アクセス拒否
作成日:2017年1月12日 | 更新日:2020年12月29日
アクセス拒否
問題
次のいずれかのアクションを行おうとすると、「アクセス拒否」(Access Denied)のエラーが発生し、アクションを完了できません。
- Desktop Centralコンソールから管理対象PCにエージェント/配信サーバーをプッシュインストール/アンインストールする
- パッチスキャン/インベントリスキャン等のタスクを実行する
- リモート制御機能を使用する
原因
Desktop Centralサーバーが、エージェント/配信サーバーのインストール/アンインストールや、パッチスキャン/インベントリスキャン等のリモート操作、リモート制御機能の使用の際に、管理者権限を使用する場合があります。管理対象に入力した資格情報に管理者権限がない場合、「アクセス拒否」というエラーが発生します。
本ページで説明する原因と解決策は、本製品開発時、およびクライアント環境上での経験に基づいています。そのため、本ページでは説明していないその他問題要因がある場合があります。
Active Directoryドメインのネットワーク環境においてエージェントインストールに失敗する場合、グループポリシーを使用したエージェントインストールもご検討ください。
Active Directoryドメインのネットワーク環境においてエージェントインストールに失敗する場合、グループポリシーを使用したエージェントインストールもご検討ください。
解決策
ネットワーク環境の種類に応じて、解決策を実行します。
A. ワークグループ
- 資格情報の訂正
ワークグループをセットアップする際、当該ワークグループに所属するすべてのコンピューターにおいて管理者権限をもつアカウント情報が必要です。資格情報を修正する必要がある場合は、次の手順に従ってください。- 管理タブ > グローバル設定 > 資格情報マネージャー をクリックします。
- 編集したい資格情報の「アクション」列にある鉛筆アイコンをクリックします。(管理者権限を持つアカウントを新規追加する場合は、左上の「資格情報の追加」をクリックします)
- 種類では「ワークグループ」が選択されていることを確認し、次の内容を入力します
- 管理者のユーザー名
- パスワード
- DNSサフィックス(任意)
- 「ドメインの資格情報を更新」をクリックします
以上で、資格情報が更新されます。
- ユーザーアカウント制御 / リモートユーザーアカウント制御(UAC)の無効化
Microsoft WindowsのVista以降のOSを搭載しているクライアントコンピューターに対しては、すべてのクライアントコンピューター上でユーザーアカウント制御、もしくはリモートユーザーアカウント制御を無効にする必要があります。UAC機能を無効にするには、次の手順に従ってください。UAC無効化はDesktop Centralのインベントリ管理に必須ではありませんが、他の方法では問題が解決しない場合にUACの無効化を試行します。なお、コンピューターがワークグループ設定の場合にのみ適用できます。- 「スタート」 > 「設定」 > 「コントロールパネル」 > 「ユーザーアカウント」 > 「ユーザーアカウント」をクリックします
- 「ユーザーアカウント制御の設定」をクリックします
- UAC設定を無効にします
- 制御レベルを「通知しない」にドラッグします
- 「ユーザーアカウント設定をオンまたはオフにする」をクリックします
- コンピューターを保護するために「ユーザーアカウント制御を使用する」のチェックを外します
- 「OK」をクリックします
- 「OK」をクリックします
- コントロールパネル画面を閉じます
Windows Vista/Windows 2008 OSのマシンに対しては、以下の手順となります。これでクライアントコンピューターのUACが無効になります。Windows Vista以降のOSを搭載しているすべてのクライアントコンピューターに対し、上記手順を手動で実行します。
- クライアントコンピューターでリモートUAC機能の無効化
UAC制御を無効化した対象に対しては、リモートUAC機能も無効にします。- スタート > ファイル名を指定して実行 > regeditと入力します。
- レジストリエディタが開いたら、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\systemに移動します。
- LocalAccountTokenFilterPolicyという名前のキーを作成します。空欄を右クリックし、New > DWORD Valueをクリックします。キーが既に存在する場合、その名前を右クリックし、「変更」を選択します。
- 値のデータを「1」へ変更します
- 「OK」をクリックします
これでリモートUAC機能が無効になりました。
- クライアントコンピューターでDCOM設定を有効にする
(これはワークグループ/Active Directoryに共通する設定です)
ネットワークのすべてのコンピューターでDCOM設定を有効にします。Windows 10でDCOM(分散COM)設定を有効にするには、次の手順に従ってください。- 「スタート」 > Windows管理ツール > コンポーネント サービス を開きます
- ナビゲーションウィンドウのコンポーネントサービス > コンピューター > マイコンピューター を右クリックします
- 「既定のプロパティ」タブを開き、「このコンピューター上でDCOMを有効にする」にチェックを入れます
- 適切な認証レベルを選択します(デフォルトでは「規定」)
- 適切な偽装レベルを選択します(デフォルトでは「偽装する」)
- OKをクリックします
コンピューターにインストールされているWindows OS毎に、表示されるダイアログボックスは異なります(Windows NT/2000では 「Distributed COM設定のプロパティ」、Windows XPでは「コンポーネントサービス」ダイアログボックスが表示されます)。分散COMまたはDCOMのプロパティを表示させ、以上の設定を確認します。これでネットワークのコンピューターにDCOM設定を有効にすることができました。
Active Directory設定
Active Directory設定の場合、ドメインに対して管理者権限のある資格情報を入力します。管理者資格情報はOUごとに異なるものであるため、この資格情報を使用して別のOUに属するコンピューターへの操作はできません。有効な資格情報を登録する必要がある場合、次の手順を確認します。
- 資格情報の訂正
- 管理タブ > グローバル設定 > 資格情報マネージャー をクリックします。
- 編集したい資格情報の「アクション」列にある鉛筆アイコンをクリックします。(管理者権限を持つアカウントを新規追加する場合は、左上の「資格情報の追加」をクリックします)
- 種類では「Active Directory」が選択されていることを確認し、次の内容を入力します
- 管理者のドメインユーザー名
- パスワード
- 「ドメインの資格情報を更新」をクリックします
以上で、資格情報が更新されます。
- クライアントコンピューターでDCOM設定を有効にする
(これはワークグループ/Active Directoryに共通する設定です)
ネットワークのすべてのコンピューターでDCOM設定を有効にします。Windows 10でDCOM(分散COM)設定を有効にするには、次の手順に従ってください。- 「スタート」 > Windows管理ツール > コンポーネント サービス を開きます
- ナビゲーションウィンドウのコンポーネントサービス > コンピューター > マイコンピューター を右クリックします
- 「既定のプロパティ」タブを開き、「このコンピューター上でDCOMを有効にする」にチェックを入れます
- 適切な認証レベルを選択します(デフォルトでは「規定」)
- 適切な偽装レベルを選択します(デフォルトでは「偽装する」)
- OKをクリックします
コンピューターにインストールされているWindows OS毎に、表示されるダイアログボックスは異なります(Windows NT/2000では 「Distributed COM設定のプロパティ」、Windows XPでは「コンポーネントサービス」ダイアログボックスが表示されます)。分散COMまたはDCOMのプロパティを表示させ、以上の設定を確認します。これでネットワークのコンピューターにDCOM設定を有効にすることができました。