ドメイン/ワークグループの追加
この記事では、Active Directoryドメインに所属するコンピューターをPatch Manager Plusを利用して管理する際の設定について説明しています。また、ドメインに所属しないワークグループ環境についても、合わせて説明しています。
Patch Manager Plusを使用する際の各種操作は、Active Directoryドメイン(またはワークグループ)の使用の有無に着目して分類すると、以下の3種類に分けられます。
- A. ドメイン名(ワークグループ名)を使用する操作
- B. ドメイン名(ワークグループ名)に加えて、ドメイン(ワークグループ)の資格情報を使用する操作
- C. 上記のいずれでもない操作(ドメインやワークグループを特に指定せずに行う各種操作)
この記事では、まず、上記のAとBのためにどのような設定が必要となるかについて、それぞれ説明します。
そして、ドメイン(ワークグループ)を追加・編集する手順について説明します。
目次
- ドメイン(ワークグループ)を使用する操作の例と必要な設定内容
- ドメイン(ワークグループ)の追加および編集
A. ドメイン名(ワークグループ名)を使用する操作
ドメイン名(ワークグループ名)を使用する場面
Patch Manager Plusにおいて、コンピューターが一覧で表示される画面の多くでは、コンピューターを絞り込むためのフィルター条件としてドメイン名を指定可能です。
(ワークグループ環境の端末の場合、ドメイン名の代わりとしてワークグループ名(「WORKGROUP」など)を指定できます。)
必要な設定
- Windows/Macの場合
上記で使用するためのドメイン名・ワークグループ名の情報は、WindowsおよびMacのコンピューターの場合、各エージェントから自動的に取得されます(情報を取得させるために、Patch Manager Plus上で特に設定を行う必要はありません)。 - Linuxの場合
ドメイン名・ワークグループ名の情報は自動的に取得されません。Linux端末にエージェントをインストールする前に、あらかじめ[エージェント]タブ → [設定] → [エージェント設定] → [Linuxエージェントの設定]小タブより、「ネットワーク上のLinuxの管理設定」から、ドメイン名またはワークグループ名を指定します。
- デフォルトでは「linuxosgroup」という名前のワークグループが用意されています。管理上、ドメイン名(ワークグループ名)を特に意識しない運用の場合、「ネットワーク上のLinuxの管理設定」において「linuxosgroup」を指定します。これによりLinuxコンピューターは、エージェントインストール時にドメイン名(ワークグループ名)を別途指定しない限り、形式上、すべて「linuxosgroup」に所属しているものとして扱われます。
- 「ネットワーク上のLinuxの管理設定」において「linuxosgroup」以外の任意のドメイン名(ワークグループ名)を使用するには、あらかじめドメイン(ワークグループ)を手動で追加します。
B. ドメイン(ワークグループ)の資格情報を使用する操作
ドメイン(ワークグループ)の資格情報を使用する場面
以下のような場合、ドメイン(ワークグループ)の資格情報をPatch Manager Plusにあらかじめ登録しておく必要があります。
- パッチの自動配布において、配布対象の選択にOU(組織単位)やサイトなどを使用する場合
- Active Directoryドメインにコンピューターオブジェクトが追加された(または削除された)際に、それに合わせて自動的にPatch Manager Plus上でもコンピューターを追加(または削除)することができる、「管理対象ポリシー」を利用する場合(管理対象ポリシーの設定方法は、Patch Manager Plusと同様の仕様をもつEndpoint Centralのこちらのナレッジをご参照ください。)
- 上記のほか、エージェントのインストールにおいて、資格情報が必要な一部のインストール方法を使用する場合
エージェントのインストールには複数の方法が存在するため、ご利用のネットワーク環境や台数規模などに応じ、最も都合のよい方法を使用します(主なインストール方法は「エージェントのインストール方法」をご覧ください)。
以下のような場合、あらかじめ資格情報をPatch Manager Plus上に登録しておく必要があります。- Patch Manager Plusのコンソール画面上の操作のみによって遠隔でエージェントをインストールする場合
- 「管理対象ポリシー」に基づいてエージェントの自動インストールを実行させる場合(管理対象ポリシーの詳細は、Patch Manager Plusと同様の仕様をもつEndpoint Centralのこちらのナレッジをご参照ください。)
以下のような場合、Patch Manager Plus上に資格情報が登録されている必要はありません。- 対象のコンピューター上で直接エージェントのインストーラーを実行する場合
- 必要なファイルをドメインコントローラーに配置し、GPOスクリプトを実行することでエージェントをインストールする場合
必要な設定(ドメインの場合)
- 上記のような、ドメインの資格情報を必要とする操作をPatch Manager Plus上で実行するには、あらかじめ後述の「新規ドメイン(ワークグループ)の手動での追加」または「既存のドメイン(ワークグループ)の編集」の手順に沿って各ドメインの資格情報をPatch Manager Plus上に登録(入力)しておく必要があります。
必要な設定(ワークグループの場合)
- ある特定のワークグループに関して資格情報をPatch Manager Plus上に登録する場合、そのワークグループに所属するすべてのコンピューターに対して管理者権限をもつユーザーが存在する必要があります。
- そのため、あらかじめ各端末でそのような管理者ユーザーを作成しておく必要があります。
もし各コンピューターに共通して管理者権限をもつユーザーが存在しない(今後そのようなユーザーを作成する予定もない)場合、次のような対応が可能です。
- 資格情報をPatch Manager Plus上に登録せずに、Patch Manager Plusの利用を継続する
