LDAP を使った Windows 7 の管理 ZCM10(4) Windows ポリシー管理

ユーザソースをLDAP サーバから設定したら、ダイナミックローカルユーザポリシー(DLU)を作成します。

DLUは Windows のドメインがなくても、ダイナミックに認証を受けたユーザをローカルPCに作成する機能です。わざわざドメインコントローラを作らなくても、ZENworks のゾーン認証を受けたユーザがローカルPCになくても、ローカルアカウントが作成されるため、非常に便利な機能です。LDAPソースのパスワードを変更すれば、自動的に Windows ローカルアカウントも変更されます。

LDAP を使った Windows 7 の管理 ZCM10(4) Windows ポリシー管理_a0056607_14544159.gif


ポリシー名に "DLU-PowerUser" などの名前をつけて、ユーザのセキュリティレベルを設定します。
ここでは、DLU ユーザポリシーとして「パワーユーザ」を指定します。

LDAP を使った Windows 7 の管理 ZCM10(4) Windows ポリシー管理_a0056607_14591995.gif


次にグループポリシーを作成します。

グループポリシーの編集は、Windows 2008 サーバーで行わず、Windows 7 クライアントで行います。ここで編集されたグループポリシーは ZIP 化されて、ZCM サーバにアップロード/ダウンロードして適用される仕組みです。

グループポリシーについては詳細は省略しますが、 ZCM と連携させるために、必ずパスワードのポリシーを定義しなければなりません。ネットワークのパスワードポリシーと Windows のデフォルトパスワードポリシーが異なると、ネットワークのIDとパスワードではログインできない場合があるためです。

ポリシー画面から Windows グループポリシーを選びます。
LDAP を使った Windows 7 の管理 ZCM10(4) Windows ポリシー管理_a0056607_1542726.gif


ここで、任意のポリシー名を付けて次の画面をひらくと
LDAP を使った Windows 7 の管理 ZCM10(4) Windows ポリシー管理_a0056607_1562487.gif


ポリシーの「設定」ボタンがグレーアウトして編集することができません。これは、ブラウザのプラグインの問題なので、「グループポリシーエディタ」のプラグインダウンロードのリンクをクリックしてブラウザのプラグインを追加します。

ここでいったんブラウザを終了させて、ブラウザを再起動します。

再び、グループポリシーの編集画面を開くと 「設定」ボタンが有効になります。
LDAP を使った Windows 7 の管理 ZCM10(4) Windows ポリシー管理_a0056607_15104832.gif


設定ボタンを押してアップロードすると、マイクロソフト管理コンソールが起動します。

LDAP を使った Windows 7 の管理 ZCM10(4) Windows ポリシー管理_a0056607_1513432.gif



これは最低必要なポリシーです。
LDAP を使った Windows 7 の管理 ZCM10(4) Windows ポリシー管理_a0056607_15144748.gif

このポリシーを有効にしないと、Windows ローカルポリシーが制御できず、ネットワークのログイン/パスワードでダイナミックローカルユーザが作れません。

ちょっと内容は違いますが、次の文書を参考にしました。
ZCC cannot launch Group Policy tool on Windows 7 when logged in as a Dynamic Local User

LDAP を使った Windows 7 の管理 ZCM10(4) Windows ポリシー管理_a0056607_15193458.gif


ポリシーの編集が終わったら、それぞれ作成した DLU ポリシーと GroupPolicy を「割り当て」タブを開き、ワークステーションとユーザに関連付けします。

ここではまだ「検出タスク」を動かしていないため、割り当てるワークステーションは "Windows 7 ワークステーション" 全てとしました。

また割り当てるユーザは、ユーザソースである LDAP サーバをブラウズして OU=Users の中にあるグループ、またはユーザ、あるいはOU全体を選択することが出来ます。


続いて、ローカルPC側の動きを見て見ましょう。

My site

Keyword

Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory
by islandcenter | 2010-12-03 15:23 | ZENworks | Comments(0)