2010年 12月 03日
LDAP を使った Windows 7 の管理 ZCM10(4) Windows ポリシー管理
DLUは Windows のドメインがなくても、ダイナミックに認証を受けたユーザをローカルPCに作成する機能です。わざわざドメインコントローラを作らなくても、ZENworks のゾーン認証を受けたユーザがローカルPCになくても、ローカルアカウントが作成されるため、非常に便利な機能です。LDAPソースのパスワードを変更すれば、自動的に Windows ローカルアカウントも変更されます。
ポリシー名に "DLU-PowerUser" などの名前をつけて、ユーザのセキュリティレベルを設定します。
ここでは、DLU ユーザポリシーとして「パワーユーザ」を指定します。
次にグループポリシーを作成します。
グループポリシーの編集は、Windows 2008 サーバーで行わず、Windows 7 クライアントで行います。ここで編集されたグループポリシーは ZIP 化されて、ZCM サーバにアップロード/ダウンロードして適用される仕組みです。
グループポリシーについては詳細は省略しますが、 ZCM と連携させるために、必ずパスワードのポリシーを定義しなければなりません。ネットワークのパスワードポリシーと Windows のデフォルトパスワードポリシーが異なると、ネットワークのIDとパスワードではログインできない場合があるためです。
ポリシー画面から Windows グループポリシーを選びます。
ここで、任意のポリシー名を付けて次の画面をひらくと
ポリシーの「設定」ボタンがグレーアウトして編集することができません。これは、ブラウザのプラグインの問題なので、「グループポリシーエディタ」のプラグインダウンロードのリンクをクリックしてブラウザのプラグインを追加します。
ここでいったんブラウザを終了させて、ブラウザを再起動します。
再び、グループポリシーの編集画面を開くと 「設定」ボタンが有効になります。
設定ボタンを押してアップロードすると、マイクロソフト管理コンソールが起動します。
これは最低必要なポリシーです。
このポリシーを有効にしないと、Windows ローカルポリシーが制御できず、ネットワークのログイン/パスワードでダイナミックローカルユーザが作れません。
ちょっと内容は違いますが、次の文書を参考にしました。
ZCC cannot launch Group Policy tool on Windows 7 when logged in as a Dynamic Local User
ポリシーの編集が終わったら、それぞれ作成した DLU ポリシーと GroupPolicy を「割り当て」タブを開き、ワークステーションとユーザに関連付けします。
ここではまだ「検出タスク」を動かしていないため、割り当てるワークステーションは "Windows 7 ワークステーション" 全てとしました。
また割り当てるユーザは、ユーザソースである LDAP サーバをブラウズして OU=Users の中にあるグループ、またはユーザ、あるいはOU全体を選択することが出来ます。
続いて、ローカルPC側の動きを見て見ましょう。
My site
Keyword
Novell ZENworks 10 ZCM10 Windows7 Windows 7 グループポリシー管理 LDAP 認証管理 Windows 7 資産管理 eDirectory Active Directory