Endpoint Central オンプレミス版 ナレッジベース

ドメイン/ワークグループの登録


この記事では、Desktop Centralにドメイン/ワークグループを追加する方法について解説しています。
【確認ビルド: Desktop Central 10.1.2137.11】

1. ドメイン/ワークグループの追加

追加手順

Desktop Centralは Active Directory 環境 / ワークグループ環境 / Novell eDirectory 環境に対応しています。以下の手順を実行し、ドメイン/ワークグループを追加します。

Desktop Central の管理対象にコンピューターを追加するには、エージェントをかならずインストールする必要があります。エージェントをインストールする前に、ドメイン/ワークグループの追加およびエージェント設定を完了させます。
(※ ドメイン/ワークグループの追加は必須ではありませんが、エージェントのプッシュインストールなど一部機能が使用できません。)
 
サーバーのセットアップ → ドメイン/ワークグループの追加エージェント設定エージェントインストールアンチウイルスソフトからの除外
  1. 管理タブ > グローバル設定 > ドメイン をクリックします。
  2. 「+ドメインの追加」をクリックし、各項目を入力して「ドメインの追加」をクリックします。
    • Active Directoryドメイン環境の場合
      • ドメイン名: 任意の名称を入力します。
      • ネットワークタイプ: Active Directory を選択します。
      • ドメインユーザー名: ドメイン管理者権限を持つユーザー名を指定します。
      • パスワード: 上記ユーザーのパスワードを入力します。
      • AD ドメイン名: Active Directory のドメイン名を指定します。
      • ドメインコントローラー名: ドメインコントローラーのホスト名を入力します。
      • LDAP SSL: 必要に応じて選択します。
    • ワークグループ環境の場合
      • ドメイン名: 任意の名称を設定します。
      • ネットワークタイプ: Active Directory を選択します。
      • 管理者のユーザー名: 管理対象すべての端末に共通して管理者権限を持つユーザー名を指定します。
      • パスワード: 上記ユーザーのパスワードを入力します。
      • DNS サフィックス: 必要に応じて選択します。
【Active Directory ドメイン環境の場合】

  • 指定する管理者資格情報は、そのドメインに所属し、Desktop Centralの管理対象となるすべてのコンピューターで管理者特権を持っている必要があります。
    (セキュリティポリシー上許容される場合は、パスワードポリシーが “Never Expire”となっている Desktop Central 専用のドメイン管理ユーザーアカウントを持つことをお勧めします)
  • 複数のドメインコントローラーがある場合は、Desktop Central サーバーに最も近い(ホップ数が少ない)ドメインコントローラーの名前を指定します。
  • 管理者資格情報を登録せずにエージェントをインストールした場合、ワークグループとして管理されます。その場合、ドメインコントローラーとの通信ができないため、一部機能が利用できません。
  • Desktop Central オンプレミス版ではドメインごとにドメインコントローラーを指定可能なため、相互に信頼関係のないドメインを追加できます(お客様ご自身でかならずご検証ください)。Desktop Central Cloud ではドメインコントローラーを1台のみ指定可能なため、相互に信頼関係のないドメインを追加できません

【ワークグループ環境の場合】

  • 指定する管理者資格情報は、そのワークグループに所属し、Desktop Centralの管理対象となるすべての端末で管理者権限を持っている必要があります。
    そのようなユーザーが存在しない場合は、各端末に共通する新たな管理者ユーザーを作成するか、エージェントを手動でインストールする必要があります。
  • 管理者資格情報を登録せずにエージェントをインストールした場合、ワークグループ名が自動的に検出されます。その場合、エージェントのプッシュインストール/アンインストールや、操作をユーザーに委任したソフトウェア配布など、一部機能が使用できません。

なお、管理対象にドメインを追加できない場合は、以下のナレッジをご確認ください。
ドメインを追加できない
「SSL証明書がADで見つからないか、指定のポート番号が到達不能です。」

ドメイン/ワークグループに関するDesktop Centralの挙動
Active Directory ドメイン環境の場合
  • Desktop Central はドメインコントローラーの情報を登録し、情報を同期します。ドメインコントローラーの情報を読み込むのみで、ドメインコントローラーへ変更操作することはありません
     
  • 定期的にドメインコントローラーと通信し、情報を同期します。使用するポート/プロトコルはこちらをご覧ください。同期の実施/無効や同期時刻に関する設定は エージェントタブ > 配布 > 管理対象ポリシー から設定可能です。
  •  

  • 検出されたドメイン/ワークグループ名は エージェントタブ > 管理対象 > ドメイン に一覧として表示されます。
     
  • ドメインの同期を有効化すると、新たに追加されたコンピューターにエージェントを自動でプッシュインストールしたり、削除されたコンピューターについて通知を受信することが可能です。詳細はこちらをご確認ください。(※ Desktop Central には、ネットワークディスカバリのような機能はありません)
     
