Active Directoryサーバから構成情報(CTグループ情報、CT情報、ユーザーグループ情報、ユーザー情報)を取り込んで、Systemwalker Desktop Keeperの構成情報ツリーを作成する方法を説明します。
Systemwalker Desktop KeeperがActive Directoryサーバから構成情報を取り込めるOSについては、“Systemwalker Desktop Keeper 解説書”の“動作OS”を参照してください。
構成情報を取り込めるActive Directoryサーバは、1サーバ(1ドメイン)だけです。Active Directory側でドメインの信頼関係を設定していてもその情報は取り込まず、Systemwalker Desktop Keeperが直接連携するサーバだけのデータを取り込みます。
Active Directoryサーバから構成情報を取り込むためには、連携対象のクライアントにSystemwalker Desktop KeeperのCTがインストールされている必要があります。また、サーバ設定ツールで、以下の情報が設定されている必要があります。
システム設定
Active Directoryサーバとのデータ連携時の条件を設定します。
Active Directory連携設定
Active Directoryサーバのコンピュータ名やドメイン名を設定します。
サーバ情報設定
統合管理サーバまたは管理サーバの情報を設定します。
構成情報の取り込み方法には、用途によって以下の2種類があります。
サーバ設定ツールを使用する
構成情報に変更が生じた契機で、システム管理者が、取り込みと更新を実行します。
Active Directory連携コマンドを使用する
タスクスケジューラにコマンドを登録して、定期的に取り込みと更新を実行します。
注意
Active Directory連携コマンドで、UNICODE 固有文字が含まれている情報を取り込む場合について
OU名、ユーザー名(UserPrincipalName)にUNICODE固有文字が含まれている場合、以下のように、Systemwalker Desktop Keeperのバージョンによって動作が異なります。
V13.2.0の場合:
該当文字を半角の「?」記号に変換して、Systemwalker Desktop Keeperのグループ、ユーザー情報として取り込みます。
V13.3.0以降の場合:
該当するOU名、ユーザー名(UserPrincipalName)は取り込みません。
このため、V13.2.0からV13.3.0以降に移行した場合、最初のActive Directory連携コマンドの実施により、すでに取り込まれているUNICODE固有文字を含むOU名およびユーザー名(「?」を含むOU名、ユーザー名)は、Systemwalker Desktop Keeperから削除されます。
ただし、Active Directoryのユーザー情報のうち、Systemwalker Desktop Keeperに取り込んでいる「使用者名(日本語名など)」、「従業員番号」、「役職名」、「部署名」、「部署コード」は、UNICODE固有文字を含んでいても、「?」記号に置換して取り込みます。
Active Directoryサーバの組織情報をもとに、ドメイングループ配下にグループが自動作成されるため、管理コンソールでCTグループツリーやユーザーグループツリーを作成する必要はありません。
ただし、Active Directory連携時においても、Localグループ配下にはグループを作成できます。LocalグループはActive Directoryとは連携しないので、配下の情報は、Active Directory連携を行っても変更されることはありません。Localグループ配下には、以下を登録できます。
Active Directoryに登録されていないCT
ユーザー(Active Directoryサーバに登録済のユーザーも登録できます)
Active Directoryサーバから構成情報を取り込む運用中に、Active Directory側でOU、ユーザー、コンピュータを削除すると、連携動作の実施後にはSystemwalker Desktop Keeper側の対応するグループ(CTグループ/ユーザーグループ)、ユーザー情報も無条件に削除されます。CTは、ルート直下のLocalグループ配下に配置されます。
また、Active Directory側でユーザーのアカウントを無効に変更したあとにActive Directory連携を実施した場合は、Systemwalker Desktop Keeper側のユーザー情報(ユーザーポリシー)は削除されます。
3階層のシステム構成の場合、統合管理サーバでActive Directory連携を実行したときは、各管理サーバにおいてもActive Directory連携が実行されます。
また、3階層のシステム構成では、Active Directory連携時のユーザーポリシーの管理方法は、統合管理サーバでの一元管理です。
ポイント
Citrix XenApp クライアントでの操作ログを効率よく検索するために
Citrix XenApp ServerTMと連携して運用する場合、Citrix XenApp Serverを複数設置している環境にCitrix XenApp クライアントからログオンするとき、Citrix XenApp クライアントによって負荷分散されます。このため、どのCitrix XenApp Serverに接続されるかわかりません。したがって、操作ログを参照したり、検索したりする場合、すべてのCitrix XenApp Serverで採取されたログを参照しなければなりません。
検索を効率よく行うために、複数のCitrix XenApp Serverを、1つのCTグループとしてまとめ、そのグループ配下だけを検索すればよいように設定することを推奨します。
そのためには、Active Directoryに組織構造(OU)情報として、Citrix XenApp Serverを登録してください。
サーバ設定ツールを使用する
サーバ設定ツールを使用した取り込み手順を、以下に説明します。
Active Directoryサーバから取り込むユーザー情報の中に、以下の情報が含まれている場合、そのユーザー情報は取り込みません。
「ユーザー ログオン名(UserPrincipalName)」の@より前の文字列が、0バイト、または41バイト以上の場合
[設定]メニューの[Active Directory連携実施]を選択します。
→連携を実行する確認画面が表示されます。
[STSY-SEL014] Active Directoryと通信を開始します。
Active Directory側よりユーザー情報、コンピュータ情報、階層構成情報を取得し、データベースを更新します。
処理に時間がかかる場合があります。通信を開始してよろしいですか?
