グループポリシー(GPO)を使用したエージェントのインストール(Active Directoryドメイン環境)
作成日:2022年4月12日 | 更新日:2024年7月8日
このナレッジでは、Active Directoryのグループポリシー(GPO)を使用してエージェントを一括配布(展開)する方法について説明しています。
確認ビルド: Desktop Central 10.1.2137.11、Endpoint Central 11.2.2300.30
関連ナレッジ: エージェント > Windowsエージェントのインストール方法 > グループポリシー(GPO)を使用したエージェントのインストール(Active Directoryドメイン環境)
Endpoint Central 10.1.2124.1以降のビルドの場合
GPOを使用してリモートオフィスに所属するコンピューターにエージェントを配布する場合、各リモートオフィス間で重複しないようなローカルIPアドレスを割り振るよう設定し、IPスコープを設定しておくことで、リモートオフィスごとにエージェント配布する必要がなくなり、工数を削減できる可能性があります。
IPスコープ機能は、エージェントのローカルIPアドレスを基準に所属するリモートオフィスを決定します。
(A) Powershellスクリプトをスタートアップスクリプトに登録する手順
1. 前提条件
以下の点をご確認ください。
- この方法はワークグループ環境では使用できません。 Active Directory ドメイン環境であることを確認します。また、ドメインコントローラーが正しく設定されていることを確認します。
- エージェントタブ > エージェント設定 > 一般設定 を開き、エージェントインストール後に実行するアクションや、通知に関する設定をあらかじめ変更することをお勧めします(デフォルトのままでも問題ありません)。詳細はこちらをご覧ください。
2. 必要なファイルのダウンロード
- Endpoint Centralコンソールにログインし、「エージェント」タブ →「配布」→「PC」を開きます。
- 右上の [エージェントをダウンロードする] をクリックし、リモートオフィスを選択後 [エージェントをダウンロードする] をクリックし、exe形式のWindows用エージェントインストーラーをダウンロードします。
- ダウンロードしたexeの名前を LocalOffice_Agent.exe に変更します。
- 続いてこちらのスクリプトをダウンロードします。
- ダウンロードしたzipファイルを Active Directory サーバー(ドメインコントローラー)にコピーします。
3. GPOの作成
- Active Directory サーバーに管理者としてログインし、「サーバーマネージャー」→「ツール」→「グループポリシーの管理」を選択します。
または、 スタートメニュー > ファイル名を指定して実行([Windows]+[r]キー) > gpmc.msc を入力して グループポリシーの管理 を開きます。 - エージェントをインストールする対象のドメイン/OUを右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」を選択します。
- 「新しいGPO」→「名前」に任意の名前を入力し「OK」をクリックしてGPOを作成します。
(例)EC_Agent_Install - GPOを作成すると、「グループポリシーの管理」の右ペインで確認できます。
デフォルトで、GPO は選択したドメイン/OUにおいて認証されているすべてのユーザーとコンピューターに適用されます。対象をドメイン / OU の一部に限定したい場合は、作成したGPOの「セキュリティフィルター処理」を編集します。 - 作成したGPOを右クリックし「編集」を選択します。
- 左ペインの「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「スクリプト(スタートアップ/シャットダウン)」を開き、「スタートアップ」を右クリックして「プロパティ」を選択します。
- 「スクリプト」→「ファイルの表示」をクリックします。
- 「Installagent.ps1」と「LocalOffice_Agent.exe」をコピーし、このフォルダーに貼り付けます。
- このフォルダーパスをコピーします(パスは以下のフォーマットになっています)。
\\Domain name\SysVol\Domain name\Policies\{ID}\Machine\Scripts\Startup
- Scriptsフォルダーのウィンドウを閉じ、続いて「追加」をクリックます。
- スクリプト名には「<先ほどコピーしたパス>\InstallAgentstartupscript.ps1」を、スクリプトのパラメーターには「LocalOffice_Agent.exe」を入力します。
- 「OK」をクリックしてスクリプトの編集を閉じます。
- 「OK」をクリックしてスタートアップのプロパティを閉じます。
- グループポリシー管理エディターを閉じます。
- グループポリシーの管理を閉じます。
以上でGPOの作成が完了します。エージェントは、コンピューターの起動時にインストールが実行されます。
対象コンピューターからドメインコントローラーの指定したパスにアクセス可能であることをご確認ください。
Endpoint Central 10.1.2124.1より前のビルドの場合
(A)PowerShellスクリプトを使用する手順
1. 前提条件
以下の点をご確認ください。
- この方法はワークグループ環境では使用できません。 Active Directory ドメイン環境であることを確認します。また、ドメインコントローラーが正しく設定されていることを確認します。
