15.3 ダイナミックローカルユーザポリシー(ユーザパッケージ)

DLU(ダイナミックローカルユーザ)は、ワークステーションのSAMデータベースに一時的または永続的に作成されるユーザオブジェクトです。

一時的なユーザ(アカウント)は一時ユーザと呼ばれ、その有効期間は管理者が決定します。この種のアカウントを使用することで、SAMが巨大化するのを防ぐことができます。

管理している環境に、共有のワークステーションまたはターミナルサーバにログオンするユーザが数名存在する場合は、DLU(ダイナミックローカルユーザ)ポリシーを設定して有効化できます。このポリシーを設定して有効化すると、Desktop Managementは、ユーザがシステムにログインしている間に、ローカルワークステーションまたはターミナルサーバにユーザアカウントを動的に作成します。

Windows NT/2000/XPワークステーションおよびWindows 2000/2003 Terminal Serverの場合、ダイナミックローカルユーザポリシーを使用すると、Windows NT/2000/XPワークステーションおよびWindows 2000/2003 Terminal Serverで作成されたユーザがディレクトリに認証された後、これらのユーザを設定できます。ユーザを環境設定オブジェクトに関連付けると、NWGINA (NetWare® Graphical Identification and Authentication)によって環境設定オブジェクトから情報が検索され、ワークステーション上にユーザアカウントを作成できます。

ユーザがDLUとして定義されておらず、ワークステーション上にアカウントも持っていない場合、そのユーザのアカウントは作成できません。したがって、あらかじめアカウントを持っていない限り、ユーザはワークステーションにログインすることができません。または、管理者がワークステーション上に手動でユーザのアカウントを作成する必要があります。ユーザがDLUとして定義されていない場合は、ログインダイアログボックスの[Windows NT/2000/XP]タブに表示されるそのユーザのアカウント情報を使用して、ワークステーションに対して認証が行われます。

ユーザがDLUとして定義されている場合は、管理者がユーザをセットアップした方法に応じて、ディレクトリまたはユーザパッケージに置かれているユーザのアカウント情報が使用されます。

ユーザポリシーパッケージにDLUを設定してNT/2000/XPワークステーションまたはWindows 2000/2003 Terminal Serverへのユーザのアクセスを管理する場合や、NetWareアカウント情報以外のアカウント情報を使用する場合、ワークステーションのユーザアカウントは一時ユーザアカウントとして作成され、ランダムで不明なパスワードが設定されます。一時ユーザ情報のキャッシュも有効になっている場合、そのユーザアカウントは、キャッシュファイルの有効期間中ワークステーションに保存されます。ただし、パスワードが不明なため、これらのアカウントにはアクセスできません。

NewtWare以外のアカウント情報を持つユーザに対して一時ユーザキャッシュを使用する場合は、ユーザがディレクトリにも同時にログインしており、同時に[既存のユーザアカウントを管理する]チェックボックスが選択されている場合でない限り、それらのユーザアカウントにはアクセスできません。

[ログイン制限]ページを使用することにより、DLUログインアクセスを一部のワークステーションに対して許可したり、制限したりできます。[除外されるワークステーション]リストに含まれるワークステーションおよびコンテナではDLUアクセスを使用できません。[含まれるワークステーション]リストに含まれるワークステーション、またはこのリストに含まれるコンテナに属するワークステーションでは、DLUアクセスを使用できます。

グループの優先度を正しく管理するために、DLUと関連付けられているユーザは、複数のグループのメンバーにはしないでください。

ダイナミックローカルユーザポリシーをセットアップするには

  1. ConsoleOneで、サーバパッケージを右クリックし、[プロパティ]をクリックしてから、対象のプラットフォームのページをクリックします。

    Windows NTプラットフォームでのDesktop Managementのサポートに関する詳細については、『Novell ZENworks 7 Desktop Managementインストールガイド』の「Windows NT 4ワークステーションとの相互運用性」を参照してください。

