Comments
Transcript
ワークグループの管理ヘルプ - Hewlett Packard Enterprise
OpenView Operations ワークグループの管理 この PDF は、便宜上の目的で提供されており、 オンライン ヘルプと同じ内容を含んでいます。 ただし、一部のインタラクティブなページは除きます。 目次 ワークグループおよび信頼関係のないドメインの管理 ...................................................................................................3 Windows 2000 の概念 ...................................................................................................................................................................4 Windows NT の概念 .......................................................................................................................................................................6 ユーザーとグループの概念 ........................................................................................................................................................8 ワークグループまたは信頼関係のないドメインでの HP OpenView 設定の概要.................................................9 ワークグループまたは信頼関係のないドメインでの HP OpenView の設定........................................................ 10 必要な信頼関係............................................................................................................................................................................ 13 2 ワークグループおよび信頼関係のないドメインの管理 概要 HP OpenView Operations は、ワークグループおよび信頼関係のないドメインを含む環境に対応しています。 Windows 2000/NT の概念、ユーザーおよびグループもまた、管理サーバーおよび管理ノードで必要とされる特定の 設定手順に盛り込まれています。 関連トピック Windows 2000 の概念 Windows NT の概念 ユーザーとグループの概念 設定の概要 設定手順 必要な信頼関係 cCopyright 1999-2003 Hewlett-Packard Development Company, L.P., all rights reserved. 3 Windows 2000 の概念 概要 Windows NT の以前のバージョンでは、SAM (セキュリティ アカウント マネージャ) と呼ばれるユーザー リ ポジトリがドメイン コントローラと呼ばれる特別なサーバーに格納されていました。ドメイン コントロー ラには、次の 2 つのタイプがありました。 個々のドメインに 1 つのプライマリ ドメイン コントローラ (PDC) 数に制限のないバックアップ ドメイン コントローラ (BDC) PDC は、すべての BDC 間でデータベースの変更を同期化する役割を担います。Windows NT 4.0 のドメイン の概念では、"オンザフライ" でサーバーを再設定することは不可能でした。ほとんどの場合、OS の再イン ストールがサーバーのロールを変更する唯一の方法でした。さらに、Windows NT では、ドメインのネスト や階層化もできませんでした。 Microsoft は、ADS (Active Directory Service) と呼ばれる新しいディレクトリ サービスを Windows 2000 で導入しま した。ADS では、X.500 の多くの概念が再利用されています。このように ADS では、一元化されたリポジトリと、ユー ザーとリソースの管理に欠かせない情報への分散アクセスの両方が実現しています。ADS は、効率的に照会できる 情報を保管し、セキュリティと管理の分散を実現する Windows 2000 のサービスです。 