[はい] [いいえ]Active Directory連携を実行する場合は、[はい]ボタンをクリックします。
→Active Directoryからのデータ取り込み中を示すメッセージが表示されます。
→データの取り込みが終了すると、終了メッセージが表示されます。
[OK]ボタンをクリックします。
構成情報の取り込み直後は、管理コンソールを起動すると、以下のように構成情報ツリーが表示されます。
Localグループ配下に表示されているクライアント(CT)をActive Directoryサーバに登録したあと、Systemwalker Desktop KeeperでActive Directory連携を実行すると、登録されたクライアント(CT)はグループ配下に移動します。
また、Active Directory連携を行い、ドメイングループで管理しているクライアント(CT)を管理コンソール上から削除する場合は、管理コンソール起動直後の画面(CTポリシー設定画面)で、削除するクライアント(CT)を選択して[Active Directory連携対象としない]と設定したあと、Active Directory連携を実施してください。その結果、クライアント(CT)はLocalグループ配下に移動するので、その後、手動で、CT情報を削除してください。
クライアント(CT)が新規に追加された場合も、まずLocalグループ配下に表示されます。このクライアント(CT)がActive Directoryサーバに登録されたあと、Systemwalker Desktop KeeperでActive Directory連携を実行すると、クライアント(CT)は、Localグループからクライアント(CT)が所属しているグループ配下へ移動します。
Active Directoryサーバから構成情報を取り込む運用では、ユーザーが自動的に作成されるため、ユーザーポリシーも使用します。
初回のActive Directory連携直後は、作成されたユーザーのユーザーポリシーには、端末初期設定の値が設定されます。ユーザーポリシーは、必要に応じて変更できます。
2回目以降のActive Directory連携を行った直後は、新規に追加されたユーザーのユーザーポリシーには、所属するユーザーグループ(OU)のグループポリシーが設定されます。
クライアント(CT)から、localにログインするか、連携しているドメインにログインするかによって、適用されるポリシーが異なります。クライアント(CT)でのログイン先と適用されるポリシーについて、説明します。
以下の環境で運用されているとします。
Active Directory連携を実施すると、Systemwalker Desktop Keeperの管理コンソールには、以下のように表示されます。
Active Directory連携で指定したドメインにログインした場合
→ドメインのユーザーポリシーが適用されます。
上記の例では、ユーザーA、B、Eが、以下のドメインのユーザーポリシーで操作できます。
ユーザーA:ポリシー(1)
ユーザーB:ポリシー(1)
ユーザーE:端末初期設定
ローカルコンピュータにログインした場合(Localにも同名のユーザーがある場合)
→Localのユーザーポリシーが適用されます。
上記の例では、ユーザーAが、端末初期設定のユーザーポリシーで操作できます。
ローカルコンピュータにログインした場合(Localには同名のユーザーがない場合)
→CTポリシーが適用されます。
上記の例では、ユーザーB、Eが、CTポリシーで操作できます。
Active Directory連携で指定していないドメインにログインした場合(Localに同名のユーザーがある場合)
→Localのユーザーポリシーが適用されます。
上記の例では、ユーザーAがドメインBにログインした場合で、端末初期設定のユーザーポリシーで操作できます。
Active Directory連携で指定していないドメインにログインした場合(Localには同名のユーザーがない場合)
→CTポリシーが適用されます。
上記の例では、ユーザーB、EがドメインBにログインした場合で、CTポリシーで操作できます。
Active Directory連携コマンドを使用する
Active Directory連携コマンドを使用した取り込み手順を、以下に説明します。
コマンド実行前に“Active Directory連携組織単位対象リスト”を設定しておくと、連携対象とする組織を限定して取り込むことができます。本リストは、指定された場所に格納します。コマンドのオプションに指定する必要はありません。
Active Directory連携コマンドの詳細は、“Systemwalker Desktop Keeper リファレンスマニュアル”の“DTKADCON.EXE(Active Directoryとの連携)”を参照してください。
管理サーバに、ローカルPCのAdministratorsグループ、またはDomain Adminsグループに所属するユーザー名でログオンします。
タスクスケジューラを起動し、以下を登録します。
Active Directory連携コマンド
コマンドを実行するタイミング(日付、時間帯など)
バックアップツール、リストアツール、およびバックアップコマンドが起動しない時間帯を指定します。
また、管理コンソールおよびログビューア利用者の少ない時間帯を指定します。
タスクスケジューラが正常動作するか確認します。
コマンド実行による、管理コンソールでの構成情報ツリーの遷移は、“サーバ設定ツールを使用する”の“構成情報ツリーの表示”と同じです。