2008年 10月 17日
Ldap でWindows のポリシー管理 - ZCM10 の DLU ポリシー
通常、 Windows NT 系のローカルアカウントは、それぞれユーザを各ワークステーションごとに登録して管理するか、あるいは Windows Domain を導入するしかありません。
しかし Windows Domain (AD) は単一のデータベースで、たとえ、Active Directory となっても、ドメイン間のユーザ移動、ドメインDBの分割、結合といった作業ができず、多国籍企業や、ホールディングカンパニーを中心としたグループ企業、事業の売買といった、組織運営に重要な機能に欠けています。その中でワークステーションのポリシーを管理することは不可能に近いといえます。
DLU は、ディレクトリ認証によって、自動的に Windows のローカルアカウントの作成、パスワードポリシーの設定を行うことができます。
※残念ながら現行バージョンでは Novell の eDirectory クライアント環境でしか動作しないことがわかっています。
DLU does not work in ZCM10 without Novell Client32
したがって OpenLdap 環境では、ZENworks の DLU によるSSO機能は働きません。最低 OES Linux を導入して eDirectory を LDAP サーバとして使用するしかないようですが、それでも、かつての ZENworks より格段に進んでいます。
-DLUポリシーの作成-
ZCMコントロールマネージャから Policies > New > Policies > Dynamic Local User を選び、例えば PowerUserPolicy などと名前をつけます。
ポリシーに適合したユーザグループを選択して右のボックスに移動します。
例えば一般ユーザは PowerUser で、 HelpDesk 担当者や、セットアップ用アカウントなどは Administrator グループを指定します。
Manage existing user account (if any) のチェックをつけるかどうかは難しいところですが、既にローカルアカウントと同じユーザ名を使っている場合は、このチェックをつけると良いでしょう。
Volatile user (Remove user after logout) のチェックは一般のオフィス環境では基本的に付けません。
ネットカフェ、キオスク端末、学校など、複数のユーザが使う可能性があるコンピュータの場合は使うことがあります。
このチェックを入れると、ローカルアカウントのユーザ情報はログアウトすると削除されます。
-ポリシーの関連付け-
ポリシーは eDirectory の場合、OU, ユーザグループ、 ユーザ個人の3種類に関連付けができます。ZCM 10 からはワークステーションへの関連付けも行うことができるようになりました。AD のポリシーの場合、OU 単位でしか割り当てができないので非常に不便なのですが、 ZCM では Users.Tokyo.Company の Salesmen, Enginner, HelpDesk, ITmanager などのグループ、あるいはOUに自由に割り当てることができます。
作成したポリシー、またはユーザ、ユーザグループ、を選び、作成した DLU ポリシーに割り当てます。
-DLU ポリシーの適用とユーザ自動作成、パスワードの同期-
関連付けられたワークステーション側にはポリシーがダウンロードされます。
eDirectory のユーザアカウントのパスワード有効期限を切る(過去の時間にセット)すると、ユーザは新しいパスワードを設定する必要があります。
eDirectory 認証を行うと、DLU ポリシーが適用されて、ローカルに存在しないユーザを自動作成します。
Novell Cient を使用したワークステーションの場合、Ctrl+Alt+Del のパスワード変更画面から、ディレクトリのパスワードと、ローカルのパスワードを同時に変更することができます。
-KeyWord-
ZCM ZENworks DLU Policy Management Novell Policy Windows管理 mono SUSE Linux OES OES2 Ldap Dynamic Local User
この他の情報はこちらを参考にしてください。
非番のエンジニア