2008年 10月 18日
Ldap でWindows のポリシー管理 - ZCM10 まとめ
まず、従来の ZENworks とあまりにも異なるインターフェースに違和感を感じます。過去の ZENworks を使っていた管理者でも、一瞬どこから手をつければ良いか戸惑うでしょう。
これまでの ZENworks では必要な機能が全て eDirectory に格納されていたわけで、いい意味でも悪い意味でも eDirectory の管理下にありました。
ZCM 10 は明らかに eDirectory と異なるインフラストラクチャで動作し、 AD, eDirectory その他 LDAP 環境であればどのようにでもユーザ認証を行うことができます。
過去に "NetWare のオマケ" に過ぎなかった、軽い ZENworks がしっかりと独立した製品となっています。が、その分、サーバへの負荷は非常に大きくなっている点は考慮しなければなりません。実際に実装テストをしてみると、リソースの点で苦労することがありました。
実際に大規模運用を考えると、Windows 管理サーバより、要件の緩い SUSE Linux 上での構築がベターです。NetWare 版がなくなった事は別にデメリットとは考えられません。
-DLU-
Dynamic Local User の機能は eDirectory 管理下でのみ動作します。Ldap 認証だけで Local Account が作成できるのかと思ったのですが、非常に残念です。
ただし、ADを Ldap サーバとして指定することもできるので、その際はSSOが使えるのでしょうか。そこまではチェックできませんでした。
もっとも、パスワードポリシーが各システムにより異なるわけで、パスワードの変更手続きを考えると OpenLdap による運用はかなり難しいと思います。普通エンドユーザが自分で SSH 端末を起動して、複雑なコマンドで Ldap パスワードを手軽に変更できるとは思えません。
ローカルアカウント管理は AD 環境、もしくは eDirectory 環境での運用がよさそうです。
-メリット-
ADに対してデメリットがあるとすれば、AD は Windows にくっ付いてくるモノ。ZCM は買わなければならないという点です。それ以外は全て ZCM が勝っていると言えるでしょう。
AD + 他の管理ツールで比較するより ZCM は単体で完成した管理ツールです。 AD は確かにユーザとワークステーションを容易に管理することができますが、インベントリ管理、アプリケーション配信、イメージング、ヘルプデスク機能を併せ持つ製品が必要であれば、何かいい製品はないかと探さざるを得ません。こういったニーズには ZCM は良い候補です。
AD + WSUS + Ghost + LanDesktop + QND plus と言った組み合わせで運用しているなら、ぜひ ZENworks のシンプルで統合された使い勝手を検討してみてください。同様な機能をシンプルにまとめた ZCM がいかに安上がりかがわかるはずです。
-欠けた機能-
最大の欠点はサポート対象となる Windows のスイートスポットが非常に狭い点です。 Windows XPsp3 と Vista sp1 のみというのは疑問です。9x 系が排除されたのは仕方ないとしても、Windows 2000 Pro にも対応してほしかったところです。
もっとも、次期 Windows 7 (内部コードは Windows 6.1 らしい) のリリースが近いわけですから、あわせて ZCM のバージョンがあがると思われます。Windows 7 への対応がパッチ対応となるのか、新バージョンになるかは全く将来の話です。ここはあわてる必要はないでしょう。
ただし、次期 Windows が "Vista Second Edition" に近い形であれば、それほど大きな変更は必要なく動くでしょう。"Windows 7 待ち" を決めている環境では一挙に XP -> Windows 7 への移行が始まるわけですから、必要な評価はしておきたいところです。
AppSnapShot がなくなったことは惜しまれる点です。今回の評価ではアプリケーション配布は試していません。アプリケーション配布、ワークステーションレジストリの変更が従来のように容易であれば、うれしい所です。
ただし、最近の Windows は"要塞化"しており、リモートからの管理は非常に困難です。リモートからの Deployment タスクは全て失敗しました。原因はどこかにあるのでしょうが、最近のウィルス、フィッシング対策が施してあるワークステーションへの Deployment はかなり困難となるでしょう。
また、従来であれば、容易に定義ファイルを手で書き換えてポリシーを追加して、F:ドライブだけ見せるというテクニックが使えたのですが、 ZCM ではどのようにやればよいのかがまだ勉強しなければならない点です。
当たり前ですが Macintosh OS-X の対応はたわ言に過ぎません。必ず聞かれるので、これも残念なことです。
-ZEN6,7 からのマイグレート-
現在 ZENworks 6.5, 7 を利用している場合、ZCM 10x への移行はかなり慎重に検討しなければなりません。何しろ今までのリソースが全て移行できるわけではなさそうです。完全に eDirectory の管理下から外れるわけですから、一夜にして変更することはかなり難しいと思います。もっともマイグレーションについてのマニュアルの記載もあるので、充分に検討する必要があります。
-買いか?-
買いか?と聞かれればズバリ"待ったほうがいい"と答えます。これは Vista 後を待つ気持ちと同じで、"Vista後" が出れば、買いのタイミングです。Windows 7 が登場し、評価が充分に定まれば、ZCM の移行を考慮していいでしょう。Novell K.K. があまり大規模にキャンペーンを行わないところもそこを見越しています。
ZCM は Intel が見放し、BillG がリタイアしてしまった "盟友 Microsoft" への Vista 移行キャンペーンへの援護射撃の表れです。Vista sp1 の登場に合わせて ZCM 10 sp1 が出たのも両者の蜜月関係の現われでしょう。
おそらく Windows 7 が出れば、どのような形であれ速やかに次期 ZCM が出ることは容易に予測できます。
-最後に-
当初は ZCM 10 は評価に値しないと考えていました。これは Vista も評価に値しないと同じ意味です。しかし、評価期間をめいっぱい使い倒してみると、Novell が今考えていること、自社製品だけで囲い込むのではなく、できる限りオープンな環境で使える製品を出したい、というメッセージがなんとなく理解できそうです。
また、過去の ZENworks のように ConsoleOne から隠しコマンドのように探していたインターフェースは改善され、誰でも直感的に使えるところは好感が持てます。サーバの要求値は高いのですが、管理用コンソールは非常に軽く動作します。
ZCM ZENworks DLU Policy Remote Desktop Management Novell Windows管理 mono SUSE Linux OES OES2 Ldap Dynamic Local User インベントリ 資産管理
この他の情報はこちらを参考にしてください。
非番のエンジニア