Windows NT 4.0 のドメインの概念とは異なり、ADS では、ベースとなるオペレーティング システムに影響を与えずに インストールまたはアンインストールできます。さらに現在では、認証サービスにおける名前解決の依存度が高くな っています。したがって、ADS サーバーを操作するには、DNS (Domain Name Service) の設定が不可欠です。 ADS の概念: ADS では次の概念が導入されています。 ADS ツリー ADS フォレスト ADS 組織単位 (OU) ADS ではまた、Windows NT ドメインのような既存の概念に新たな側面が加えられています。 概念とその用語 オブジェクトとスキーマ ADS の最も下のレベルでは、属性で構成されているオブジェクトが扱われます。オブジェクトには、ユー ザー アカウントからリソース共有に至るすべてのものが利用できます。通常、オブジェクトは組織単位 (OU) で管理されます。この組織単位は、1 つまたは複数のドメインで管理されます。スキーマには、対象 となるすべてのオブジェクト タイプの定義、対応する属性、属性を構成するデータ タイプが収められてい ます。オブジェクトや属性は、スキーマ内で最初に定義してはじめて存在できます。 ADS モード ADS サーバーは、混在モードまたはネイティブ モードで実行するように設定できます。混在モードの ADS サーバーは、Windows NT の以前のバージョンで稼働するドメイン コントローラと対話できます。基本的に、 ADS サーバーは、既存のドメインのプライマリ ドメイン コントローラ (PDC) となり、Windows NT 4.0 サ ーバーのドメイン コントローラと同様に旧式のサーバーを更新します。混在モードを使用すると、サーバ ーを 1 台ずつ更新でき、後方互換性の問題を心配しなくてもすみます。このプロセスでは、ADS に一括移 行するよりも明らかに効率が落ちますが、既存の環境を段階的にアップグレードできます。 4 ネイティブ モードの ADS サーバーの場合、旧バージョンの環境に組み入れて使用することはできません。"混在モ ード" とは、基本的に Windows 2000 サーバーで、プロセッサ パワーおよびメモリを使用して実行されるプロセスを 意味します。したがって、すべての Windows NT サーバーが Windows 2000 で稼働している場合は、混在モードを使 用する必要はありません。 ADS ドメイン Windows NT 4.0 では、ドメインは Microsoft ネットワーク内のリソースおよびユーザーの論理グループを意 味します。したがって、ドメインではネットワーク上の管理境界や、レプリケーション境界、セキュリティ 境界が定義されています。Windows 2000 および Windows NT のドメインは、DNS ドメインと異なります。 Windows ドメインがオブジェクトとリソースのコンテナであるのに対し、DNS ドメインは DNS 名前空間内 のツリーまたはサブツリーです。Windows 2000 ドメインにはオブジェクトと OU が格納され、そのドメイ ン名は DNS 命名規則に従って指定されます。 ADS ツリー ドメインをグループ化すると ADS ツリーが作成されます。ADS ツリーは、共通の名前空間を共有するドメ インのグループです。ADS ツリーを使用すると、管理しやすい個別の論理エンティティに企業が分割され ます。既存のツリーにドメインを追加すると、双方向の推移性の信頼が自動的に確立します。前述のとおり、 信頼とはドメイン間の論理関係です。この関係では、あるドメインが別のドメインのログオン認証を受け付 けることができます。信頼は双方向と見なされます。親ドメインと子ドメインは自動的に相互に信頼するか らです。Windows NT 4.0 では、2 つの信頼 (親子の各ドメインで 1 つ) を作成する必要があります。 ADS フォレスト フォレストは、共通のドメイン名は持たないが共通のスキーマ、設定、およびグローバル カタログを共有 しているドメインを集めたものです。フォレスト内の各ドメインは、双方向の推移性の信頼を通じてリンク しています。フォレスト内のドメインが共通のグローバル カタログを共有していない場合、フォレスト全 体にわたるグローバル検索は使用できません。 ADS 組織単位 組織単位は、オブジェクトの論理グループ化または管理機能の委任に使用されます。組織単位の先行モデル は、Windows NT 4.0 のリソース ドメインでした。 PDC および BDC のエミュレーション モード ADS を使用すると、ドメインあたり 1 つの PDC と複数の BDC をエミュレートできます。ネイティブ モー ドの場合、Windows 2000 のマルチマスター レプリケーション モデルでは、1 つのドメインで複数の等価ド メイン コントローラを使用できます。 