Kaspersky Security Center のリモートインストールタスクを使用した強制的な導入
次回対象デバイスがドメインにログインするのを待機せずに、ネットワークエージェントまたはその他のアプリケーションの導入を即座に開始する必要がある場合、または Active Directory ドメインに属していない対象デバイスがすべて使用可能である場合は、Kaspersky Security Center のリモートインストールタスクを使用して、選択したインストールパッケージを強制的にインストールできます。
この場合、対象デバイスを指定する方法として、明示的に指定する(リストを使用)、対象デバイスが属する Kaspersky Security Center の管理グループを選択する、または特定の基準に基づいてデバイスの選択内容を作成するのいずれかを使用できます。インストールの開始時刻は、タスクのスケジュールによって定義されます。タスクのプロパティで[未実行のタスクを実行する]設定をオンにすると、対象デバイスの電源をオンにした直後または対象デバイスを対象管理グループに移動した際に、タスクを実行できます。
この種別のインストールでは、各デバイスでファイルを管理リソース(admin$)にコピーし、サポートされているサービスのリモート登録を実行します。この場合、次の条件を満たしている必要があります:
- デバイスは、管理サーバー側またはディストリビューションポイント側のいずれかから接続可能である。
- ネットワーク内で、対象デバイスの名前解決が正常に機能している。
- 対象デバイスで、管理共有(admin$)が有効のままである。
- 対象デバイスで、サーバーシステムサービスが実行中である(既定では、実行中)。
- Windows ツールを使用したリモートアクセスを許可するために、ポート TCP 139、TCP 445、UDP 137、および UDP 138 が開かれている。
- 対象デバイスで、簡易ファイルの共有モードが無効にされている。
- 対象デバイスでは、アクセス共有とセキュリティモデルを[標準 – ローカルユーザーをユーザー自身として認証する]として設定しており、[ゲストのみ – ローカルユーザーをゲストとして認証する]として設定していない。
- 対象デバイスをドメインに属させるか、または管理者権限を付与された統一アカウントを対象デバイスで前もって作成する。
ワークグループ内のデバイスは、riprep.exe ユーティリティを使用して上記の要件に従うことにより調整できます。これについては、カスペルスキーのテクニカルサポートサイトで説明しています。
Windows Server 2003 以降の Active Directory ドメインに参加していないデバイスにネットワークエージェントまたはその他のアプリケーションを正常に展開するには、そのデバイスで UAC を無効にする必要があります。UAC は、ネットワークエージェントやその他のアプリケーションの強制導入に必要な admin$ にローカル管理アカウントがアクセスできない原因の 1 つです。
まだいずれの Kaspersky Security Center の管理グループにも割り当てられていない新しいデバイスへのインストール時には、リモートインストールタスクのプロパティを開き、ネットワークエージェントのインストール後にデバイスの移動先の管理グループを指定できます。
グループタスクの作成時には、選択したグループ内のネストされたすべてのグループにあるすべてのデバイスに対して、各グループタスクが影響を与えることに注意してください。このため、サブグループ内でインストールタスクが重複しないようにする必要があります。
自動インストールは、アプリケーションの強制インストール用のタスクを作成するための簡単な方法です。この処理を実行するには、管理グループのプロパティを開いてから、インストールパッケージのリストを開き、このグループのデバイスにインストールする必要があるパッケージを選択します。そうすると、このグループとそのすべてのサブグループ内にあるすべてのデバイスに、選択したインストールパッケージが自動的にインストールされます。パッケージのインストールに要する時間は、ネットワークのスループットとネットワーク接続されているデバイスの合計数に応じて異なります。
管理サーバーがデバイスに直接アクセスできない場合は、強制インストールを適用することもできます。たとえば、デバイスが分離されたネットワーク上に配置されている場合や、管理サーバーが DMZ にあり、デバイスがローカルネットワーク上に配置されている場合が考えられます。
インストールパッケージを対象デバイスに配信する際に管理サーバーの負荷を軽減するには、インストールタスクでディストリビューションポイント経由のインストールを選択できます。ただし、このインストール方法では、ディストリビューションポイントとして動作しているデバイスの負荷が大幅に増大するのでご注意ください。したがって、ディストリビューションポイントの要件を満たすデバイスを選択することを推奨します。ディストリビューションポイントを使用する場合は、対象デバイスをホストする分離された各サブネットに配布ポイントが存在することを確認する必要があります。
小容量チャネルを介して管理サーバーと通信するサブネット内のデバイスへのインストールを実行する際に、同じサブネット内のデバイス間で大容量チャネルが使用できる場合は、ディストリビューションポイントをローカルインストールのセンターとして使用することも役に立ちます。
%ALLUSERSPROFILE%\Application Data\KasperskyLab\adminkit フォルダーのパーティションの空きディスク容量は、インストールされたアプリケーションの配布パッケージの合計サイズより何倍も大きな容量にする必要があります。