- Desktop Centralにログインする際は、管理者(Administrator)権限のあるユーザーとしてログインします。
- こちらのナレッジにしたがい、Desktop Centralにドメイン/ワークグループをあらかじめ登録(追加)します。入力した認証情報が、対象PC(または対象PCが含まれるドメイン)で管理者権限を持っていることをかならず確認します。
- エージェントタブ > エージェント設定 > 一般設定 を開き、エージェントインストール後に実行するアクションをあらかじめ設定することをお勧めします(デフォルトのままでも問題ありません)。詳細はこちらをご覧ください。
2. 必要なファイルのダウンロード
- エージェントタブ > 配布 > Agent Installation > Active Directory > GPO > [エージェントのダウンロード] をクリックしてエージェントをダウンロードします。
- リモートオフィスを設定しない場合は、 ローカルエージェント(LAN) > Windowsのローカルエージェントをダウンロードします。
- 配信サーバーを設置した場合や、遠隔拠点のPCにリモートオフィスを設定する場合は、リモートオフィスを設定後、対応するエージェントをダウンロードします。
- ダウンロードしたzipファイルを Active Directory サーバー(ドメインコントローラー)にコピーします。
- Active Directoryサーバー(ドメインコントローラー)に接続し、zipファイル を解凍して、以下のファイルがあることを確認します。
DesktopCentralAgent.msi
DesktopCentralAgent.mst
DCAgentServerInfo.json
DMRootCA.crt
DMRootCA-Server.crt※ Desktop Central 10.1.2124.1 以前のビルドをご利用の場合、DCAgentServerInfo.json ファイルは不要です。
※ Desktop Central 10.0.647 以前のビルドをご利用の場合、DCAgentServerInfo.json、DMRootCA.crt、DMRootCA-Server.crt ファイルは不要です。
- PowerShellスクリプトGPO_Tool.ps1とPSInstallAgent.ps1をダウンロードし、上記ファイルと同じ場所に保存します。
- ファイル名をそれぞれ gpo_tool_text.ps1 → GPO_Tool.ps1 、 installAgentC.ps1 → PSInstallAgent.ps1 に変更します。
3. スクリプトの実行
- Active Directory サーバーで PowerShell を管理者権限で実行します。
- 上記ファイルが保存されている場所まで cd コマンドで移動します。
(例) cd C:\Users\Administrator\Downloads
- 次のコマンドを実行します。
.\GPO_Tool.ps1 DesktopCentralAgent.msi DesktopCentralAgent.mst PSInstallAgent.ps1
エラーが表示された場合ファイル C:\users\<ユーザー名>\Downloads\GPO_Tool.ps1 を読み込めません。ファイル C:\users\<ユーザー名>\Downloads\GPO_Tool.ps1 はデジタル署名されていません。このスクリプトは現在のシステムでは実行できません。スクリプトの実行および実行ポリシーの設定の詳細については、「about_Execution_Policies」(https://go.microsoft.com/fwlink/?LinkID=135170) を参照してください。
上記のエラーが表示される場合、PowerShell実行ポリシーにおいて、セキュリティ上の理由から署名のないスクリプト実行が許可されていません。
このスクリプトを実行するために、以下の手順を実行してPowerShell実行ポリシーを一時的に変更します。(Powershellを閉じると設定がデフォルトの状態に戻ります)- 次のコマンドを実行し、PowerShell実行ポリシーの状態を確認します。
Get-ExecutionPolicy -list
以下のように表示された場合、スクリプト実行が許可されていません。
- 次のコマンドを実行し、ポリシーを変更します。
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
- 確認メッセージが表示されるため、Y を入力しエンターキーを押します。
- 再度次のコマンドを実行し、変更されたことを確認します。
Get-ExecutionPolicy -list
- 改めてスクリプトを実行するコマンドを入力し、エンターキーを押します。
- 次のコマンドを実行し、PowerShell実行ポリシーの状態を確認します。
- 「Enter the name of the Group Policy to be created : 」と表示されるので、任意のグループポリシー名を入力しエンターキーを押します。
(例)DCAgentInstall
- 「Enter the distinguished name: 」と表示されるので、エージェントをインストールさせたいドメイン/ OU の distinguished name を入力します。
(例)DC=TestAD,DC=local
- 「Do you want to link this GPO with another OU/Domain?