  2. [使用可能]列の下にある、ダイナミックローカルユーザポリシーのチェックボックスを選択します。

    この操作により、ポリシーが選択されると同時に有効になります。

  3. [プロパティ]をクリックします。

    [ダイナミックローカルユーザ]ページ。

  4. 次のフィールドに情報を入力します。

    [ダイナミックローカルユーザを有効にする]: ワークステーションのSAMデータベースに一時的または永続的に格納するユーザオブジェクトを作成できるようにします。

    NWGINAでは、ローカルユーザを作成するかどうかを指定する必要があります。

    このチェックボックスをオフにすると、ユーザはローカルSAMに作成されません。代わりに、NWGINAログインインタフェースに示されているアカウント情報を使用して既存のユーザが検索されます。

    [ダイナミックローカルユーザを有効にする]チェックボックスを選択すると、NWGINAは設定オブジェクトからユーザ名を取得し、そのユーザ名がすでにローカルSAM内に存在するかどうかを照会します。ユーザ名が存在する場合は、そのユーザがワークステーションまたはターミナルサーバに対して認証され、アクセス権が付与されます。ユーザ名が存在しない場合は、ローカルワークステーションのSAMまたはターミナルサーバのSAMにユーザが作成されます。

    ローカルワークステーションまたはターミナルサーバにパスワード制限ポリシーが設定されている場合、ダイナミックローカルユーザは使用されません。DLUがローカルアカウントに使用するパスワードは、ローカルワークステーションのパスワード制限を満たしている必要があります。

    [既存のユーザアカウントを管理する]: 既存のユーザアカウントを使用して管理できるようにします。管理するユーザオブジェクトがすでに存在する場合は、このオプションを有効にします。ワークステーション管理で指定されたワークステーショングループの割り当てが適用され、ユーザがアカウントにログインすると、永続的なアカウントが一時的なアカウントに変更されます。このアカウントは、ユーザがログアウトした後でワークステーションから削除されます。

    このチェックボックスと[一時的ユーザ]チェックボックスの両方が選択されている場合に、eDirectory™で指定されているのと同じアカウント情報を使う永続的なローカルアカウントをユーザが持っていると、その永続的なアカウントは一時的なアカウントに変更されます。このアカウントは管理されますが、一時ユーザキャッシュの有効期限が切れるか、ユーザがログアウトすると削除されます。

    ここで変更した設定により、ワークステーションまたはターミナルサーバの現在のアカウント設定が上書きされます。このオプションが無効になっている場合は、ワークステーション管理で既存のユーザオブジェクトを管理できません。

    [eDirectoryアカウント情報を使用する]: ユーザのNT/2000/XPアカウント情報ではなく、eDirectoryアカウント情報を使用してログインできるようにします。ユーザアカウントを作成するときに、NWGINAでは、eDirectory認証で使用されているものと同じアカウント情報か、環境設定オブジェクトで指定されている定義済みのアカウント情報のいずれかが使用されます。eDirectoryのアカウント情報を使用してワークステーションのユーザアカウントを作成する場合、NWGINAは、ユーザのeDirectoryアカウントに対してログイン名、フルネーム、および説明を照会します。NT/2000/XPユーザアカウントのパスワードは、eDirectoryユーザアカウントのパスワードと同じです。

    eDirectoryのアカウント情報を使わない場合は、アカウントは一時的なものになり、アクセスできなくなります。[フルネーム][説明]も指定すると、より詳しいユーザ情報を提示できます。

    eDirectoryのアカウント情報を使用しない場合に、ユーザオブジェクトが存在していない([既存のユーザアカウントを管理する]チェックボックスが選択されていない)と、ユーザアカウントは一時的なユーザアカウントとして作成されます。つまり、このユーザアカウントはログアウト時に自動的に削除されます。これは、[eDirectoryアカウント情報を使用する]チェックボックスが無効になっていると、[一時的ユーザ]チェックボックスが自動的に有効になるためです。

