Ldap でWindows のポリシー管理 - ZCM10 の DLU ポリシー

Dynamic Local User - DLU は ZENworks の最大の特徴で、この機能だけを使っているお客様もいます。

通常、 Windows NT 系のローカルアカウントは、それぞれユーザを各ワークステーションごとに登録して管理するか、あるいは Windows Domain を導入するしかありません。

しかし Windows Domain (AD) は単一のデータベースで、たとえ、Active Directory となっても、ドメイン間のユーザ移動、ドメインDBの分割、結合といった作業ができず、多国籍企業や、ホールディングカンパニーを中心としたグループ企業、事業の売買といった、組織運営に重要な機能に欠けています。その中でワークステーションのポリシーを管理することは不可能に近いといえます。

DLU は、ディレクトリ認証によって、自動的に Windows のローカルアカウントの作成、パスワードポリシーの設定を行うことができます。

※残念ながら現行バージョンでは Novell の eDirectory クライアント環境でしか動作しないことがわかっています。

DLU does not work in ZCM10 without Novell Client32

したがって OpenLdap 環境では、ZENworks の DLU によるSSO機能は働きません。最低 OES Linux を導入して eDirectory を LDAP サーバとして使用するしかないようですが、それでも、かつての ZENworks より格段に進んでいます。

-DLUポリシーの作成-

ZCMコントロールマネージャから Policies > New > Policies > Dynamic Local User を選び、例えば PowerUserPolicy などと名前をつけます。

Ldap でWindows のポリシー管理 - ZCM10 の DLU ポリシー_a0056607_13342169.gif


ポリシーに適合したユーザグループを選択して右のボックスに移動します。
Ldap でWindows のポリシー管理 - ZCM10 の DLU ポリシー_a0056607_13345836.gif


例えば一般ユーザは PowerUser で、 HelpDesk 担当者や、セットアップ用アカウントなどは Administrator グループを指定します。

Manage existing user account (if any) のチェックをつけるかどうかは難しいところですが、既にローカルアカウントと同じユーザ名を使っている場合は、このチェックをつけると良いでしょう。

Volatile user (Remove user after logout) のチェックは一般のオフィス環境では基本的に付けません。

ネットカフェ、キオスク端末、学校など、複数のユーザが使う可能性があるコンピュータの場合は使うことがあります。

Ldap でWindows のポリシー管理 - ZCM10 の DLU ポリシー_a0056607_13405752.gif


このチェックを入れると、ローカルアカウントのユーザ情報はログアウトすると削除されます。

-ポリシーの関連付け-

ポリシーは eDirectory の場合、OU, ユーザグループ、 ユーザ個人の3種類に関連付けができます。ZCM 10 からはワークステーションへの関連付けも行うことができるようになりました。AD のポリシーの場合、OU 単位でしか割り当てができないので非常に不便なのですが、 ZCM では Users.Tokyo.Company の Salesmen, Enginner, HelpDesk, ITmanager などのグループ、あるいはOUに自由に割り当てることができます。

作成したポリシー、またはユーザ、ユーザグループ、を選び、作成した DLU ポリシーに割り当てます。
Ldap でWindows のポリシー管理 - ZCM10 の DLU ポリシー_a0056607_13571718.gif


-DLU ポリシーの適用とユーザ自動作成、パスワードの同期-

関連付けられたワークステーション側にはポリシーがダウンロードされます。
Ldap でWindows のポリシー管理 - ZCM10 の DLU ポリシー_a0056607_13423061.gif


eDirectory のユーザアカウントのパスワード有効期限を切る(過去の時間にセット)すると、ユーザは新しいパスワードを設定する必要があります。
Ldap でWindows のポリシー管理 - ZCM10 の DLU ポリシー_a0056607_1345204.gif


eDirectory 認証を行うと、DLU ポリシーが適用されて、ローカルに存在しないユーザを自動作成します。
Ldap でWindows のポリシー管理 - ZCM10 の DLU ポリシー_a0056607_1346622.gif


Novell Cient を使用したワークステーションの場合、Ctrl+Alt+Del のパスワード変更画面から、ディレクトリのパスワードと、ローカルのパスワードを同時に変更することができます。
Ldap でWindows のポリシー管理 - ZCM10 の DLU ポリシー_a0056607_13481421.gif



-KeyWord-
ZCM ZENworks DLU Policy Management Novell Policy Windows管理 mono SUSE Linux OES OES2 Ldap Dynamic Local User

この他の情報はこちらを参考にしてください。
非番のエンジニア
by islandcenter | 2008-10-17 00:26 | ZENworks | Comments(0)