: 」と表示されるので、追加するドメイン/ OU がある場合は y を入力しエンターキーを押し、同様の操作を繰り返します。これ以上追加するドメイン/ OU が無い場合は n を入力しエンターキーを押します。
- 「Ended!!! 」と表示されるのを確認し、Powershellを閉じます。
- 再度PowerShellを管理者として実行し、>Get-ExecutionPolicy -list を実行して、実行ポリシーがデフォルトの状態に戻っていることを確認します。
上記の手順を実行後、対象のドメイン/OUに所属するコンピューターが Active Directory サーバーと通信可能な状態で再起動すると、自動的にエージェントのインストールが開始されます。
(B) GPOスケジューラーを使用する手順
Active Directory 環境においては、スケジューラーを設定することで簡単にエージェントを配布する方法が利用可能です。この方法を使用すると、管理対象を再起動しなくてもエージェントインストールを開始できます。
1. 前提条件
以下の点をご確認ください。
- この方法はワークグループ環境では使用できません。 Active Directory ドメイン環境であることを確認します。また、ドメインコントローラーが正しく設定されていることを確認します。
- Desktop Centralにログインする際は、管理者(Administrator)権限のあるユーザーとしてログインします。
- こちらのナレッジにしたがい、Desktop Centralにドメイン/ワークグループをあらかじめ登録(追加)します。入力した認証情報が、対象PC(または対象PCが含まれるドメイン)で管理者権限を持っていることをかならず確認します。
- エージェントタブ > エージェント設定 > 一般設定 を開き、エージェントインストール後に実行するアクションをあらかじめ設定することをお勧めします(デフォルトのままでも問題ありません)。詳細はこちらをご覧ください。
2. ネットワーク共有フォルダーの作成
- Windows Server に管理者としてログインします。
- サーバーマネージャー > ダッシュボードの左ペイン > ファイルサービスと記憶域サービス > 共有 を開きます。
- 右ペインの何もないところで右クリックし、新しい共有 を選択します。
- 「新しい共有ウィザード」が表示されます。プロファイルの選択 > SMB共有 - 簡易 を選択し、[次へ]をクリックします。
- 共有の場所 > 共有の場所 > カスタムパスを入力してください において、フォルダーのパスを指定し[次へ]をクリックします。
(既存のフォルダーを使用しない場合は、新規フォルダーを作成して指定します) - 共有名の指定 > 共有名 > 共有名 に、任意の名前を入力します。必要に応じて説明も入力し、[次へ]をクリックします。
- 他の設定 においては、デフォルトの設定のままにして[次へ]をクリックします。
(「共有のキャッシュを許可する」にのみチェックが入った状態にします) - アクセス許可 においては、デフォルトの設定のままにして[次へ]をクリックします。
- 確認 において、内容を確認し[作成]をクリックします。
- 「共有が正常に作成されました」の表示を確認し、[閉じる]をクリックします。
3. 必要なファイルのダウンロード
- ファイルサービスと記憶域サービス > 共有 において、作成した共有が表示されます。作成した共有を右クリックし「共有を開く」を選択します。
- エージェントタブ > 配布 > Agent Installation > Active Directory > GPO > [エージェントのダウンロード] をクリックしてエージェントをダウンロードします。
- リモートオフィスを設定しない場合は、 ローカルエージェント(LAN) > Windowsのローカルエージェントをダウンロードします。
- 配信サーバーを設置した場合や、遠隔拠点のPCにリモートオフィスを設定する場合は、リモートオフィスを設定後、対応するエージェントをダウンロードします。
- ダウンロードしたzipファイルを先ほど作成した共有にコピーします。
- zipファイル を解凍して、以下のファイルがあることを確認します。
DesktopCentralAgent.msi
DesktopCentralAgent.mst
DCAgentServerInfo.json
DMRootCA.crt
DMRootCA-Server.crt※ Desktop Central 10.1.2124.1 以前のビルドをご利用の場合、DCAgentServerInfo.json ファイルは不要です。
