Microsoft Windows のグループポリシーを使用した導入

2024年3月18日

ID 92461

次の条件を満たしている場合は、Microsoft Windows のグループポリシーを使用してネットワークの初期導入を実行してください:

  • デバイスが Active Directory ドメインに属している。
  • 対象デバイスへのネットワークエージェントの導入を開始する前に、導入スキームを使用して、対象デバイスの次回の定期的な再起動を待機できる(または、これらのデバイスに対して、Windows のグループポリシーを強制的に適用できる)。

この導入スキームは以下で構成されます:

  • Microsoft インストーラー形式(MSI パッケージ)のアプリケーション配布パッケージは、共有フォルダー(対象デバイスの LocalSystem アカウントに読み取り権限が付与されているフォルダー)に置かれています。
  • インストールオブジェクトは、Active Directory のグループポリシー内で配布パッケージ用として作成されます。
  • インストール対象を設定するには、対象デバイスが含まれている、組織単位(OU)またはセキュリティグループを指定します。
  • 対象デバイスの次回のドメインへのログイン時に(デバイスユーザーがシステムにログインする前)、必要なアプリケーションの有無を調べるために、インストールされているすべてのアプリケーションがチェックされます。アプリケーションが見つからない場合は、ポリシーで指定したリソースから配布パッケージがダウンロードされてインストールされます。

この導入スキームの利点は、オペレーティングシステムの読み込み時に、ユーザーがシステムにログインする前であっても、割り当て済みアプリケーションが対象デバイスにインストールされることです。十分な権限を付与されたユーザーがアプリケーションを削除した場合でも、次回のオペレーティングシステム起動時にアプリケーションが再インストールされます。一方、この導入スキームの欠点は、デバイスが再起動されるまで、グループポリシーに対して管理者が行った変更内容が有効にならないことです(別のツールが含まれていない場合)。

ネットワークエージェントとその他のアプリケーションは、それぞれのインストーラーが Windows インストーラー形式である場合、グループポリシーを使用して両方をインストールできます。

この導入スキームを選択する際は、Windows のグループポリシー適用後に、ファイルをデバイスにコピーする元のファイルリソースの負荷についても評価する必要があります。

Kaspersky Security Center のリモートインストールタスクを使用した Microsoft Windows のポリシーの処理

Microsoft Windows のグループポリシーを使用してアプリケーションをインストールする最も簡単な方法は、Kaspersky Security Center のリモートインストールタスクのプロパティで[Active Directory のグループポリシーにパッケージのインストールを割り当てる]をオンにすることです。この場合、タスクの実行時に管理サーバーが自動的に次の処理を実行します:

  • Microsoft Windows のグループポリシー内に必要なオブジェクトを作成する。
  • 専用のセキュリティグループを作成し、そのグループに対象デバイスを含めてから、そのデバイスに選択したアプリケーションのインストールを割り当てる。タスクを実行するごとに、実行時点でのデバイスのプールに従って、セキュリティグループのセットをアップデートする。

この機能を有効にするには、タスクのプロパティで、Active Directory のグループポリシーで書き込み権限が付与されたアカウントを指定します。

同じタスクを使用してネットワークエージェントと別のアプリケーションの両方をインストールする場合は、[Active Directory のグループポリシーにパッケージのインストールを割り当てる]をオンにすることにより、アプリケーションがネットワークエージェントのみに対応するインストールオブジェクトを Active Directory のポリシー内に作成します。別のアプリケーションがデバイスにインストールされるとすぐに、ネットワークエージェントのツールを使用して、タスクで選択した 2 番目のアプリケーションがインストールされます。Windows のグループポリシーを使用してネットワークエージェント以外のアプリケーションをインストールする場合は、このインストールパッケージに対してのみ(ネットワークエージェントパッケージなしで)インストールタスクを作成する必要があります。Microsoft Windows のグループポリシーではインストールできないアプリケーションもあります。インストールの不可を確かめるには、アプリケーションのインストール方法に関する情報を参照してください。

Kaspersky Security Center のツールを使用して、グループポリシー内に必要なオブジェクトを作成する場合は、インストールパッケージのソースとして Kaspersky Security Center の共有フォルダーが使用されます。導入の計画時には、このフォルダーの読み取り速度と、デバイスの数およびインストールする配布パッケージのサイズを相互に関連付ける必要があります。高速の専用ファイルリポジトリで Kaspersky Security Center の共有フォルダーを見つける場合に便利です。

Kaspersky Security Center を使用した Windows のグループポリシーの自動作成は、使いやすさに加えて次の利点があります:ネットワークエージェントのインストールを計画している際には、インストールの完了後にデバイスが自動的に移動される先の Kaspersky Security Center の管理グループを簡単に指定できます。このグループは、新規タスクウィザードまたはリモートインストールタスクの設定ウィンドウで指定できます。

Kaspersky Security Center を使用して Windows のグループポリシーを処理する際には、セキュリティグループを作成することにより、グループポリシーオブジェクト用のデバイスを指定できます。Kaspersky Security Center は、セキュリティグループの内容をタスク内にあるデバイスの現在のセットと同期します。グループポリシーの処理に他のツールを使用する際には、グループポリシーのオブジェクトを Active Directory で選択した OU に直接関連付けることができます。

Microsoft Windows のポリシーを使用した、アプリケーションのサポートされていないインストール

管理者は自分用に、Windows のグループポリシー内にインストールに必要なオブジェクトを作成できます。この場合、管理者は Kaspersky Security Center の共有フォルダーに格納されているパッケージへのリンクを指定するか、またはこのパッケージを専用ファイルサーバーにアップロードしてから、そのパッケージへのリンクを指定することができます。

可能なインストールシナリオは次の通りです:

  • 管理者がインストールパッケージを作成し、管理コンソールでそのプロパティをセットアップします。グループポリシーオブジェクトにより、Kaspersky Security Center の共有フォルダーに格納されている、このパッケージの MSI ファイルへのリンクを指定します。
  • 管理者がインストールパッケージを作成し、管理コンソールでそのプロパティをセットアップします。次に、管理者はこのパッケージの EXEC サブフォルダー全体を、Kaspersky Security Center の共有フォルダーから組織の専用ファイルリソースのフォルダーにコピーします。グループポリシーオブジェクトにより、組織の専用ファイルリソースのサブフォルダーに格納されている、このパッケージの MSI ファイルへのリンクを指定します。
  • 管理者がインターネットを介してアプリケーション配布パッケージ(ネットワークエージェント用も含む)をダウンロードし、そのパッケージを組織の専用ファイルリソースにアップロードします。グループポリシーオブジェクトにより、組織の専用ファイルリソースのサブフォルダーに格納されている、このパッケージの MSI ファイルへのリンクを指定します。インストール設定は、MSI プロパティを設定するか、または MST 変換ファイルを設定することによって定義されます。

関連項目:

Active Directory グループポリシーを使用したアプリケーションのインストール

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。