GPO Provisioning Toolを使用したエージェント展開 (4218876)

KACEシステム管理アプライアンス(SMA) Windows Agent GPO Provisioning Tool はKACE SMAエージェントをWindowsのコンピュータにインストールするために使用されるWindowsベースのツールです。
このツールを使うと、Active Directoryとグループポリシー からインストール設定を配布し、インストールを実行させることができます。
コンピュータがActiveDirectoryに認証されているとき、このツールは既存のGPOを作成または変更してSMAエージェントをインストールのためのGPOを作成・変更できます。

最初にターゲットコンピュータのグループポリシーをリフレッシュします。このプロセスの完了後、このGPOを適用するときに新しいグループポリシーのクライアント側拡張DLLがコンピュータが登録されます。
次にコンピュータがグループポリシーをリフレッシュする時に、Windowsは新しく登録されたKACE SMA Windows Agentをインストールするクライアント側拡張DLLを起動します。

メモ: このGPOツールには複数のバージョンがあります。ご使用のSMAバージョンに合わせて適切なバージョンのGPOツールを取得する必要があります。

GPOツールは SMAのダウンロードページ からダウンロードできます。

重要:
KACE Systems Management Appliance GPO Provisioning Tool 2.0.124.0 は11.0以上のバージョン向けです。
KACE GPO Tool 1.0.122 は KACE SMA 8.0およびそれ以上のバージョン向けです。 
KACE GPO Tool 1.0.117 は KACE SMA 7.2およびそれ以前のバージョン向けです。

このトピックの詳細については、[トレーニングコースへのリンク]を参照してください。KACE-SMA Course 2 Installing the KACE SMA Agent-Web-based Training

注：このコースは英語でのみ提供されています

システム要件: このツールを使用してActiveDirectory上にGPOを構成をするための要件となります。（エージェントがインストールされるターゲットコンピュータの要件ではございません）

• Windows XP: グループポリシーコンソールがWindowsOSにインストールされて有効化されている必要があります。http://www.microsoft.com/en-us/download/details.aspx?id=21895

• Windows Vista とそれ以降: Remote Server Administration Tools（RSAT）が有効となっており、WindowsServer 2012 R2、WindowsServer 2012、Windows Server 2008, WindowsServer 2008 R2 に対してIT管理者がWindows8.1/Windows8/WindowsVista,あるいはWindows7が動作している1台のコンピュータから遠隔で"役割と機能"を管理できること。
  ADサーバの各バージョンに対するRSATの要件はそれぞれのサーバーOSの情報をご確認ください。
  http://social.technet.microsoft.com/wiki/contents/articles/2202.remote-server-administration-tools-rsat-for-windows-client-and-windows-server-dsforum2wiki.aspx
• .NET Framework 3.5

• GPOを設定するActiveDirectoryサーバーはWindows Server 2003 または それ以上の機能レベルをもつこと

• 配布共有
  • メモ: ターゲットコンピュータからeveryoneユーザでアクセス可能な共有が使えることをご確認ください。
    たとえばエージェントインストーラーのmsiファイルをNETLOGON共有に配置することは意図しておりません。
    そのような共有の使用は将来のアップグレードにおいて失敗の原因となる可能性があります。
    エージェントインストーラーを配置する配布共有の場所は永続的にアクセス可能であるべきです。
    MSIインストーラーではソフトウェアのインストールおよびアンインストールのためにそのインストーラーファイル（MSI）にアクセスできる必要があります。
    もし共有にアクセスできないとmsiexecはアンインストールが行えない可能性があります。

インストール:

MSIファイルを起動して KACE SMA Windows Agent GPO Provisioning Toolsをインストールします。

使い方:

1.インストールされたツールをスタートメニューから起動します。

2. 展開ウィザードが起動しステップに従ってソフトウェア展開のためのGPOを構成して適用します。

3. ウィザードは状況により可能であれば要求される設定の数を減らすようにデフォルトの使用を試みます。

メモ: ツールにはユーザーが編集権限を持つGPOだけが表示されます。

使用例

・作業端末 Windows7SP1
（接続先のADに参加しておりドメイン管理ユーザーでログオンしていること）
・ADサーバ: WindowsServer2008R2
・ドメイン内の KTESTPCというOUに属しているPCへ配布することを想定しています。

1. RSATのインストール

各OS向けのサーバー管理ツールを使用できるようにしてください。
例 Windows 7 Service Pack 1 (SP1) 用のリモート サーバー管理ツール
https://www.microsoft.com/ja-jp/download/details.aspx?id=7887


2.GPO管理コンソールの有効化

コントロールパネル｜プログラム｜プログラムと機能 にある Windowsの機能の有効化または無効化 を実行して以下の機能を有効化します。
リモートサーバー管理ツール ｜機能管理ツール ｜グループポリシー管理ツール にチェックをいれてOKします。