※ Desktop Central 10.0.647 以前のビルドをご利用の場合、DCAgentServerInfo.json、DMRootCA.crt、DMRootCA-Server.crt ファイルは不要です。
- スクリプトinstallAgentC.vbsをダウンロードし、ファイル名を installagentscript.vbs に変更して、先ほど作成した共有フォルダーにコピーします。
- ファイルサービスと記憶域サービス > 共有 > 作成した共有を右クリックし「共有を開く」を選択した時にアドレスバーに表示されているネットワークパス(※ローカルパスではありません)が後の手順で必要になるため、コピーしておきます。
4. GPOの作成
- Active Directory サーバーに管理者としてログインし、サーバーマネージャー > ツール > グループポリシーの管理 を選択します。
または、 スタートメニュー > ファイル名を指定して実行([Windows]+[r]キー) > gpmc.msc を入力して グループポリシーの管理 を開きます。 - エージェントをインストールする対象のドメイン/ OU を右クリック > このドメインに GPO を作成し、このコンテナーにリンクする を選択します。
- 新しい GPO > 名前 に任意の名前を入力します。
(例)DCAgentInstallScheduler - GPO を作成すると、グループポリシーの管理 の右ペインで確認できます。
デフォルトで、GPO は選択したドメイン/OUにおいて認証されているすべてのユーザーとコンピューターに適用されます。対象をドメイン / OU の一部に限定したい場合は、作成したGPOの「セキュリティフィルター処理」を編集します。 - 作成したGPOを右クリック > 編集 を選択します。
- 左ペインの コンピューターの構成 > 基本設定 > コントロールパネルの設定 > タスク を右クリックし、 新規作成 > 即時タスク (Windows 7 以降) を選択します。
- 新しいタスク (Windows 7 以降) のプロパティ において、任意の名前を入力します。必要に応じて説明も入力します。
- セキュリティオプション > [ユーザーまたはグループの変更] をクリックします。
- 「選択するオブジェクトを入力してください」 に system と入力し[名前の確認] をクリックします。
SYSTEM と表示されたことを確認し、[OK]をクリックします。 - セキュリティオプション > タスクの実行時に使うユーザーアカウント: の欄に NT AUTHORITY\Systemと表示されていることを確認します。
- 「ユーザーがログオンしているかどうかにかかわらず実行する」を選択します。
- 構成 として 「Windows Vista TM または Windows Server TM 2008」を選択します。
- 操作タブをクリックし、[新規]をクリックします。
- 操作では 「プログラムの開始」 を選択します。
- 設定 > プログラム/スクリプトでは、前の手順にてコピーしておいた共有のネットワークパスを使用して以下のように入力します。
<共有のネットワークパス>\installagentscript.vbs
(例)\\computer_name.domain_name\NetworkShare\installagentscript.vbs - 設定 > 引数の追加 では、以下の引数を入力します。
DesktopCentralAgent.msi DesktopCentralAgent.mst DMRootCA.crt DMRootCA-Server.crt
(10.0.653 以前のビルドの場合: DesktopCentralAgent.msi DesktopCentralAgent.mst ) - 設定 > 作業フォルダー では、前の手順にてコピーしておいた共有のネットワークパスを入力します。
<共有のネットワークパス>\
(例)\\computer_name.domain_name\NetworkShare\ - [OK]をクリックしてダイアログを閉じます。
- 条件タブを開き、「次のネットワーク接続が使用可能な場合のみタスクを開始する」にチェックを入れ、「すべての接続」を選択します。
- [OK]をクリックします。
GPOの作成が完了します。選択したドメイン/ OU に所属するコンピューターとドメインコントローラーが通信可能な状態では、GPOの情報が配布された後にエージェントのインストールが開始されます。