質問

2011年07月19日 16時20分
  • クライアント環境へのソフトウェア展開ソリューション

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

お世話になっております。
当方、300クライアント(WindowsXP)ほどを管理している者です。
これまで利便性を考慮し、各クライアントにadmin権限を付与しておりました
が、コンプライアンスという奴のお蔭でこれを外すことになりました。
今後、ソフトウェアの配布・インストール等を手動ですべてやると
考えると気が遠くなりそうです。
このようなクライアントに管理者権限を外しながらもリモートで
ソフトの配布・インストールを可能とするソリューションは
ないのでしょうか?

良い知恵ございましたらお教えいただきたく何卒よろしくお願いいたします。

6件の回答があります

回答

LanScopeCATやskyseaなどの端末管理ソフトウェアからであれば行えるはずです。

コンプライアンスの観点からであれば、このような製品を選定して立案してみてはいかがでしょうか。
単にadminを剥奪した結果、非常に運用が面倒になったので・・・と書くよりは見栄えもいいかと。

http://www.motex.co.jp/cat6/index.html
http://www.skyseaclientview.net/

どれもそれなりのお値段がしますので、この点はなんとも(笑

2011年07月19日 16時54分

回答

私のところでは”各人が自分のパソコンに対して責任を持て”ということからadmin権限で使わせています。 ですのでパソコンの設定を壊そうがなにしようが個人の責任でして情シス員に泣き付いてきても冷たく「じゃリカバリインストールします」って言います。
ソフトウェアの配布もインストールと設定の説明書は渡しますが作業は”自分でやれ”です。

コンプライアンスという奴のお蔭でこれを外すことになりました
コンプライアンスは法令順守ですが法律のどこにも「admin権限はダメ」などとは書いてありません。すべてはその会社の自主管理形態なので「admin権限を付与する」でも何の問題もありません。(というかそれによって起きる問題も含めて自社管理せよということです。)

2011年07月19日 17時18分

回答

基本はActive Directoryドメインを構築し、グループポリシーで配布します。
130台程度ですが、問題なく管理できています。

ただし、いったんadmin権限をつけたマシンのセキュリティはないも同然(1)ですので、フォーマットした雛形を1つつくり、HDDコピーで複製していく必要があるでしょう。
(
1)システムアカウントやadminアカウントのレジストリやスタートアップに不正なプログラムの起動を設定しておく、システム権限で実行されるexeを差し替えておく等々、いくらでもバックドアが作れます。

これまでドメイン環境を運用していないのであれば、新たにドメイン環境を構築し、セットアップし直したPCのみを参加させていけばよいでしょう。

すでにドメイン環境で運用しているのであれば、ドメイン管理者アカウントが汚染されている可能性も否定できません。
その場合は新しくドメインを立てて、旧ドメインが新ドメインを信頼するように信頼関係を結んでおいて、順次新ドメインのマシンを配布していくのをおすすめしておきます。

2011年07月19日 17時18分

回答

MS謹製ということで、こちらはいかがでしょうか。

あれ、AD環境ですか?ワークグループだと↓は使えないかもです

System Center Configuration Manager
http://www.microsoft.com/japan/systemcenter/configmgr/default.mspx

2011年07月20日 13時01分

回答

うちも社員にはUser権限でPCを利用してもらっています。

新規プログラムのインストールについては、以下の検討をしています。

1.
msiファイルが入手可能なら、GPOのソフトウェア設定〜ソフトウェア
インストールで強制インストールor配布


サイレントインストールが可能なら、GPOのスタートアップスクリプトで、
(管理者権限が付与されると思います)

3.
上記がだめなら、CreateProcessWithLogonW というAPIを利用したExe
ファイルを作成し、このExeの中で、管理者権限を偽装してsetupプログラム
をキックさせる。

2と3では、すでにインストール済みかどうかのチェックもあった方が
ベターです。

**

AssetViewの自動インストール機能で、そようなこともできるのかも
しれません。

2011年07月20日 19時24分

回答

Active Directory配下に300台のクライアントがいるのかわかりませんので何とも言えませんが、もしActive Directoryを使っているようでしたらこちらをぞうぞ。

http://www.atmarkit.co.jp/fwin2k/win2ktips/963msiaddeploy/msiaddeploy.html

グループポリシー使ってコンピュータに配布するのが味噌です。
(ご質問の内容から推察しますとユーザーに配布では意味がないです。)

配布するソフトウェアにMS Office製品が含まれているようであれば、OfficeのAdminファイルも作ればかなりの自動化できると思いますよ。
(実験してみてください。)

この方法であれば、ユーザーアカウントに強い権限を与えなくて済みます。
お試しを。

2011年07月22日 15時01分
yui

あなたもコメントしましょう!