはぜひ ZENworks の導入をお勧めしたいところです。

非番のエンジニア
[PR]
by islandcenter | 2007-07-14 13:36 | ZENworks | Trackback | Comments(0)

※Windows10版を追加しました。
あわせてご参考ください

Windows10 GPOでドライブを非表示にする。

ZENworks でマイコンピュータの隠しドライブを作る方法です。

ZENworks では従来利用できた Extensible Policy が利用できないため、GroupPolicy によりこの制限を行います。ただし、デフォルトでは、準備された隠しドライブレターしか利用できないため、必要に応じて、隠しドライブを準備する必要があります。

SYS:Public\mgmt\ConsoleOne\1.2\bin\zen\に作成するグループポリシーファイルの中で system.adm の次の箇所をカスタマイズします。

POLICY !!NoDrives
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif

EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!MyStudent VALUE NUMERIC 65798143 <---- Add this line
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY

中略

[strings]
ABCDOnly="A、B、C および D ドライブのみを制限する"
ABConly="A、B および C ドライブのみを制限する"
ABOnly="A および B ドライブのみを制限する"
MyStudent="隠しドライブ生徒用" <--- Add this line

VALU NUMERIC に設定する値は26 個のアルファベットをビットに見立てた2進数を10進に変換したものです。

11111111111111111111111111
ZYXWVUTSRQPONMLKJIHGFEDCBA

詳細は以下の文書を参考にしてください。

Cannot restrict specific drives in ZENworks for Desktops 3 extensible policy

Using System Policies to Hide Specific Drive Letters
以下のリンクには NUMERIC を求めるためのツールがあります。

NT drive calculator

http://www.precedence.co.uk/nc/nodrive.php3

別にドライブを隠したところでDOS窓なんかではちゃんと見えるわけなんですが、マップしたドライブの中で余計なドライブを見せないことはユーザにとっては使いやすいし、ユーザが壊してはいけないファイルなどに、アプリケーションからアクセスさせたい場合などは便利です。

セキュリティ上、アクセスが容易なところにエクスプローラでファイルを簡単に置かれたり、コピーされることを避けるためにも隠しドライブは便利ですね。


[PR]
by islandcenter | 2007-04-09 16:21 | ZENworks | Trackback | Comments(0)

余計なメディアを見せたくない場合があります。
完璧ではないのですが、少なくとも、「見えないデバイス」としてしまえば、エクスプローラからは隠されてしまいますから、ユーザが不用意にアクセスできなくなります。

例えば割り当てたネットワークドライブだけ見せたいとか、A:、D:、E:なんかをすっぽり隠してしまいたいなんていうときに使います。

というような余計なお世話をするかというテクニックです。

GroupPolicy によりこの制限を行います。デフォルトでは、準備された隠しドライブレターしか利用できないため、必要に応じて、隠しドライブを準備する必要があります。
グループポリシーファイルを定義すると system.adm が作成されるので次の箇所をカスタマイズします。

POLICY !!NoDrives
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif

EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!MyHideDrive VALUE NUMERIC 65798143 <---- Add this line
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY

[strings]
ABCDOnly="A、B、C および D ドライブのみを制限する"
ABConly="A、B および C ドライブのみを制限する"
ABOnly="A および B ドライブのみを制限する"
MyHideDrive="ウチのポリシーでドライブを制限する" <--- Add this line

VALU NUMERIC に設定する値(65798143)は26 個のアルファベットをビットに見立てた2進数を10進に変換したものです。
11111111111111111111111111
ZYXWVUTSRQPONMLKJIHGFEDCBA
詳細は以下の文書を参考にしてください。
Cannot restrict specific drives in ZENworks for Desktops 3 extensible policy

Using System Policies to Hide Specific Drive Letters


以下のリンクには NUMERIC を求めるためのツールがあります。
NT drive calculator
[PR]
by islandcenter | 2006-03-08 08:05 | ZENworks | Trackback | Comments(0)