概要
LanGuardでは、エージェントのインストール、スキャン、修復ジョブ、パッチの適用、カスタムソフトウェアの展開、SMB、RPC、WMIによる情報収集など、ほとんどのアクティビティで管理者権限が必要です。'Access denied' (アクセスが拒否されました。)や'Network detection; The list of servers in this workgroup is currently unavailable' (ネットワーク検出;このワークグループのサーバーのリストは現在利用できません。)といったエラーや、監視対象のサーバーへのログイン失敗を避けるためには、シングルドメイン、マルチドメイン、ワークグループ、あるいはそれらが混在する環境において、サービスに使用されるアカウントに、リモートコンピュータ上の管理者権限が必要です。
診断
ほとんどのシナリオにおける一般的な要件は、サーバー側のLanGuardプロセスがリモートコンピ ュータの管理者権限があることです。接続に使用されるアカウントは、リモートコンピュータのローカル管理者である必要があります。
これを実現するために、GFI LanGuardは代替のユーザー名とパスワードを使用するように設定できます。意図したとおりに動作させるためには、環境を正しく理解し、それに応じて設定してください。不適切な設定を行うと、十分な権限を持つアカウントが指定されているにもかかわらず、'Access denied'(アクセスが拒否されました)や'Network detection; The list of servers in this workgroup is currently unavailable'(ネットワーク検出;このワークグループのサーバーのリストは現在使用できません)といったエラーが発生する場合があります。また、接続時にどのサービス/プロセスが使用されているかを把握してください。
サーバー側のプロセスがリモートコンピュータにアクセスする際には、Microsoft Windowsの認証が使用されます。Windows は、プロセス自体のアカウントを使用して最初の接続を試みます。この接続試行に失敗した場合、Windowsは代替認証情報を使用して2回目の接続試行を行います。
注:ただし、リモートマシンにアクセスするための最初の接続試行が成功しても、そのアカウントに十分な管理者権限がない場合は、すべてが失敗します。Windowsはアプリケーションに'Access denied'(アクセスが拒否されました)メッセージを返し、代替認証情報の使用を試みません。
サーバー側のプロセスは、サービスまたはユーザーインターフェースのいずれかとして実行できます。どちらのアクションが実行されているかに応じて、最初の接続試行は以下のいずれかで行われます。
- サービスが実行されるアカウント。
- WindowsにログインしてUIを起動したユーザー。
以下は、「シングルドメイン」と「マルチドメイン/ミックス」のシナリオに対する解決策です。
解決策
シングルドメイン・シナリオ
シングルドメイン環境では、すべてのリモートコンピュータの管理者権限を持つサービスアカウントを使用し、代替の認証情報を使用しない設定を推奨します。この設定では、LanGuardサービスは、サーバー上のローカル管理権限とすべてのリモートコンピュータ上の管理権限を持つドメインアカウントで実行されます。
通常は、ドメイン管理者アクティブディレクトリグループのメンバーがこの権限を持っています。また、グループポリシーにより、特定のアカウントをすべてのコンピューターのローカル管理者グループのメンバーにすることもできます。
また、Run as a different user(別のユーザーとして実行)オプションを使用してアプリケーションコンソールの実行ファイルを起動する方法もあります。
注:上記のガイドラインに従い、代替となる認証情報を指定しないようにしてください。
マルチドメイン・シナリオ
マルチドメイン、ワークグループ、またはミックス環境では、ローカルの管理者アカウントと代替の認証情報を使用することをお勧めします。
代替認証情報を使用する場合は、サービスのアカウントまたはログインしたユーザーが最初の接続試行で認証できないことを確認してください。この場合、認証プロセスでは、代替認証情報を使用してリモートコンピュータにアクセスできるようになります。
そのための最良の方法は、GFI LanGuardサーバーで新しいサービスアカウントを作成し、このアカウントをローカルの管理者グループに追加することです。このユーザーには、「GFIServiceAccount123」のように、他のコンピュータに存在しない固有の名前を付けるようにしてください。
このアカウントを使用して、LanGuardサービスを実行し、すべてのスキャンと修復の操作に代替認証情報を指定してください。
注: Microsoft Windows の機能であるユーザー アカウント制御 (UAC) は、代替の認証情報を使用する際の妨げになるため、無効にしてください。
確認方法
代替認証情報の有無にかかわらず(上記のシナリオに応じて)手動スキャンを実行し、正常に完了することを確認してください。