2007年 07月 14日
Dynamic Local User(DLU) ZENworks の夢の機能
その最大の機能が Dynamic Local User (DLU) と呼ばれる機能です。
普通、 Windows XP でローカルユーザを管理しようとします。
当然、管理者か制限ユーザしか作ることが出来ません。管理者では全ての機能がユーザにとって自由だし、制限ユーザではあまりにも出来ることができません。プリンタの設定ですら管理者がイチイチ現場に赴いて作業をしなければならないのです。
また、ネットワークに入るときは .myname.myou.myorg でログインして、ローカルには user というアカウントでログインするという奇妙な運用を実施しているところもありました。つくづく ZENworks を知らないということは不幸なことだなと思います。
なぜ ZENworks を入れないのか
そういう運用をしているネットワーク管理者には声を大にして言いたいところです。かつて NetWare 5.1 にはスタータパックが標準添付されていましたが、この理由だけで NetWare 6 ではなくわざわざ 5.1 を導入したこともあるくらいなのです。それくらい ZENworks の DLU 機能は価値があるということです。
仮にシステムのヘルプデスクの雇用コストが年間1000万かかったとしましょう。ZENworks は確実にその運用コストを半分にしてしまいます。1ライセンス1万4000円程度ですが、従業員200~300人程度の企業規模であれば、わずか1年でそのコストを吸収できるパフォーマンスを持っているのです。
-Dynamic Local User(DLU)を有効にする
ヘルプにはワークステーションまたはターミナルサーバのSAM (Security Access Manager)データベースに一時的または永続的に常駐するユーザオブジェクトを作成します。とあります。つまり eDirectory に認証されたユーザ名のアカウントを自動的にローカルに作成する機能なのです。
これだけではわかりにくいかもしれませんが、もし、新しいPCをセットアップして、eDirectory のユーザアカウントに DLU を設定しておけば、ローカルアカウントを作成して配布する必要もなければ、ローカルアカウントのパスワード管理も eDirectory まかせなので、夢の Single Sign On が実現できるのです。ローカルアカウントは自動的に作成されます。
DLU を有効にするにはユーザポリシーを作成します。例えば PowerUserDLU などの名前をつけてユーザポリシーを作成しましょう。ポリシータブから例えば Windows XP などのオペレーティングシステムを選択します。デフォルトでは DLU はチェックされていないので、 ダイナミックローカルユーザにチェックを入れてプロパティを開きます。
「ダイナミックローカルユーザを有効にする」「既存のユーザアカウントを管理する」「eDirectory アカウント情報を使用する」にチェックを入れます。
「一時的ユーザ(Volatile)」はチェックしてはいけません。このチェックはローミングプロファイルを使う場合にチェックする場合があります。チェックを入れるとログアウトした後キャッシュされたユーザの「お気に入り」や My Document は削除されてしまいます。
下の「所属」ボックスに Windows グループを登録します。システム管理者やヘルプデスクの場合は Administrator グループを登録すればよいし、一般ユーザの場合は Power User グループに所属させます。
Windows XP のローカルアカウント作成ではできなかった PowerUser の設定はここで行うことが出来ます。
あとは、 PowerUserDLU グループなどを作成し、そのグループ、あるいはOUに対して関連付け(associate)し、ユーザをグループやOUに登録するだけです。
ここで PC へ NWGINA にログインすれば、自動的に Windows のローカルアカウントが作成されます。