none
ActiveDirectory のグループポリシーによるアプリケーションソフトのインストール RRS feed

  • 質問

  • お世話になります。

    以下のActiveDirectory環境を構築しています。
     ・ドメインコントローラ    WindowsServer2008R2 Standerd
     ・クライアント        Windows7 Professional(32bit)SP1
     ・ユーザーアカウントの権限  一般

    このような環境下で、グループポリシーを作成し、アプリケーションソフトを管理者ID及びパスワードを入力することなくインストールしたいと思っています。
    なお、作成したグループポリシーの概要は次のとおりです。
     ① [ユーザーの構成]-[ポリシー]-[Windowsの設定]-[スクリプト(ログオン/ログオフ)]のログオンスクリプトにバッチファイルを追加
     ② 上記①のバッチファイルはドメインサーバ上に登録

    現状は、ログインするとインストーラは起動するのですが、管理者ID及びパスワードの入力を求められます。
    管理者ID及びパスワードの入力することなくインストールする設定について、ご教示頂けないでしょうか。

    よろしくお願いいたします。

    2014年3月27日 1:29

回答

  • チャブーンです。

    現状といたしましては、GPOはドメインにリンクさせておりましたので、「セキュリティーフィルター処理」にグループを指定したら適用されるようになった(gpresult /zで確認)のですが、PC再起動後にバッチファイルが実行されません。

    これですが、スタートアップポリシー内にインストールファイルを置いたという前提で、以下のようにバッチを書いてみたらどうでしょうか?簡単に確認したところ、インストール自体は自動で行われました。

    @echo off
    cmd.exe /C "AdbeRdr11006_ja_JP.exe /sAll /rs"
    http://harumasa.way-nifty.com/blog/2010/11/adobe-reader-x-.html

    ちなみに、コンピュータオブジェクトに対してもセキュリティフィルターはかけられます。<コンピュータ名>$というアカウント名になるのですが、オブジェクトピッカーの選択対象で「コンピュータ」を追加してから検索する必要があります。

    • 回答としてマーク JohoKanri 2014年3月29日 7:42
    2014年3月29日 6:07
    モデレータ

すべての返信

  • チャブーンです。

    Active Directoryによるログオンスクリプトでは、ユーザに割り当てた場合ユーザ権限で動作しますので、管理者権限が必要であればインストールできません(権限の昇格を求められます)。これを避けるもっとも簡単な方法は、「コンピュータ」に対してスタートアップスクリプトを割り当てることです。この場合ローカルシステムアカウントの権限で自動インストールされます。


    2014年3月27日 2:15
    モデレータ
  • チャブーンさん、早々のご返信ありがとうございます。

    ご指摘のとおり[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[スクリプト(スタートアップ/シャットダウン)]のスタートアップにバッチファイルを追加し、ローカルコンピュータ上でグループポリシーを強制適用(gpupdate /force)後にシャットダウン、起動したところ、バッチファイルが起動しなかったため、、その結果を確認(gpresult /z)したところ、『次の GPO はフィルターで除外されたため適用されませんでした。』とメッセージが表示されました。
    GPO が適用されない考えられる原因があればご教示頂けないでしょうか。

    因みに、グループポリシーの管理画面における「セキュリティフィルター処理」には、コンピュータ名を追加しました。
    また、バッチファイルのパスについては、「¥¥コンピュータ名¥*.bat」としていますが、PCの起動時であるため、Windowsの認証前で「¥¥コンピュータ名¥*.bat」を認識できないのではないかという疑問があります。

    2014年3月27日 2:55
  • チャブーンです。

    GPOが適用できない件ですが、おそらくGPOのリンク先OUが適切でない、のではないでしょうか?もともとユーザに適用させるようにGPOをリンクしていたのなら、変更するべきは「コンピュータオブジェクトが含まれるOU」に該当ポリシーのリンク先を変更することです。リンク先を変えずにフィルターだけ設定したため、(該当コンピュータがふくまれないため)ポリシーが除外されてしまったのでないでしょうか?

    バッチファイルですが、該当グループポリシー内の指定フォルダ(グループポリシー)に直接置けば実行自体はできるはずですが。スタートアップポリシー設定画面内で[ファイルの表示]ボタンをクリックすると、エクスプローラでそのフォルダを開いてくれます。

    2014年3月28日 1:51
    モデレータ
  • チャブーンさん、たびたびのご返信ありがとうございます。

    現状といたしましては、GPOはドメインにリンクさせておりましたので、「セキュリティーフィルター処理」にグループを指定したら適用されるようになった(gpresult /zで確認)のですが、PC再起動後にバッチファイルが実行されません。

    因みに、バッチファイル及びAdobeReaderのインストール用ファイルを次のフォルダに登録ました。
    『\\(ドメイン名)\SysVol\(ドメイン名)\Policies\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\Machine\Scripts\Startup』

    また、試しに「セキュリティーフィルター処理」を変更せず、GPOをユーザに適用させるとバッチファイルが実行されます。色々なことを試みてはいるのですがうまくいきません。
    お忙しいところ大変申し訳ございませんが、ご教授頂けたらと思います。よろしくお願いします。

    2014年3月29日 3:29
  • チャブーンです。

    現状といたしましては、GPOはドメインにリンクさせておりましたので、「セキュリティーフィルター処理」にグループを指定したら適用されるようになった(gpresult /zで確認)のですが、PC再起動後にバッチファイルが実行されません。

    これですが、スタートアップポリシー内にインストールファイルを置いたという前提で、以下のようにバッチを書いてみたらどうでしょうか?簡単に確認したところ、インストール自体は自動で行われました。

    @echo off
    cmd.exe /C "AdbeRdr11006_ja_JP.exe /sAll /rs"
    http://harumasa.way-nifty.com/blog/2010/11/adobe-reader-x-.html

    ちなみに、コンピュータオブジェクトに対してもセキュリティフィルターはかけられます。<コンピュータ名>$というアカウント名になるのですが、オブジェクトピッカーの選択対象で「コンピュータ」を追加してから検索する必要があります。

    • 回答としてマーク JohoKanri 2014年3月29日 7:42
    2014年3月29日 6:07
    モデレータ
  • チャブーンさん、ご返信ありがとうございました。

    ご指示頂いたとおりバッチファイルを作成し、再度、オブジェクトピッカーの選択対象で「コンピュータ」を追加してから検索して実行してみたところ、インストールされたことをご報告させて頂きます。
    大変助かりました。ありがとうございました。

    2014年3月29日 7:46