  • 管理者資格情報は、Desktop Centralの「資格情報マネージャー」に登録されます。この情報は基本的にエージェントのプッシュインストール/アンインストールに使用されます。いったんエージェントが管理者権限でインストールされると、パッチの適用やエージェントの自動更新などの操作は資格情報マネージャーを使用せず、エージェント自身が管理者権限で実行します。
    ただし、ソフトウェア配布においてインストーラーの操作を管理者権限のないユーザーに委ねる場合など、一部操作においては管理者資格情報が必要になります。
     
  • 管理者資格情報を登録せずにワークグループを登録する場合、ダミーのユーザー名/パスワードを入力します。
     
  • 管理者資格情報を登録せずにエージェントを Windows / Mac コンピューター にインストールすると、Desktop Central上ではドメイン名と同名のワークグループとして認識されます。(※Macコンピューターのドメイン名取得はDesktop Central 10.0.647以降のビルドのみ。それ以前は Windows のみ)
     
  • パッチ配布/ソフトウェア配布/各種構成などの「構成」の配布対象としてドメイン/OU等を指定する場合、構成の配布後にドメイン/OUに追加された対象に対してその構成を適用するかどうか設定できます(対象の構成が「一時停止」「無効」「削除済み」などになっていない場合のみ)。
     
  • 管理対象として追加するコンピューターは、「ドメイン名\コンピューター名」が一意である必要があります。参考:マルチブートマシンの制限クローニングしたPCの制限
     
ワークグループ環境の場合
  • (Desktop Central 10.0.646以前のビルドの場合) Mac コンピューターを管理対象に追加すると、macosgroup というダミーのワークグループに所属します。エージェントをインストールする前に、管理タブ > SoM設定 > エージェント設定 > Mac エージェントの設定から選択します。詳細はエージェント設定をご覧ください。必要に応じて、他のワークグループやドメインに移動させます。
     
  • Linux コンピューターを管理対象に追加すると、linuxosgroup というダミーのワークグループに所属します。エージェントをインストールする前に、管理タブ > SoM設定 > エージェント設定 > Linuxエージェントの設定から選択します。詳細はエージェント設定をご覧ください。必要に応じて、他のワークグループやドメインに移動させます。
     
  • 管理者資格情報は、Desktop Centralの「資格情報マネージャー」に登録されます。この情報は次の目的に使用されます。
    • エージェントのプッシュインストール・アンインストール
    • エージェントの再インストール
    • 「PCの追加」におけるドメイン情報の表示
    • 管理対象ポリシーの同期
    • モバイルデバイス管理タブのユーザーの同期(毎日21時)
    • ADレポート
    • OS配布モジュールにおける共有リポジトリの検証

    いったんエージェントが管理者権限でインストールされると、パッチの適用やエージェントの自動更新などの操作は資格情報マネージャーを使用せず、エージェント自身が管理者権限で実行します。
    ただし、ソフトウェア配布においてインストーラーの操作を管理者権限のないユーザーに委ねる場合など、一部操作においては管理者資格情報が必要になります。
     

  • 管理者資格情報を登録せずにエージェントを Windows / Mac コンピューター にインストールすると、エージェントが所属するワークグループを検出し、ワークグループを自動的に登録します。(※Macコンピューターのドメイン名取得はDesktop Central 10.0.647以降のビルドのみ。それ以前は Windows のみ)
     
  • 管理対象として追加するコンピューターは、「ドメイン名\コンピューター名」が一意である必要があります。参考:マルチブートマシンの制限クローニングしたPCの制限
     

 

2. ドメインの同期/追加されたコンピューターの検知

ドメインの同期

ドメインコントローラーとの同期を定期的に実行することで、最新の情報を取得します。

設定手順
  1. 「管理」タブ > SoM設定 > 管理対象ポリシー を開き、スクロールして「同期のスケジュール」を開きます。
  2. 同期時刻を設定します。
  3. 同期する対象のドメインを選択します。
  4. 「保存」をクリックします。

 


ドメインへ 新規追加/削除 された端末の検知

指定したドメインにコンピューターが新たに追加/削除された場合の動作(自動的なエージェントインストールや通知など)を設定できます。詳細は管理対象ポリシーをご覧ください。

新規追加されたコンピューターの検知
  1. 「管理」タブ > SoM設定 > 管理対象ポリシー を開き、スクロールして「新しいコンピューターの検出/追加」にチェックを入れます。
  2. 検知した場合の動作を選択します。
  3. 「保存」をクリックします。
削除されたコンピューターの検知
  1. 「管理」タブ > SoM設定 > 管理対象ポリシー を開き、スクロールして「コンピューターの削除」にチェックを入れます。
  2. Active Directoryからコンピューターが削除された場合/コンピューターが指定した期間ずっとアクティブにならなかった場合 に実行するアクションを指定します。
  3. 「保存」をクリックします。