導入環境のサーバマシンを、ドメインコントローラに昇格、またはドメインコントローラから降格する手順について説明します。
注意
ドメインコントローラへ昇格時に、「新しいドメインを既存のフォレストに追加する」を選択した場合、Systemwalker Centric Managerで利用可能なユーザは、Systemwalker Centric Managerが導入されているサーバが管理するドメインのユーザです。
ドメインコントローラに昇格、またはドメインコントローラから降格する前に、バックアップを行います。
バックアップ手順については、“バックアップ”を参照してください。
以下に示すローカルグループに所属しているユーザを、それぞれ確認して記録しておきます。(ドメインコントローラに昇格、またはドメインコントローラから降格した後、昇格/降格する前と同じ状態に戻すときに、ここで記録した内容を使用します。)
確認するローカルグループと、確認方法を以下に示します。
ローカルグループ
DmAdmin
DmOperation
DmReference
DistributionAdmin
DistributionOperation
DistributionReference
AssetAdmin
AssetSectionAdmin
確認方法
以下のメニューから確認できます。
昇格の場合
[コントロールパネル]-[管理ツール]-[コンピュータの管理]-[システムツール]-[ローカル ユーザーとグループ]-[グループ]
降格の場合
[コントロールパネル]-[管理ツール]-[Active Directory ユーザとコンピュータ]-[作成されたドメイン名]-[Users]
サーバマシンを、ドメインコントローラへ昇格、またはドメインコントローラから降格します。
昇格、および降格の方法については、OSのマニュアルを参照してください。
サービスのログオンアカウントの確認と変更を行います。
ドメインコントローラへ昇格時
[既存のドメインにドメインコントローラを追加する]を選択し昇格した場合に必要な手順です。
サービス「Systemwalker ACL Manager」のログオンアカウントに、Domain Adminsグループに所属するアカウントを設定し、サービスを再起動してください。
なお、サービス「Systemwalker ACL Manager」のログオンアカウントは[コントロールパネル]-[システムとセキュリティ]-[管理ツール]- [サービス]により起動する[サービス]画面で、「Systemwalker ACL Manager」のプロパティ画面から確認できます。
ドメインコントローラからの降格時
サービス「Systemwalker ACL Manager」のログオンアカウントを、以下のどちらかに設定し、サービスを再起動してください。
“2.スタートアップアカウントの名前を変更する”の条件を満たすアカウント
ローカルシステムアカウント(Local System)
ローカルグループの情報を確認/設定します。
以下のローカルグループが、システムに登録されていることを確認し、登録されていない場合は作成します。
確認するローカルグループ、確認方法、および登録方法を以下に示します。
ローカルグループ
DmAdmin
DmOperation
DmReference
DistributionAdmin
DistributionOperation
DistributionReference
AssetAdmin
AssetSectionAdmin
確認方法
以下のメニューから確認できます。
昇格の場合
[コントロールパネル]-[管理ツール]-[Active Directory ユーザとコンピュータ]-[作成されたドメイン名]-[Users]
降格の場合
[コントロールパネル]-[管理ツール]-[コンピュータの管理]-[システムツール]-[ローカル ユーザーとグループ]-[グループ]
登録方法
コマンドプロンプトを起動します。
以下のコマンドを実行し、ローカルグループを作成します。
> net localgroup DmAdmin /ADD > net localgroup DmOperation /ADD > net localgroup DmReference /ADD > net localgroup DistributionAdmin /ADD > net localgroup DistributionOperation /ADD > net localgroup DistributionReference /ADD > net localgroup AssetAdmin /ADD > net localgroup AssetSectionAdmin /ADD
以下のローカルグループの特権が、以下のポリシーに設定されていることを確認します。設定されていない場合は設定を行います。
確認するローカルグループとポリシー、設定の確認方法、および設定を変更した場合に必要な作業を以下に示します。
ローカルグループ
DmAdmin
DistributionAdmin
ポリシー
オペレーティング システムの一部として機能
プロセスのメモリクォータの増加
サービスとしてログオン
プロセス レベル トークンの置き換え
確認方法
昇格の場合
[コントロールパネル]-[管理ツール]-[グループ ポリシーの管理]-[フォレスト]-[ドメイン]-[作成されたドメイン名]-[グループ ポリシー オブジェクト]-[Default Domain Controllers Policy]を選択します。
右クリックメニューの[編集]、または[操作]-[編集]メニューを選択し、[グループ ポリシー管理エディター]画面を開きます。[グループ ポリシー管理エディター]画面の以下のメニューから確認できます。
[コンピューターの構成]-[ポリシー]-[Windows の設定]-[セキュリティの設定]-[ローカルポリシー]-[ユーザー権利の割り当て]
降格の場合
以下のメニューから確認できます。
[コントロールパネル]-[管理ツール]-[ローカル セキュリティ ポリシー]-[ローカル ポリシー]-[ユーザー権利の割り当て]
設定を変更した場合
ポリシーの設定を変更した場合は、設定内容を適用するため、以下のOSのコマンドを実行してください。
gpupdate /force
エクスプローラから以下のディレクトリのプロパティを開き、[セキュリティ]の[グループ名またはユーザ名]の一覧に、「不明なアカウント」が存在する場合は、すべて削除してください。
ディレクトリ
Systemwalkerインストールディレクトリ\MpWalker |
手順5と同様に、エクスプローラから以下のディレクトリのプロパティを開き、以下に示すアクセス許可が設定されていることを確認し、設定されていない場合は設定します。
確認するディレクトリとアクセス許可、および設定方法を以下に示します。
確認内容
「MpWalker」の場合
ディレクトリ
Systemwalkerインストールディレクトリ\MpWalker |
アクセス許可
アクセス許可 | |
|---|---|
DmAdmin | フルコントロール |
DmOperation | 変更 |
DmReference | 変更 |
Administrators | フルコントロール |
SYSTEM | フルコントロール |
CREATOR OWNER | フルコントロール |
DistributionAdmin | フルコントロール |
DistributionOperation | 変更 |
DistributionReference | 変更 |
Users | 読み取りと実行 |
「MpWalker.DM」の場合
ディレクトリ
Systemwalkerインストールディレクトリ\MpWalker.DM |
アクセス許可
アクセス許可 | |
|---|---|
DmAdmin | フルコントロール |
DmOperation | 変更 |
DmReference | 変更 |
Administrators | フルコントロール |
SYSTEM | フルコントロール |
CREATOR OWNER | フルコントロール |
設定方法
Administratorsグループに所属するユーザでログインします。
コマンドプロンプトを起動します。
以下のコマンドを実行し、アクセス許可を設定します。
Systemwalkerインストールディレクトリ\MpWalker\bin\mpsetsec.exe /c
以下のローカルグループに所属するユーザを、手順2で記録した確認結果と同じ状態に設定します。(必要に応じてユーザを追加/削除してください。)
ローカルグループ
DmAdmin
DmOperation
DmReference
DistributionAdmin
DistributionOperation
DistributionReference
AssetAdmin
AssetSectionAdmin