3. ADへの接続確認

構成後、コントロールパネル｜管理ツール から「グループポリシーの管理」を起動します。

該当のフォレストおよびドメイン下のグループポリシーなどが見えることを確認します。

4. KACE SMA Windows Agent GPO Provisioning Tool インストール

ダウンロードしたK1000 Windows Agent GPO Provisioning Toolのインストーラーをダブルクリックします。
使用許諾にチェックをいれインストールを進めます。
完了したらFinishボタンを押してインストール画面を閉じます。

5. ツールの起動

スタートメニューから  Quest | Windows Agent GPO Provisioning Tool を起動します。

6. GPO Provisioning Tool を用いた GPOの構成

6-1. Getting Started (Step 1 of 8)
Nextを押します。

6-2. GroupPolicy Object (Step 2 of 8)

割り当てたいOUを選択した状態で [New GPO] ボタンを押し、名前の入力を行いOKを押します。
グループポリシーオブジェクト（Group Policy Objects）にGPOが作成されます。
このGPO選択して[Next]を押します。


6-3.Provisioning Action (Step 3 of 8)

インストールするか削除を行うGPOを作成するのかを選択します。

Install agent software を選択して[Next]を押します。

6-4. SMA Server Hostname (Step 4 of 8)

名前解決が可能であることを確認したうえでKACE SMAのホスト名を指定します。ネットワーク設定の K1000Webサーバ名 の値を入力しするようにしてください。

例: k1smahv.kace.lab

[Next]を押して次へ進みます。

6-5. KACE SMA Agent Token (Step 5 of 8)

エージェントインストーラーにつけるトークンを指定します。設定 | エージェントトークン から探して指定します。

例: rofmWvHGbjno9N2XQ6x9nti0FaSqzdgZCWsI_P4Sh-ARdnnc_kw3dQ

[Next]を押して次へ進みます。

6-6. Distribution Server (Step 6 of 8)

配布ポイントのフォルダを指定します。
\\fileserver.ad.local\ などのUNCパスを入力しBrowseボタンを押してフォルダを指定します

例： \\fileserver.ad.local\share1\folder

GPOの設定を行う作業者は このパスへ書き込み/読み取りでアクセスできる必要があります。
クライアントマシンは読み取りでアクセスできる必要があります。

警告がでなければ、[Next]を押して次へ進みます。

6-7. AgentMSI (Step 7 of 8)

Importを押してローカルのフォルダから選択します。
C:\temp\ampagent-11.0.119-x86.msi

[Next]を押して選択します。

6-8. Summary (Step 8 of 8)

サマリが表示されます。
K1AgentDeployCSE_x86/AMD64.dll がクライアントサイド拡張用のファイルです。

[Finish]を押し,次のメッセージが表示されたらQuitボタンを押して終了します。

You have successfully configured and saved your GPO deployment settings.
Would you like to configure another?

また、 \\fileserver.ad.local\share1\folder に 以下3つのファイルがあることを確認します。
ampagent-x.x.xxxxx-x86.msi
K1AgentDeployCSE_x86.dll
K1AgentDeployCSE_AMD64.dll

7. 割り当て

7-1. 作成したGPOの確認

グループポリシーの管理ツールを開き、最新の状態を表示します（操作->最新の状態に更新 ）。
グループポリシーオブジェクトに6-2でつけた名前のGPOがあることを確認します。

7-2. GPOのリンク

適用したいコンテナ/OUを選択して、右クリックして、既存のGPOのリンク を選択します。
今回の例では KTESTPCに割り当てます。

7-3. GPOの選択

指定するドメインおよびグループポリシーオブジェクトを選択してOKします。
OU KTESTPC内に指定したGPOがリンクされていることを確認します。


注意：ドメイン直下などに配置しますと、GPOのデフォルトではスコープのセキュリティフィルタにAuthenticated Usersが設定されており、
割り当てられたコンテナ/OU内の全ユーザーに対して意図せずにGPOが適用される場合があります。
適用対象を絞りたい場合は、スコープからAuthenticated Usersを削除し、必要なユーザーまたはコンピュータを追加するなど対処が必要な場合があります。
詳細についてはシステム管理者にご相談ください。

8.配布

対象のクライアント上で、gpupdate /forceなどを実行するか、マシンを再起動します。
数回再起動が必要な場合があります。

[補足]
次の手順でGPOが適用されたかどうかを確認できます。

「管理者：コマンドプロンプト」にて以下のコマンドを実行します。
gpresult /R
「コンピュータ設定」の「適用されたグループポリシーオブジェクト」の下に指定したGPOの名前があることを確認します。

またインストールが成功している場合アプリケーションイベントログには以下のようなイベントが出力されます。
ID 1704
ソースSceCli
メッセージ: グループポリシーオブジェクト セキュリティポリシーは正しく適用されました。

ID 1033
ソース MsiInstaller
メッセージ: Windows インストーラーにより製品がインストールされました。製品名: Dell KACEエージェント、製品バージョン6.2.1025、製品の言語:1041、製造元Dell Inc,インストールの成功またはエラーの状態: 0

再起動してもクライアントがインベントリにチェックインされてこない場合、以下のナレッジをご確認ください。
インベントリが更新されないまたはコンピュータインベントリに現れない場合の調査指針 (4257190)