2.5.1 Active Directoryから情報を取り込む

Active Directoryサーバから構成情報(CTグループ情報、CT情報、ユーザーグループ情報、ユーザー情報)を取り込んで、Systemwalker Desktop Keeperの構成情報ツリーを作成する方法を説明します。

Systemwalker Desktop KeeperがActive Directoryサーバから構成情報を取り込めるOSについては、“解説書”の“動作OS”を参照してください。

構成情報を取り込めるActive Directoryサーバは、1サーバ(1ドメイン)だけです。Active Directory側でドメインの信頼関係を設定していてもその情報は取り込まず、Systemwalker Desktop Keeperが直接連携するサーバだけのデータを取り込みます。

Active Directoryサーバから構成情報を取り込むためには、連携対象のクライアントにSystemwalker Desktop KeeperのCTがインストールされている必要があります。また、サーバ設定ツールで、以下の情報が設定されている必要があります。

システム設定
Active Directoryサーバとのデータ連携時の条件を設定します。
Active Directory連携設定
Active Directoryサーバのコンピュータ名やドメイン名を設定します。
サーバ情報設定
統合管理サーバまたは管理サーバの情報を設定します。

構成情報の取り込み方法には、用途によって以下の2種類があります。

サーバ設定ツールを使用する
構成情報に変更が生じた契機で、システム管理者が、取り込みと更新を実行します。
Active Directory連携コマンドを使用する
タスクスケジューラにコマンドを登録して、定期的に取り込みと更新を実行します。

Active Directoryサーバの組織情報をもとに、ドメイングループ配下にグループが自動作成されるため、管理コンソールでCTグループツリーやユーザーグループツリーを作成する必要はありません。
ただし、Active Directory連携時においても、Localグループ配下にはグループを作成できます。LocalグループはActive Directoryとは連携しないので、配下の情報は、Active Directory連携を行っても変更されることはありません。Localグループ配下には、以下を登録できます。

Active Directoryに登録されていないCT
ユーザー(Active Directoryサーバに登録済のユーザーも登録できます)

Active Directoryサーバから構成情報を取り込む運用中に、Active Directory側でOU、ユーザー、コンピュータを削除すると、連携動作の実施後にはSystemwalker Desktop Keeper側の対応するグループ(CTグループ/ユーザーグループ)、ユーザー情報も無条件に削除されます。CTは、ルート直下のLocalグループ配下に配置されます。

また、Active Directory側でユーザーのアカウントを無効に変更したあとにActive Directory連携を実施した場合は、Systemwalker Desktop Keeper側のユーザー情報(ユーザーポリシー)は削除されます。

3階層のシステム構成の場合、統合管理サーバでActive Directory連携を実行したときは、各管理サーバにおいてもActive Directory連携が実行されます。
また、3階層のシステム構成では、Active Directory連携時のユーザーポリシーの管理方法は、統合管理サーバでの一元管理です。

ポイント

Citrix Virtual Apps and Desktops クライアントでの操作ログを効率よく検索するために

Citrix Virtual Apps and Desktops Serverと連携して運用する場合、Citrix Virtual Apps and Desktops Serverを複数設置している環境にCitrix Virtual Apps and Desktops クライアントからログオンするとき、Citrix Virtual Apps and Desktops クライアントによって負荷分散されます。このため、どのCitrix Virtual Apps and Desktops Serverに接続されるかわかりません。したがって、操作ログを参照したり、検索したりする場合、すべてのCitrix Virtual Apps and Desktops Serverで採取されたログを参照しなければなりません。
検索を効率よく行うために、複数のCitrix Virtual Apps and Desktops Serverを、1つのCTグループとしてまとめ、そのグループ配下だけを検索すればよいように設定することを推奨します。
そのためには、Active Directoryに組織構造(OU)情報として、Citrix Virtual Apps and Desktops Serverを登録してください。

サーバ設定ツールを使用する

サーバ設定ツールを使用した取り込み手順を、以下に説明します。

Active Directoryサーバから取り込むユーザー情報の中に、以下の情報が含まれている場合、そのユーザー情報は取り込みません。

「ユーザーログオン名(UserPrincipalName)」の@より前の文字列が、半角で0文字、または半角で41文字(全角で21文字)以上の場合

[設定]メニューの[Active Directory連携実施]を選択します。
→連携を実行する確認画面が表示されます。

[STSY-SEL014] Active Directoryと通信を開始します。
Active Directory側よりユーザー情報、コンピュータ情報、階層構成情報を取得し、データベースを更新します。
処理に時間がかかる場合があります。通信を開始してよろしいですか？

          [はい]     [いいえ]