関連トピック Windows NT の概念 ユーザーとグループの概念 設定の概要 設定手順 必要な信頼関係 cCopyright 1999-2003 Hewlett-Packard Development Company, L.P., all rights reserved. 5 Windows NT の概念 概要 Microsoft ネットワークに参加している、Windows NT 4.0 (Server または Workstation) で稼働するすべてのコ ンピュータはワークグループまたはドメインに属します。ワークグループまたはドメインでは、コンピュー タの集まりが 1 つの論理単位にグループ化されますが、それぞれ固有のプロパティを備えています。 概念とその用語 ワークグループ ワークグループは、ディスク領域、CD-ROM ドライブ、プリンタの共有など、共通の目的のためにグルー プ化されたコンピュータの論理的な集まりです。各ワークグループは一意の名前で識別されます。ワークグ ループに属するコンピュータ上のリソースはローカルに管理されるため、ワークグループは、Microsoft ネ ットワークで提供されるピアツーピア サービスの基礎を成します。それぞれの製品は、ピアツーピアと一 元化されたサービスを混在使用できるように設計されています。Microsoft のネットワーク クライアント ソ フトウェアで稼働しているが、ドメインの一部として定義されていないすべてのコンピュータは、ワークグ ループに自動的に組み込まれます。Windows NT サーバーがスタンドアロン サーバーとして使用されている 場合、このサーバーはワークグループに組み込まれます。 ドメイン ユーザーはドメインの SAM データベースで確認されるのに対し、ワークグループ ユーザーはローカルの SAM データベースで確認される点に留意してください。 ドメイン ドメインは、Windows NT 4.0 で稼働しているコンピュータ システムのグループであり、共通のセキュリテ ィ ポリシーとユーザー アカウント データベースを共有しています。ドメインには、1 つまたは複数のコン ピュータを収めることができます。NT ドメインは管理者による一元管理を可能にする、組織グループ化の 概念です。 Windows NT では、ドメインの概念を使用して、一連のネットワーク リソース (アプリケーション、プリンタなど) へのユ ーザー グループのアクセスを管理します。ユーザーは、ドメインにログインするだけでネットワーク内の複数のサー バーに分散されているリソースを利用できます。 Microsoft の Windows NT ドメインに参加しているサーバーは、ドメイン コントローラまたはサーバーとして設定でき ます。ドメイン コントローラではログオン認証が可能であり、セキュリティを伴う他のタスクに参加できます。一方、サ ーバーは単にリソースを提供します。Windows NT 4.0 でドメイン構造を実装するときは、1 つのサーバーをプライマリ ドメイン コントローラ (PDC) に設定する必要があります。PDC では、Microsoft がセキュリティ アカウント マネージャ (SAM) と呼ぶデータベースに、ユーザー アカウント、ユーザー グループ、マシン アカウント、およびその他のユーザ ー関連情報が格納されます。ログオン要求はこの SAM で確認され、ドメインへのアクセスが許可または拒否されま す。バックアップ ドメイン コントローラ (BDC) と呼ばれるその他のドメイン コントローラもまたログオン認証を処理し、 バックアップ ドメイン コントローラとプライマリ ドメイン コントローラ間で管理情報をレプリケートします。BDC には、 SAM データベースの読み取り専用のコピーのみが格納されます。 Windows NT が稼働しているコンピュータのネットワークでは、サーバーは次の 3 つの役割を担うことができます。 プライマリ ドメイン コントローラ (PDC)。一般に、ドメイン内の最初のサーバーが PDC に指定さ れます。各ドメインには PDC が 1 つ必要です (複数は不可)。PDC ではログオン認証が処理されるとと もに、セキュリティ アカウント データベース (SAM) が配置されます。 バックアップ ドメイン コントローラ (BDC)。PDC がネットワーク内ですでに稼働している場合の み、このオプションを選択できます。BDC でも同様に、ログオン要求の認証、管理タスクの処理、お 6 よび PDC のコピーと同期した SAM のコピーの保持が行われます。PDC で障害が発生した場合は、 BDC を PDC に昇格できます。 スタンドアロン サーバー。スタンドアロン サーバーでは、ログオン認証は処理されません。