ドメイン/ワークグループの登録
作成日:2022年7月28日 | 更新日:2022年7月28日
ドメイン/ワークグループの登録
この記事では、Patch Manager Plus Cloud にドメイン/ワークグループを追加する方法について解説しています。
ドメイン/ワークグループの登録の目的
Patch Manager Plus Cloud では、管理対象コンピューターの所属する Active Directoryドメイン または ワークグループを手動で登録し、管理者権限をもつユーザーの資格情報を登録します。
この資格情報は、エージェントのプッシュインストール/アンインストールに使用されます。
Windows および Mac コンピューターの場合、ドメイン/ワークグループを登録せずにエージェントをインストールすると、エージェントは自動的にそのコンピューターが所属するADドメイン名またはワークグループ名を取得します。エージェントのインストール時点でドメイン名/ワークグループ名が登録されていない場合、Patch Manager Plus Cloud はその名前のワークグループを自動的に登録します(ADドメインであっても、同名のワークグループとして登録します)。
その場合でも、エージェントのインストール後に管理者権限をもつユーザーの資格情報を手動で登録する(ADドメインの場合は、さらにドメインコントローラーの情報を手動で入力する)ことになるため、エージェントのインストールより先にドメイン/ワークグループを登録するとスムーズな管理対象の登録が可能です。
なお、Linuxコンピューターのドメイン/ワークグループ名は取得できないため、エージェントのインストールより先にエージェント設定を完了させ、各項目を手動で入力する必要があります。
ドメイン/ワークグループを登録しないで利用する
ドメイン/ワークグループを登録せずに利用する場合、Windows / Mac コンピューターに対するエージェントのインストール/アンインストールに一部制限が発生します。(プッシュインストール/アンインストールができません)
Active Directoryドメインの登録
前提条件
Patch Manager Plus Cloudにドメインを登録するには、以下の条件をすべて満たす必要があります。
- エージェントタブ > 管理対象 > リモートオフィス > [+ リモートオフィスを追加]をクリックし、配信サーバーのあるリモートオフィスをあらかじめ追加する必要があります。
- 追加したい Active Directory ドメインのドメインコントローラーへ、追加する配信サーバーからアクセス可能である必要があります。
(複数のドメインを追加する場合は、各ドメイン間に信頼関係がある必要があります)
ADドメインを追加する手順
Patch Manager Plus Cloudに ADドメイン を登録する手順は以下の通りです。
- エージェントタブ > 管理対象 > ドメイン をクリックします。
- 「ADコネクター」のプルダウンから、ADドメインコントローラーと通信する配信サーバーを選択し、ADコネクターに設定します(AD コネクター詳細はをご覧ください。)。
- [+ドメインの追加]をクリックし、各項目を入力して[ドメインの追加]をクリックします。(すでに登録したいドメイン/ワークグループが存在する場合は、アクション列 > 三点リーダアイコン > 変更から編集します。)
- ドメイン名: ドメインのNetBios名を入力します。
- ネットワークタイプ: Active Directory を選択します。
- ドメインユーザー名: ドメイン管理者権限を持つユーザー名を指定します。
- パスワード: 上記ユーザーのパスワードを入力します。
- AD ドメイン名: Active Directory のドメイン名を指定します。
- ドメインコントローラー名: ドメインコントローラーのホスト名を入力します。
- LDAP SSL: 必要に応じて選択します。
- 指定する管理者認証情報は、そのドメインに所属し、Patch Manager Plus Cloudの管理対象となるすべてのコンピューターで管理者権限を持っている必要があります。
(このアカウントのパスワード有効期限が切れてしまうと、その後の動作に支障が生じます。お客様の組織におけるセキュリティポリシー上で許容される場合は、パスコードポリシーが“Never Expire”となっている Patch Manager Plus Cloud 専用のドメイン管理ユーザーアカウントを作成することをお勧めします) - この資格情報は、エージェントを Patch Manager Plus Cloud コンソール画面からプッシュインストール / アンインストール / 自動インストール / 自動アンインストール 際に必要となります。登録済み資格情報を編集するには、アクション列の三点リーダアイコン > 編集 をクリックします。
- ドメインを追加せずに、ドメインに所属するPCを管理対象に追加した場合、ドメインではなく同名のワークグループに所属するものとして扱われます。
- なお、管理対象にドメインを追加できない場合は、こちらをご覧ください。
