Endpoint Central オンプレミス版 ナレッジベース

アクセス拒否


アクセス拒否

問題

次のいずれかのアクションを行おうとすると、「アクセス拒否」(Access Denied)のエラーが発生し、アクションを完了できません。

  • Desktop Centralコンソールから管理対象PCにエージェント/配信サーバーをプッシュインストール/アンインストールする
  • パッチスキャン/インベントリスキャン等のタスクを実行する
  • リモート制御機能を使用する

 

原因

Desktop Centralサーバーが、エージェント/配信サーバーのインストール/アンインストールや、パッチスキャン/インベントリスキャン等のリモート操作、リモート制御機能の使用の際に、管理者権限を使用する場合があります。管理対象に入力した資格情報に管理者権限がない場合、「アクセス拒否」というエラーが発生します。

本ページで説明する原因と解決策は、本製品開発時、およびクライアント環境上での経験に基づいています。そのため、本ページでは説明していないその他問題要因がある場合があります。
Active Directoryドメインのネットワーク環境においてエージェントインストールに失敗する場合、グループポリシーを使用したエージェントインストールもご検討ください。

 

解決策

ネットワーク環境の種類に応じて、解決策を実行します。

 

A. ワークグループ
  • 資格情報の訂正
    ワークグループをセットアップする際、当該ワークグループに所属するすべてのコンピューターにおいて管理者権限をもつアカウント情報が必要です。資格情報を修正する必要がある場合は、次の手順に従ってください。

    1. 管理タブ > グローバル設定 > 資格情報マネージャー をクリックします。
    2. 編集したい資格情報の「アクション」列にある鉛筆アイコンをクリックします。(管理者権限を持つアカウントを新規追加する場合は、左上の「資格情報の追加」をクリックします)
    3. 種類では「ワークグループ」が選択されていることを確認し、次の内容を入力します
      • 管理者のユーザー名
      • パスワード
      • DNSサフィックス(任意)
    4. 「ドメインの資格情報を更新」をクリックします

    以上で、資格情報が更新されます。
     

  • ユーザーアカウント制御 / リモートユーザーアカウント制御(UAC)の無効化
    Microsoft WindowsのVista以降のOSを搭載しているクライアントコンピューターに対しては、すべてのクライアントコンピューター上でユーザーアカウント制御、もしくはリモートユーザーアカウント制御を無効にする必要があります。UAC機能を無効にするには、次の手順に従ってください。

    UAC無効化はDesktop Centralのインベントリ管理に必須ではありませんが、他の方法では問題が解決しない場合にUACの無効化を試行します。なお、コンピューターがワークグループ設定の場合にのみ適用できます。
    1. 「スタート」 > 「設定」 > 「コントロールパネル」 > 「ユーザーアカウント」 > 「ユーザーアカウント」をクリックします
    2. 「ユーザーアカウント制御の設定」をクリックします
    3. UAC設定を無効にします
    4. 制御レベルを「通知しない」にドラッグします
    5. Windows Vista/Windows 2008 OSのマシンに対しては、以下の手順となります。

      1. 「ユーザーアカウント設定をオンまたはオフにする」をクリックします
      2. コンピューターを保護するために「ユーザーアカウント制御を使用する」のチェックを外します
      3. 「OK」をクリックします
    6. 「OK」をクリックします
    7. コントロールパネル画面を閉じます

    これでクライアントコンピューターのUACが無効になります。Windows Vista以降のOSを搭載しているすべてのクライアントコンピューターに対し、上記手順を手動で実行します。
     

  • クライアントコンピューターでリモートUAC機能の無効化
    UAC制御を無効化した対象に対しては、リモートUAC機能も無効にします。

    1. スタート > ファイル名を指定して実行 > regeditと入力します。
    2. レジストリエディタが開いたら、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\systemに移動します。
    3. LocalAccountTokenFilterPolicyという名前のキーを作成します。空欄を右クリックし、New > DWORD Valueをクリックします。キーが既に存在する場合、その名前を右クリックし、「変更」を選択します。
    4. 値のデータを「1」へ変更します
    5. 「OK」をクリックします

    これでリモートUAC機能が無効になりました。
     

  • クライアントコンピューターでDCOM設定を有効にする
    (これはワークグループ/Active Directoryに共通する設定です)
    ネットワークのすべてのコンピューターでDCOM設定を有効にします。Windows 10でDCOM(分散COM)設定を有効にするには、次の手順に従ってください。

    1. 「スタート」 > Windows管理ツール > コンポーネント サービス を開きます
    2. ナビゲーションウィンドウのコンポーネントサービス > コンピューター > マイコンピューター を右クリックします
    3. 「既定のプロパティ」タブを開き、「このコンピューター上でDCOMを有効にする」にチェックを入れます
    4. 【DCOMの有効化】

    5. 適切な認証レベルを選択します(デフォルトでは「規定」)
    6. 適切な偽装レベルを選択します(デフォルトでは「偽装する」)
    7. OKをクリックします
    コンピューターにインストールされているWindows OS毎に、表示されるダイアログボックスは異なります(Windows NT/2000では 「Distributed COM設定のプロパティ」、Windows XPでは「コンポーネントサービス」ダイアログボックスが表示されます)。分散COMまたはDCOMのプロパティを表示させ、以上の設定を確認します。

    これでネットワークのコンピューターにDCOM設定を有効にすることができました。

 

Active Directory設定

Active Directory設定の場合、ドメインに対して管理者権限のある資格情報を入力します。管理者資格情報はOUごとに異なるものであるため、この資格情報を使用して別のOUに属するコンピューターへの操作はできません。有効な資格情報を登録する必要がある場合、次の手順を確認します。

  • 資格情報の訂正
    1. 管理タブ > グローバル設定 > 資格情報マネージャー をクリックします。
    2. 編集したい資格情報の「アクション」列にある鉛筆アイコンをクリックします。(管理者権限を持つアカウントを新規追加する場合は、左上の「資格情報の追加」をクリックします)
    3. 種類では「Active Directory」が選択されていることを確認し、次の内容を入力します
      • 管理者のドメインユーザー名
      • パスワード
    4. 「ドメインの資格情報を更新」をクリックします

    以上で、資格情報が更新されます。
     

  • クライアントコンピューターでDCOM設定を有効にする
    (これはワークグループ/Active Directoryに共通する設定です)
    ネットワークのすべてのコンピューターでDCOM設定を有効にします。Windows 10でDCOM(分散COM)設定を有効にするには、次の手順に従ってください。

    1. 「スタート」 > Windows管理ツール > コンポーネント サービス を開きます
    2. ナビゲーションウィンドウのコンポーネントサービス > コンピューター > マイコンピューター を右クリックします
    3. 「既定のプロパティ」タブを開き、「このコンピューター上でDCOMを有効にする」にチェックを入れます
    4. 【DCOMの有効化】

    5. 適切な認証レベルを選択します(デフォルトでは「規定」)
    6. 適切な偽装レベルを選択します(デフォルトでは「偽装する」)
    7. OKをクリックします
    コンピューターにインストールされているWindows OS毎に、表示されるダイアログボックスは異なります(Windows NT/2000では 「Distributed COM設定のプロパティ」、Windows XPでは「コンポーネントサービス」ダイアログボックスが表示されます)。分散COMまたはDCOMのプロパティを表示させ、以上の設定を確認します。

    これでネットワークのコンピューターにDCOM設定を有効にすることができました。