通常、 スタンドアロン サーバーは、特定のタスク (Microsoft SQL Server の実行など) を処理するためにサーバ ーのリソースを必要とする場合で、そのサーバーに管理タスクの負荷を負わせないときに指定します。 ドメイン間の信頼関係 Microsoft Windows NT Server のネットワークには、相互に関係を持つ、または関係を持たない複数のドメイ ンを組み込むことができます。あるドメインを別のドメインのリソースにアクセスできるようにするには、 信頼関係を確立する必要があります。信頼関係が確立されると、単一ドメインを越えたネットワークの一元 管理も可能になります。信頼は一方向の関係ですが、信頼を 2 つ作成すると 2 つのドメイン間で信頼関係が 確立します。信頼関係では、Windows NT の、あるサーバーから 2 番目のサーバー、さらに 2 番目のサーバ ーから 3 番目のサーバーへとデイジーチェーン接続を行うことはできません。信頼関係は 2 つのドメイン間 のリンクです。このリンクにより、あるドメインのアカウントを持つユーザーは別のドメインのリソースに アクセスできるようになります。信頼される側のドメインのユーザーには、信頼する側のドメイン内のオブ ジェクトに対する権利と権限が与えられます。これらのユーザーは、信頼する側のドメイン内のメンバーと 同等に扱われます。 信頼関係にあるドメインのリソースへのアクセスは、自動的にユーザーに付与されません。別のドメインを信頼する 側のドメインは、信頼される側のドメインに依拠してユーザーを認証します。 関連トピック Windows 2000 の概念 ユーザーとグループの概念 設定の概要 設定手順 必要な信頼関係 cCopyright 1999-2003 Hewlett-Packard Development Company, L.P., all rights reserved. 7 ユーザーとグループの概念 Windows 2000 と Windows NT 4.0 のセキュリティは、主に次のエンティティ タイプに基づいています。 1. グローバル ユーザー アカウント このタイプのユーザー アカウントは、ドメイン内のすべてのシステムで認識され、有効となりま す。ユーザーは、自分のホーム ドメインと信頼関係のある他のドメインにアクセスすることもで きます。 2. ローカル ユーザー アカウント このタイプのユーザー アカウントには、その特定のシステムでのみ有効なユーザーが含まれます。 これらの真のローカル ユーザーは、ドメインの概念では認識されません。 3. グローバル グループ グローバル グループは、現在のドメイン全体およびそのドメイン グループと信頼関係のある他の すべてのドメイン内のコンピュータおよびリソースで認識され、それらのコンピュータおよびリソ ースへのアクセスが許可されます。 4. ローカル グループ PDC または BDC 以外のシステムでも、真にローカルで、ドメインの概念では認識されないグルー プを定義できます。 関連トピック Windows NT の概念 Windows 2000 の概念 設定の概要 設定手順 必要な信頼関係 cCopyright 1999-2003 Hewlett-Packard Development Company, L.P., all rights reserved. 8 ワークグループまたは信頼関係のないドメインでの HP OpenView 設定の概 要 概要 概念的に、HP OpenView Operations では、Windows NT/2000 で稼働するあらゆる種類のシステムを管理でき ます。これらのシステムには、次に示すワークグループ環境や、信頼関係のあるドメイン、信頼関係のない ドメインのノードも含まれます。 1. 純粋なドメイン環境 (同じドメイン内または信頼される側のドメイン内のノード) こうした環境では、各ノードは Microsoft ドメインに組み込まれています。各ドメインには、ドメ インの SAM データベースを管理するドメイン コントローラが最低 1 つ存在します。これが、HP OpenView Operations での最適な管理環境であり、単一ドメイン環境では、特別な設定手順を必要 としません。ノードが複数のドメインに散在している場合は、「必要な信頼関係」トピックで説明 されている信頼関係を確立する必要があります。 2. 混在環境 (ワークグループおよび信頼関係のないドメイン内での追加ノード) 混在環境では、あるノードはワークグループに属し、別のノードは信頼関係のないドメインに組み 込まれています。こうした環境を管理対象として考えている場合は、特別な設定手順が必要になり ます。 ワークグループまたは信頼関係のないドメイン内のノードを OVO で管理する場合は、パススルー認証を使用します。 パススルー認証では、対応するシステム間で同一のユーザー アカウントとパスワードを使用する必要があります。 詳細については、Microsoft サポート技術情報の記事 Q102716 および Q163632 を参照してください。 