Active Directory連携を実行する場合は、[はい]ボタンをクリックします。
→Active Directoryからのデータ取り込み中を示すメッセージが表示されます。
→データの取り込みが終了すると、終了メッセージが表示されます。
[OK]ボタンをクリックします。

構成情報ツリーの表示

構成情報の取り込み直後は、管理コンソールを起動すると、以下のように構成情報ツリーが表示されます。

Localグループ配下に表示されているクライアント(CT)をActive Directoryサーバに登録したあと、Systemwalker Desktop KeeperでActive Directory連携を実行すると、登録されたクライアント(CT)はグループ配下に移動します。

また、Active Directory連携を行い、ドメイングループで管理しているクライアント(CT)を管理コンソール上から削除する場合は、管理コンソール起動直後の画面(CTポリシー設定画面)で、削除するクライアント(CT)を選択して[Active Directory連携対象としない]と設定したあと、Active Directory連携を実施してください。その結果、クライアント(CT)はLocalグループ配下に移動するので、その後、手動で、CT情報を削除してください。

クライアント(CT)が新規に追加された場合も、まずLocalグループ配下に表示されます。このクライアント(CT)がActive Directoryサーバに登録されたあと、Systemwalker Desktop KeeperでActive Directory連携を実行すると、クライアント(CT)は、Localグループからクライアント(CT)が所属しているグループ配下へ移動します。

クライアント(CT)でのログイン先と適用されるポリシー

Active Directoryサーバから構成情報を取り込む運用では、ユーザーが自動的に作成されるため、ユーザーポリシーも使用します。
初回のActive Directory連携直後は、作成されたユーザーのユーザーポリシーには、端末初期設定の値が設定されます。ユーザーポリシーは、必要に応じて変更できます。
2回目以降のActive Directory連携を行った直後は、新規に追加されたユーザーのユーザーポリシーには、所属するユーザーグループ(OU)のグループポリシーが設定されます。

クライアント(CT)から、localにログインするか、連携しているドメインにログインするかによって、適用されるポリシーが異なります。クライアント(CT)でのログイン先と適用されるポリシーについて、説明します。

以下の環境で運用されているとします。

Active Directory連携を実施すると、Systemwalker Desktop Keeperの管理コンソールには、以下のように表示されます。

Active Directory連携で指定したドメインにログインした場合
→ドメインのユーザーポリシーが適用されます。
上記の例では、ユーザーA、B、Eが、以下のドメインのユーザーポリシーで操作できます。
- ユーザーA：ポリシー(1)
- ユーザーB：ポリシー(1)
- ユーザーE：端末初期設定
ローカルコンピュータにログインした場合(Localにも同名のユーザーがある場合)
→Localのユーザーポリシーが適用されます。
上記の例では、ユーザーAが、端末初期設定のユーザーポリシーで操作できます。
ローカルコンピュータにログインした場合(Localには同名のユーザーがない場合)
→CTポリシーが適用されます。
上記の例では、ユーザーB、Eが、CTポリシーで操作できます。
Active Directory連携で指定していないドメインにログインした場合(Localに同名のユーザーがある場合)
→Localのユーザーポリシーが適用されます。
上記の例では、ユーザーAがドメインBにログインした場合で、端末初期設定のユーザーポリシーで操作できます。
Active Directory連携で指定していないドメインにログインした場合(Localには同名のユーザーがない場合)
→CTポリシーが適用されます。
上記の例では、ユーザーB、EがドメインBにログインした場合で、CTポリシーで操作できます。

Active Directory連携コマンドを使用する

Active Directory連携コマンドを使用した取り込み手順を、以下に説明します。

コマンド実行前に“Active Directory連携組織単位対象リスト”を設定しておくと、連携対象とする組織を限定して取り込むことができます。本リストは、指定された場所に格納します。コマンドのオプションに指定する必要はありません。

Active Directory連携コマンドの詳細は、“リファレンスマニュアル”の“DTKADCON.EXE(Active Directoryとの連携)”を参照してください。

管理サーバに、ローカルPCのAdministratorsグループ、またはDomain Adminsグループに所属するユーザー名でログオンします。
タスクスケジューラを起動し、以下を登録します。
- Active Directory連携コマンド
- コマンドを実行するタイミング(日付、時間帯など)
  バックアップツール、リストアツール、およびバックアップコマンドが起動しない時間帯を指定します。
  また、管理コンソールおよびログビューア利用者の少ない時間帯を指定します。
タスクスケジューラが正常動作するか確認します。

コマンド実行による、管理コンソールでの構成情報ツリーの遷移は、“サーバ設定ツールを使用する”の“構成情報ツリーの表示”と同じです。