- ドメインに追加されたPCに対してエージェントを自動インストール/ドメインから削除されたPCからエージェント自動アンインストールする機能を使用するには、ドメインの追加およびドメインコントローラーとの同期が必要です。
ワークグループの登録
ワークグループを追加する手順
Patch Manager Plus Cloud にワークグループを登録する手順は以下の通りです。
- エージェントタブ > 管理対象 > ドメイン をクリックします。
- [+ドメインの追加]をクリックし、各項目を入力して[ドメインの追加]をクリックします。
- ドメイン名: ワークグループ名を入力します。
- ネットワークタイプ: ワークグループ を選択します。
- 管理者のユーザー名: 管理対象すべての端末に共通して管理者権限を持つユーザー名を指定します。
- パスワード: 上記ユーザーのパスワードを入力します。
- DNS サフィックス: 必要に応じて選択します。
- 指定する管理者資格情報は、そのワークグループに所属し、 Patch Manager Plus Cloud の管理対象となるすべての端末で管理者権限を持っている必要があります。
そのようなユーザーが存在しない場合は、各端末で新たな管理者ユーザーを作成する必要があります。 - Macコンピューター/Linuxコンピューターは、それぞれデフォルトで存在するダミーの macosgroup / linuxosgroup ワークグループに所属します。エージェントをインストールする前に、管理タブ > SoM設定 > エージェント設定 > Macエージェントの設定/Linuxエージェントの設定から選択します。詳細はエージェント設定をご覧ください。
ドメインの同期とAD コネクターについて
ドメインコントローラーにおいて、以下のうち使用するポートが開放されている必要があります。
ポート番号 | 目的 | プロトコル | 方向 |
---|---|---|---|
389 | Active Directoryのドメインコントローラーとの通信 (Active Directory環境で使用する場合) |
LDAP | サーバーからのアウトバウンド通信 |
636 | Active Directoryのドメインコントローラーとのセキュア通信 (Active Directory環境で使用する場合) |
LDAP SSL | サーバーからのアウトバウンド通信 |
設定手順
- 管理タブ > SoM設定 > 管理対象ポリシー を開き、スクロールして「同期のスケジュール」を表示します。
- 同期時間を設定します。
- 同期する対象のドメインを選択します。
- [保存]をクリックします。
管理対象にドメインを追加できない
Patch Manager Plus Cloudの管理タブ > グローバル設定 > ドメイン > ドメインの追加 から、Active Directoryのドメインを追加しようと必要情報をすべて入力しましたが、「Validation Failed」のエラーが表示されドメインを追加できない場合があります。この問題は、次のいずれかの理由が考えられます。
(ネットワークタイプにActive Directoryを選択する場合にこの問題が発生します。ワークグループを選択した場合、この問題は発生しません)。
- 入力したドメイン名/Active Directoryドメイン名/ドメインコントローラ―名に誤りがある
正しいドメイン名/Active Directoryドメイン名/ドメインコントローラ―名を入力します。
- 入力した管理者資格情報(ユーザー名とパスワード)に誤りがある
入力した資格情報に対し、すべてのクライアントPCの管理者権限があることを確認します。
- 入力した管理者は、指定したドメイン/OUに対し、管理者権限を持たない無効なユーザーである
入力したドメインユーザー名に対し、指定したOU/ドメインの管理者権限があることを確認します。また、入力したパスワードに対し、大文字小文字の入力ミス、スペルミス等がないか確認します。
- ドメインコントローラ―にアクセスできない
AD コネクターに指定した配信サーバーから、入力したドメインコントローラ―にアクセスできるか確認します。ドメインコントローラ―にアクセスできない場合、次のいずれかの原因が考えられます。- ネットワークエラー(IT管理者に確認してください)
- ドメインコントローラ―の電源がOFFになっている
- Active Directoryがドメインコントローラ―で稼働していない
正しいActive Directoryドメインを指定しているか確認するために、次の手順に従ってください;- コマンドプロンプトを起動し、以下のコマンドを入力してEnterを押下します。
set u
- 次の情報が表示されます。
- USERDNSDOMAIN=Active Directoryのドメイン名
- USERDOMAIN=ドメイン名
- USERNAME=ユーザー名
- USERPROFILE=ユーザープロファイル
正しいドメインコントローラ―名を入力しているか確認するために、次の手順に従ってください;- コマンドプロンプトを起動し、以下のコマンドを入力してEnterを押下します。
SET LOGONSERVER
- 画面上でLOGONSERVERに表示される名前が、ドメインコントローラ―名となります。