→ いったんエージェントが管理者権限でインストールされると、パッチの適用やエージェントの自動更新などの操作は、(資格情報の登録の有無にかかわらず)エージェント自身が管理者権限で実行します。 - ダミーの資格情報をPatch Manager Plus上に登録する
→ 上記と同様ですが、特にLinuxを管理する際に「linuxosgroup」に代えて他のワークグループ名を使用したい場合、あらかじめ、ワークグループを(形式上)作成しておく必要があります。ダミーの資格情報を使用してワークグループを作成(新規追加)し、そのワークグループを「ネットワーク上のLinuxの管理設定」で指定します。
- 資格情報をPatch Manager Plus上に登録せずに、Patch Manager Plusの利用を継続する
- 作成した管理者ユーザーの資格情報(ユーザー名・パスワード)を、後述の「新規ドメイン(ワークグループ)の手動での追加」または「既存のドメイン(ワークグループ)の編集」の手順に沿って入力します。
ドメイン(ワークグループ)の追加および編集
新規ドメイン(ワークグループ)の手動での追加
Patch Manager Plus上にドメイン(ワークグループ)を手動で追加するには、以下の手順を実施します。
- [エージェント]タブ → [管理対象] → [ドメイン] を開きます。
- 次のいずれかを実施します(ご利用のPatch Manager Plusのビルドによって操作が異なります)。
- 「+ ドメインの追加」をクリックし、続いて、「Active Directory」または「ワークグループ」のいずれかをクリックします。
- 「+ ドメインの追加」をクリックし、表示された画面の「ネットワークタイプ」という項目で、「Active Directory」または「ワークグループ」を選択します。
- 以下の各項目を入力します。
- 「Active Directory」を選択した場合は以下の項目を入力します。
- ドメイン名: ドメインのNetBIOS名を入力します。
- ドメインユーザ名: ドメイン管理者権限を持つユーザー名を指定します。
- パスワード: 上記ユーザーのパスワードを入力します。
- ADドメイン名: Active Directory のドメイン名(DNS名)を指定します。
- ドメインコントローラー名: ドメインコントローラーのホスト名を入力します。
- LDAP SSLを使用: 必要に応じて選択し、ポート番号(デフォルトは 636)を指定します。
- 指定する管理者資格情報は、そのドメインに所属し、Patch Manager Plusの管理対象となるすべてのコンピューターで管理者特権を持っている必要があります。
(セキュリティポリシー上許容される場合は、パスワードポリシーが “Never Expire”となっている Patch Manager Plus 専用のドメイン管理ユーザーアカウントを持つことをお勧めします。) - その際、複数のドメインコントローラーがある場合は、Patch Manager Plusサーバーに最も近い(ホップ数が少ない)ドメインコントローラーの名前を指定します。
- ドメインコントローラーにおいて、ポート 389 (LDAP)、ポート 636(上記「LDAP SSLを使用」の項目にて番号を変更可能)の開放が必要です。使用するポートについて、「Patch Manager Plusの通信ポート」も合わせてご参照ください。
- 「ワークグループ」を選択した場合は以下の項目を入力します。
- ドメイン名: ワークグループ名を入力します。
- 管理者のユーザ名: ワークグループ内のすべての端末に共通して管理者権限を持つユーザー名を指定します
(そのようなユーザーが存在しない場合、ダミーのユーザー名を入力することも可能です)。 - パスワード: 上記ユーザーのパスワードを入力します。
- DNSサフィックス: 必要に応じて指定します。
- 「Active Directory」を選択した場合は以下の項目を入力します。
- 「ドメインの追加」をクリックします。
ドメイン(ワークグループ)の自動追加
上記「ドメイン名(ワークグループ名)を使用する操作」に記載のとおり、WindowsおよびMacの場合、エージェントをインストールするとドメイン名(ワークグループ名)の情報がPatch Manager Plus上に自動で追加されます。自動追加されたドメイン(ワークグループ)についてユーザー名・パスワード等を登録するには、次の「既存のドメイン(ワークグループ)の編集」の手順を実施します。
既存のドメイン(ワークグループ)の編集
既にPatch Manager Plus上に登録されているドメイン(ワークグループ)について情報を編集するには、以下の手順を実施します。
- [エージェント]タブ → [管理対象] → [ドメイン] を開きます。
- 資格情報を登録・編集する対象のドメイン(ワークグループ)が表示されていることを確認します。「アクション」列の三点リーダーアイコン(...)をクリックし、「Change to Active Directory」(または「Change to Workgroup」)、または「変更」をクリックします。
資格情報をまだ登録していないドメインは、形式上、ワークグループとして表示されています。「Change to Active Directory(Active Directoryに変更)」をクリックすることで、ドメインとしての扱いに切り替えたうえで、資格情報を登録することができます。
ご利用のPatch Manager Plusのビルドによっては、「Change to Active Directory(Active Directoryに変更)」という項目が存在しません。この場合、「変更」をクリックし、表示された画面の「ネットワークタイプ」という項目で、「Active Directory」「ワークグループ」のいずれか当てはまるものを選択します。 - 画面に沿って、必要な項目を入力します(各項目の詳細は、ドメイン(ワークグループ)を新規で追加する場合と同様です)。
- 「Update Domain Details(ドメインの詳細を更新する)」をクリックします。