対象バージョンレベル
Systemwalker Centric Manager
Windows版:V5.0L30~V13.2.0
A
導入環境のサーバマシンをドメインコントローラに昇格、またはドメインコントローラから降格する手順について説明します。対象のサーバはWindows 2000 Server/Windows Server 2003 STD /Windows Server 2003 DTC/Windows Server 2003 EEとなります。
【昇格/降格時共通】
以下の手順は、すべてのインストール種別で共通の手順です。
ドメインコントローラに昇格、またはドメインコントローラから降格する前にバックアップを実施します。
“Systemwalker Centric Manager 導入手引書”の“バックアップ”を参照してください。
以下に示すローカルグループに所属しているユーザを、それぞれ確認して記録しておきます。(ドメインコントローラに昇格、またはドメインコントローラから降格した後、昇格/降格する前と同じ状態に戻すときに、ここで記録した内容を使用します。)
確認するローカルグループと、確認方法を以下に示します。
[ローカルグループ]
DmAdmin
DmOperation
DmReference
DistributionAdmin
DistributionOperation
DistributionReference
SystemwalkerSecurityAdmin(V13.1.0以降の場合)
SystemwalkerSecurityAuditor(V13.1.0以降の場合)
[確認方法]
以下のメニューから確認できます。
昇格の場合
[コントロールパネル]-[管理ツール]-[コンピュータの管理]-[システムツール]-[ローカル ユーザーとグループ]-[グループ]
降格の場合
[コントロールパネル]-[管理ツール]-[Active Directory ユーザとコンピュータ]-[作成されたドメイン名]-[Users]
サーバマシンを、ドメインコントローラへ昇格、またはドメインコントローラから降格します。
昇格、および降格の方法については、OSのマニュアルを参照してください。
ローカルグループの情報を確認/設定します。
以下のローカルグループが、システムに登録されていることを確認し、登録されていない場合は作成します。
確認するローカルグループ、確認方法、および作成方法を以下に示します。
[ローカルグループ]
DmAdmin
DmOperation
DmReference
DistributionAdmin
DistributionOperation
DistributionReference
SystemwalkerSecurityAdmin(V13.1.0以降の場合)
SystemwalkerSecurityAuditor(V13.1.0以降の場合)
[確認方法]
以下のメニューから確認できます。
昇格の場合
[コントロールパネル]-[管理ツール]-[Active Directory ユーザとコンピュータ]-[作成されたドメイン名]-[Users]
降格の場合
[コントロールパネル]-[管理ツール]-[コンピュータの管理]-[システムツール]-[ローカル ユーザーとグループ]-[グループ]
[作成方法]
コマンドプロンプトを起動します。
以下のコマンドを実行し、ローカルグループを作成します。
「SystemwalkerSecurityAdmin」と「SystemwalkerSecurityAuditor」は、V13.1.0以降の場合だけ作成します。
> net localgroup DmAdmin /ADD |
次のローカルグループの特権が、次のポリシーに設定されていることを確認します。設定されていない場合は設定します。
[ローカルグループ]
DmAdmin
DistributionAdmin
[ポリシー]
オペレーティング システムの一部として機能
プロセスのメモリクォータの増加 (Windows2000の場合は"クォータの増加")
サービスとしてログオン
システム パフォーマンスのプロファイル
システムのシャットダウン
システム時刻の変更
スケジューリング優先順位の繰り上げ
デバイス ドライバのロードとアンロード
トークン オブジェクトの作成
ドメインにワークステーションを追加
ネットワーク経由でコンピュータへアクセス
ファームウェア環境値の修正
ファイルとその他のオブジェクトの所有権の取得
ファイルとディレクトリのバックアップ
ファイルとディレクトリの復元
プログラムのデバッグ
プロセス レベル トークンの置き換え
ページ ファイルの作成
リモート コンピュータからの強制シャットダウン
ローカル ログオンを許可する(Windows2000の場合は"ローカル ログオン")
監査とセキュリティ ログの管理
単一プロセスのプロファイル
[確認方法]
以下のメニューから確認できます。
昇格の場合
[コントロールパネル]-[管理ツール]-[ドメイン ローカル セキュリティ ポリシー]-[セキュリティの設定]-[ローカル ポリシー]-[ユーザー権利の割り当て]
降格の場合
[コントロールパネル]-[管理ツール]-[ローカル セキュリティ ポリシー]-[ローカル ポリシー]-[ユーザー権利の割り当て]
エクスプローラーから次のディレクトリのプロパティを開き、[セキュリティ]の[グループ名またはユーザ名]の一覧において、"不明なアカウント"が存在する場合は、すべて削除してください。
[ディレクトリ]
Systemwalkerインストールディレクトリ¥MpWalker.DM
手順5.と同様に、エクスプローラーから次のディレクトリのプロパティを開き、以下に示すアクセス許可が設定されていることを確認し、設定されていない場合は、設定します。確認するディレクトリとアクセス許可、および設定方法を以下に示します。
[ディレクトリ]
Systemwalkerインストールディレクトリ¥MpWalker.DM
[アクセス許可]
DmAdmin:フルコントロール
DmOperation:変更
DmReference:変更
DistributionAdmin:フルコントロール
DistributionOperation:変更
DistributionReference:変更
Administrators:フルコントロール
SYSTEM:フルコントロール
CREATOR OWNER:フルコントロール
Users:読み取り
[設定方法]
Administratorsグループに所属するユーザでログインします。
コマンドプロンプトを起動します。
以下のコマンドを実行し、アクセス許可を設定します。
Systemwalkerインストールディレクトリ¥MpWalker¥bin¥mpsetsec.exe /s1 /c |
以下のローカルグループに所属するユーザを、手順2.で記録した確認結果と同じ状態に設定します。(必要に応じてユーザを追加/削除してください)
[ローカルグループ]
DmAdmin
DmOperation
DmReference
DistributionAdmin
DistributionOperation
DistributionReference
SystemwalkerSecurityAdmin(V13.1.0以降の場合)
SystemwalkerSecurityAuditor(V13.1.0以降の場合)
ACLマネージャのサービスのログオンアカウントを変更します。
以下のメニューから変更できます。
[コントロールパネル]-[管理ツール]-[サービス]
[変更方法]
「Systemwalker ACL Manager」(V10L21以前は「SystemWalker ACL Manager」)を停止します。
停止後、「Systemwalker ACL Manager」(V10.L21以前は「SystemWalker ACL Manager」)のプロパティを選択します。
[ログオン]タブで、アカウントおよびパスワードを変更します。
「Systemwalker ACL Manager」(V10L21以前は、「SystemWalker ACL Manager」)を開始します。
昇格の場合
ACLマネージャのサービスのログオンアカウントにドメインユーザを指定する必要があります。
降格の場合
ACLマネージャのサービスのログオンアカウントにローカルユーザを指定する必要があります。