パススルー認証は、"HP-OVE-User" アカウントで設定する必要があります。これは、OVO 管理サーバーのインスト ール時に指定したアカウントです。実際のアカウント名を設定できます。設定手順の例では、OVO 管理サーバーの インストール時に指定したアカウント名を使用します。設定例で表示される "PASSWORD_1" には、そのアカウントの パスワードを使用します。 関連トピック Windows NT の概念 Windows 2000 の概念 ユーザーとグループの概念 設定手順 必要な信頼関係 cCopyright 1999-2003 Hewlett-Packard Development Company, L.P., all rights reserved. 9 ワークグループまたは信頼関係のないドメインでの HP OpenView の設定 ローカル ユーザー アカウントが存在する、ワークグループまたは信頼関係のないドメイン内のシステムで は、ローカル アカウントを使用してパススルー認証を可能にする必要があります。これらのシステムでは、 ローカル SAM データベースによる "HP-OVE-User" の認証が行われるからです。ドメイン コントローラに はローカル ユーザー アカウントが設定されていないため、これらのシステムでは、ドメイン ユーザー アカ ウントを作成する必要があります。これらのユーザー アカウントには、管理サーバーで "HP-OVE-User" を 設定するときに使用したアカウント名とパスワードを使用する必要があります。 この設定例では、管理サーバーは DOMAIN-A に配置されています。コンソールは、OVO サーバー、または同じドメ イン内の別のシステムで実行されています。各ノードは、DOMAIN-A、信頼関係のない DOMAIN-B (またはその他 のドメイン)、および WORKGROUP-C (またはその他のワークグループ) で管理されます。 設定手順 名前解決 名前解決を正しく設定することは、ADS と OVO の両方にとって非常に重要です OVO 管理サーバーでは、 管理ノードがドメインまたはワークグループのいずれに属しているかに関係なく、すべての管理ノードの名 前を解決できなければなりません。同じことは、管理ノードにも当てはまります。管理ノードは、管理サー バーの名前を解決できなければなりません。名前解決は正しく設定してください。設定に誤りがあると、次 の手順を実行できない場合があります。 OVO 管理サーバーの設定 OVO サーバーのインストールには、次の 2 つのオプションがあります。 ネットワーク インストール (デフォルト オプション) インストール プロセス中に、ドメイン ベースのユーザー アカウント "HP-OVE-User" およびグループ "HP-OVE-GROUP" が作成されます。 スタンドアロン インストール このオプションを選択すると、ローカル ユーザー アカウント "HP-OVE-User" およびグループ "HPOVE-GROUP" が作成されます。 この例では、ネットワーク インストール (デフォルト インストール オプション) を想定しています。 各管理ノードの設定 次のノードを管理する場合は、追加の設定手順が必要になります。 Windows ワークグループに属するノード 信頼関係のない NT Domain 内のドメイン コントローラ (PDC または BDC) であるノード 信頼関係のない NT Domain 内の、ドメイン コントローラでないメンバー サーバーのノード これらの環境では、次の設定手順を実行します。 1. 適切なユーザー アカウントの作成 • ドメイン コントローラでないメンバー サーバー、またはワークグループに属するワーク ステーションを管理する場合は、次の手順でローカル ユーザー アカウントを作成します。 Windows NT が稼働しているノードで、次の操作を行います。 [プログラム] → [管理ツール] → [ユーザー マネージャ] 10 [ユーザー] → [新しいユーザー] ユーザー名: HP-OVE-User パスワード: PASSWORD_1 グループ: Administrators [OK] をクリックします。 Windows 2000 が稼働しているノードで、次の操作を行います。 [システム ツール] → [ローカル ユーザーとグループ] → [ユーザー] を選択します。 ユーザー名: HP-OVE-User パスワード: PASSWORD_1 [作成] をクリックします。 作成した新しいユーザー (HP-OVE-User) を選択します。 [アクション] → [プロパティ] [所属] タブで "Administrators" グループにユーザーを追加します。 [OK] をクリックします。 • ドメイン コントローラ (PDC または BDC) が OVO 管理ノードとして使用されている場合は、次の 手順でドメイン ユーザーを作成する必要があります。 Windows NT が稼働しているノードで、次の操作を行います。 [プログラム] → [管理ツール] → [ドメイン ユーザー マネージャ] [ユーザー] → [新しいユーザー] ユーザー名: HP-OVE-User パスワード: PASSWORD_1 グループ: Administrators [OK] をクリックします。 Windows 2000 が稼働しているノードで、次の操作を行います。 [スタート] → [プログラム] → [管理ツール] → [Active Directory ユーザーとコンピュータ] 作成したドメイン名をクリックし、内容を展開します。 [ユーザー] → [新規] → [ユーザー] 名: Generic 姓: HP OV User ログオン名: HP-OVE-User [次へ] → パスワード: PASSWORD_1 [終了] をクリックします。 作成した新しいユーザー (HP-OVE-User) を選択します。 [アクション] → [プロパティ] [所属] タブで "Administrators" グループにユーザーを追加します。 [OK] をクリックします。 2. 名前解決を確認します。 ping コマンドを使用して、エージェント ノードと OVO 管理サーバーの間で適切な DNS 名の解決と到達が 相互に可能であることを確認します。 3. 管理ノード上の ADMIN$ 共有およびレジストリへのアクセスを次の手順で確認します。 • ユーザー アカウント "HP-OVE-User" で OVO 管理サーバーにログオンし、net use ¥¥computer¥ADMIN$ コマンドを実行して、"HP-OVE-User" が少なくとも ADMIN$ 共有に対する暗 黙のフル コントロールを備えていることを確認します。 11 • 4. リモート レジストリへのアクセスを次の手順で確認します。 OVO 管理サーバーで regedit ツールを使用して、エージェントの適切なキーにアクセスできることを 確認します。 [スタート] → [ファイル名を指定して実行] 「regedit」 [レジストリ] → [ネットワーク レジストリへの接続] を選択します。 インストールする OVO エージェント ノードのコンピュータ名を入力します。 HKEY_LOCALE_MACHINE を選択し、SOFTWARE に属するキーへのアクセスを試みます。プロパティ を参照できればアクセス可能です。 設定をテストするには、管理環境に Windows ノードを追加し、その管理ノードにメッセージおよびアクション のエージェント パッケージを配布します。配布ジョブにエラーがないことを確認します。エラーがない場合、 配布は正常に終了します。 Windows ノードのセキュリティの設定でレポートされたエラー OVO 管理環境にノードを追加すると、次のエラー メッセージが表示される場合があります。 (SEC 4010) ノード上のグループ Administrators にアカウント / (この場合、HP-OVE-User) を追加してい るときにエラーが発生しました。 前述の手順の一環として、各ユーザーは Administrators グループにすでに手動で追加されています。したがって、 このエラー メッセージは無視してかまいません。 関連トピック Windows 2000 の概念 Windows NT の概念 ユーザーとグループの概念 設定の概要 必要な信頼関係 cCopyright 1999-2003 Hewlett-Packard Development Company, L.P., all rights reserved. 12 必要な信頼関係 標準のネットワーク インストールを実行した場合で、管理サーバー、コンソール、エージェントなどの OVO コンポーネントが各種のドメインに分散しているときは、信頼関係の特定のセットが必要になります。 この例では、3 つの主要な OVO コンポーネント (サーバー、コンソール、管理ノード) がすべて別々のドメインに配置 されています。さらに、HP-OVE-User、HP-OVE-Group は 4 番目のドメインにあります。 DOMAIN-A: 管理コンソール (コンソール) DOMAIN-B: 管理サーバー (サーバー) 別の管理コンソールや管理ノードもこのドメインに配置できます。 DOMAIN-C: 管理ノード (管理ノード) DOMAIN-D: OVO ユーザー/グループおよび管理ノード 関連トピック Windows 2000 の概念 Windows NT の概念 ユーザーとグループの概念 13 設定の概要 設定手順 cCopyright 1999-2003 Hewlett-Packard Development Company, L.P., all rights reserved. 14