    [一時的ユーザ(ログアウト後に削除する)]: ログインに一時的なユーザアカウントを使用できるようにします。NWGINAによりローカルワークステーションで作成されるユーザアカウントは、一時的または永続的のいずれかになります。

    [一時的ユーザ(ログアウト後に削除する)]チェックボックスと[既存のユーザアカウントを管理する]チェックボックスの両方を選択した場合は、ユーザがDLUを使ってログインする前にアカウントが存在していても、一時的ユーザアカウントはユーザがログアウトすると削除されることに注意してください。

    ユーザ名: NT/2000/XPユーザ名です。ダイナミックローカルユーザでログインするユーザ名の長さは、コンテキスト部を除いて20文字未満であることが必要です。

    User Managerを介して手動で作成したユーザには、長い名前を付けることはできません。

    [フルネーム]: ユーザのフルネームです。

    説明: このユーザアカウントを識別できるように、わかりやすい説明を入力します。

    [所属]: このユーザがメンバーシップを所有するグループが表示されます。NWGINAによってワークステーションユーザが作成される場合は、任意のユーザグループに対してグループメンバーシップを指定できます。ユーザが追加されたグループは、[所属]リストに表示されます。デフォルトの設定は、[ユーザ]グループに追加されるユーザを対象としています。その他のグループは、グループを選択して[追加]をクリックすることにより追加できます。グループを選択して[削除]をクリックすると、グループを削除できます。

    [メンバー未登録]: 有効なグループのうち、このユーザがメンバーとして割り当てられていないグループが表示されます。

    [カスタム]: [カスタムグループ]ページを開きます。このページでは、新しいカスタムグループの追加、既存のカスタムグループの削除、既存のカスタムグループのプロパティの表示や変更を実行できます。使用可能なオプションの詳細については、[カスタムグループのプロパティ]ダイアログボックスの[ヘルプ]ボタンをクリックしてください。

  5. (省略可能)DLUのアクセスを特定のワークステーションに制限する場合は、[ダイナミックローカルユーザ]タブの下向き矢印、[ログイン制限]を順にクリックします。

    ダイナミックローカルユーザポリシーの[ログイン制限]ページ。

    1. 特定のワークステーションに対するDLUのアクセスを制限するには、[ログイン制限を有効にする]チェックボックスを選択します。

      [ログイン制限を有効にする]チェックボックスを選択すると、[追加]ボタンと[削除]ボタンが使用可能になります。

    2. 未登録のワークステーションに対するDLUのアクセスを制限するには、[未登録のワークステーションを制限する]チェックボックスを選択します。

      ZENworks for Desktopsの以前のリリースでは、eDirectoryに登録されていなかったワークステーションは[含まれるワークステーション]リストに表示できなかったため、DLUによるアクセスはできませんでした。このオプションを有効にすると、従来のリリースのZENworks for Desktopsと同様に、すべての未登録のワークステーションにDLUアクセスが与えられません。[未登録のワークステーションを制限する]チェックボックスを選択しなかった場合は、未登録のすべてのワークステーションが[含まれるワークステーション]リストに表示されない場合でも、未登録のすべてのワークステーションに対してDLUによるアクセスが許可されます。

    3. 必要に応じて、[除外されるワークステーション]リストボックスの下にある[追加]ボタンと[削除]ボタンを使用します。

      [除外されるワークステーション]リストボックスには、DLUのアクセス先から除外するワークステーションおよびコンテナが表示されます。このリストボックスに表示されているワークステーション、または表示されているコンテナの一部になっているワークステーションでは、DLUによるアクセスは使用できません。[含まれるワークステーション]リストに個々のワークステーションを含めることにより、例外を設けられます。こうすることにより、DLUによるアクセスはこれらのワークステーションに対してのみ許可されますが、コンテナにある残りのワークステーションに対するDLUアクセスは除外されます。

    4. 必要に応じて、[含まれるワークステーション]リストボックスの下にある[追加]ボタンと[削除]ボタンを使用します。

      [含まれるワークステーション]リストボックスには、DLUのアクセス先として許可するワークステーションおよびコンテナが表示されます。このリストボックスに表示されているワークステーション、または表示されているコンテナの一部になっているワークステーションでは、DLUによるアクセスが使用できます。[除外されるワークステーション]リストに個々のワークステーションを含めることにより、例外を設けられます。こうすることにより、DLUによるアクセスはこれらのワークステーションに対してのみ除外されますが、コンテナにある残りのワークステーションに対するDLUアクセスは許可されます。

  6. (省略可能)Windows NT/2000/XPワークステーションおよびターミナルサーバ上で、DLUのファイルシステムへのアクセス権を管理する場合は、[ダイナミックローカルユーザ]タブの下向き矢印をクリックし、[ファイル権利]をクリックします。

    ダイナミックローカルユーザポリシーの[ファイル権利]ページ。

    ディレクトリ全体または個別のファイルへのアクセス権を制御できます。たとえば、ダイナミックローカルユーザポリシーによって、アプリケーションを実行するために必要なディレクトリへのアクセス権が付与されないグループのメンバーとしてユーザが作成された場合は、このページを使用することにより、必要なディレクトリ権利を明示的に付与できます。または、ユーザがディレクトリに対する[フル制御]の権利を保持している場合は、このページを使用すると、このディレクトリのどのファイルに対しても権利を制限できます。

    1. ファイルシステム権利が明示的に割り当てられたディレクトリおよびファイルを変更するには、[追加]ボタンを使用します。

      ディレクトリまたはファイルの入力または選択を求められます。ディレクトリまたはファイルパスは、権利が割り当てられるワークステーションまたはターミナルサーバを基準にする必要があります。ディレクトリまたはファイルをリストに追加したら、ディレクトリまたはファイルを選択し、[ファイル権利]ボックスを使用して適切なファイル権利([フル制御]、[読む]、[書き込み]、[実行]、[アクセス権の付与]、[所有権の取得])を割り当てます。

      ファイルシステム権利が明示的に割り当てられているディレクトリおよびファイルが、[ファイル権利]リストに表示されます。このリストでディレクトリまたはファイルを選択すると、割り当てられている権利が、リストの下にある[ファイル権利]ボックスに表示されます。これらの権利([フル制御]、[読む]、[書き込み]、[実行]、[アクセス権の付与]、[所有権の取得])のそれぞれの説明については、Microsoft Windowsオペレーティングシステムの資料を参照してください。

    2. 必要に応じてエントリの位置を移動するには、[ファイル権利]リストボックスの右側にある矢印ボタンを使用します。

      ディレクトリ権利は、ディレクトリの表示順に上から下に割り当てられます。ディレクトリの権利は継承されるため、ディレクトリおよびそのサブディレクトリをリストに表示する場合、サブディレクトリはペアレントディレクトリの後に登録する必要があります。こうすることにより、明示的に割り当てられたサブディレクトリの権利が、そのペアレントディレクトリから継承した権利によって無効になることを避けられます。

      リスト上の位置に関係なく、ファイル権利は常にディレクトリ権利よりも優先されます。たとえば、c:\program filesディレクトリに[フル制御]の権利を割り当て、c:\program files\sample.txtファイルに[読む]と[実行]の権利を割り当てた場合、c:\program files\sample.txtファイルのリスト上の位置がc:\program filesディレクトリの前後いずれの場合でも、ユーザには、c:\program files\sample.txtファイルに対して[読む]と[実行]の権利が割り当てられます。

      NTFSファイルシステムでは権利の継承をブロックできます。Windows XPではデフォルトで、Windowsディレクトリの権利の継承が許可されていません。

  7. [OK]をクリックしてポリシーを保存します。

  8. ダイナミックローカルユーザポリシーを設定するプラットフォームごとに、ステップ 1からステップ 7を繰り返します。

  9. このパッケージの全ポリシーの設定が終了したら、セクション 15.13, ユーザパッケージまたはワークステーションパッケージの関連付けの手順を実行し、ポリシーパッケージを関連付けます。