23.3 ユーザに関連付けられたアプリケーションの認証およびファイルシステムへのアクセス権

次の節で説明するように、ユーザに関連付けられたアプリケーションを管理する場合に使用されるApplication Launcherコンポーネント、認証方法、およびファイルシステムへのアクセス権は、Windows 98オペレーティングシステムとWindows 2000/XPオペレーティングシステムで異なります。

23.3.1 Windows 98 (ユーザに関連付けられたアプリケーション)

次の表は、ユーザに関連付けられたアプリケーションをWindows 98ワークステーションで管理する場合にApplication Launcherが使用するコンポーネント、認証方法、およびファイルシステムへのアクセス権を示しています。

表 23-1 Windows 98 (ユーザに関連付けられたアプリケーション)

イベント

実行担当コンポーネント

eDirectory認証

ワークステーションのファイルシステムへのアクセス権

NetWareサーバのファイルシステムへのアクセス権

Windowsサーバのファイルシステムへのアクセス権

配布

Application Launcher

eDirectoryユーザ(ユーザオブジェクト)

Windowsユーザ1

eDirectoryユーザに割り当てられたフォルダおよびファイルの権利2

Active Directoryユーザに割り当てられたアクセス許可3

起動(標準)

Application Launcher

eDirectoryユーザ(ユーザオブジェクト)

Windowsユーザ

eDirectoryユーザに割り当てられたフォルダおよびファイルの権利

Active Directoryユーザに割り当てられたアクセス許可

起動(強制実行4)

標準の起動と同じ

キャッシュ

Application Launcher

eDirectoryユーザ(ユーザオブジェクト)

Windowsユーザ

eDirectoryユーザに割り当てられたフォルダおよびファイルの権利

Active Directoryユーザに割り当てられたアクセス許可

アンインストール

Application Launcher

eDirectoryユーザ(ユーザオブジェクト)

Windowsユーザ

対象外

対象外

1 Windows 2000/XPとは異なり、Windows 98オペレーティングシステムでは個別ユーザのためのファイルシステムセキュリティが提供されていません。各Windows 98ユーザアカウントは、ローカルファイルシステムに対してフルアクセスを持ちます。したがって、Application Launcherは必要とするすべてのファイルシステムアクセス権を持つことになります。

2 NetWareサーバファイルの権利は、アプリケーションオブジェクトを通じて割り当てることができます([共通]タブ>[ファイル権利]ページ)。アプリケーションオブジェクトに関連付けられたすべてのオブジェクトがこの権利を受け取ります。ユーザオブジェクトを通じて直接ユーザに権利を割り当てることもできますし([Rights to Files and Folder (ファイルおよびフォルダに対する権利)]タブ>[Trustee File System Rights (ファイルシステムに対するトラスティ権利)]ページ)、適切な権利がすでに割り当てられたグループにユーザを追加するなど、その他の方法を使用することもできます。

3 Windowsサーバファイルの許可は、ユーザのActive Directoryアカウントを通じて割り当てる必要があります。このアカウントではユーザのeDirectoryアカウントと同じユーザ名とパスワードを使用する必要があります。ユーザ、ワークステーション、Middle Tier Server(使用する場合)、およびWindowsサーバは、同じWindowsドメインのメンバーであることが必要です。Novell DirXMLを使用してeDirectoryとActive Directoryの間でユーザアカウント情報を同期する方法については、『Novell ZENworks 7 Desktop Managementインストールガイド』の「Windowsネットワーク環境でのZENworks 7 Desktop Managementのインストール」の「Nsure Identity Manager 2.02 Bundle Editionのインストール」を参照してください。

4 [強制実行]を選択すると、アプリケーションが利用可能になった後に自動的に配布されます。アプリケーションの強制実行の設定について詳細は、[関連付け]ページを参照してください。

23.3.2 Windows 2000/XP (ユーザに関連付けられたアプリケーション)

次の表は、ユーザに関連付けられたアプリケーションをWindows 2000/XPワークステーションで管理する場合にApplication Launcherが使用するコンポーネント、認証方法、およびファイルシステムへのアクセス権を示しています。

表 23-2 Windows 2000/XP (ユーザに関連付けられたアプリケーション)

イベント

実行担当コンポーネント

eDirectory認証

ワークステーションのファイルシステムへのアクセス権

NetWareサーバのファイルシステムへのアクセス権

Windowsサーバのファイルシステムへのアクセス権

配布

NALサービス

eDirectoryユーザ

Windowsシステムユーザ1

eDirectoryユーザに割り当てられたフォルダおよびファイルの権利2

Active Directoryユーザに割り当てられたアクセス許可3

起動(標準)

Application Launcher

または

NALサービス(保護あり/保護なしのシステムユーザとして実行した場合4)

eDirectoryユーザ

Windowsユーザ

または

Windowsシステムユーザ(保護あり/保護なしのシステムユーザとして実行した場合)

eDirectoryユーザに割り当てられたフォルダおよびファイルの権利

Active Directoryユーザに割り当てられたアクセス許可

起動(強制実行5)

標準の起動と同じ

キャッシュ

NALサービス

eDirectoryユーザ

Windowsシステムユーザ

eDirectoryユーザに割り当てられたフォルダおよびファイルの権利

Active Directoryユーザに割り当てられたアクセス許可

アンインストール

NALサービス

eDirectoryユーザ

Windowsシステムユーザ

対象外

対象外

1 Application Launcherとその関連プログラム(NALサービスおよびWorkstation Helper)を正しく機能させるには、Windowsシステムユーザアカウントがワークステーションの全領域に対する完全な権利を持つ必要があります。デフォルトでは、このアクセス権はAdministratorsグループのメンバーであるシステムユーザに与えられます。Administratorsグループまたはシステムユーザアカウントに与えられるこのデフォルトの権利を制限しないでください。

さらに、Application Launcherでは、ユーザのWindowsアカウントが次の権利を有することが必要です。

  • NALキャッシュディレクトリ(通常はc:\nalcache)への読み取りアクセス権以上の権限。詳細については、セクション 24.2, NALキャッシュに対するファイルシステム権利を参照してください。
  • ユーザの一時ディレクトリ(通常はc:\documents and settings\username\local settings\temp)へのフルコントロールアクセス。
  • ユーザの一時ディレクトリ(通常はc:\documents and settings\username\application data\microsoft\crypto)へのフルコントロールアクセス。これは、ユーザがネットワーククライアントなしでデスクトップ管理エージェントを使用している場合にのみ必要です。
  • HKEY_CURRENT_USER\ Software\NetWare\NAL\.1.0レジストリキーへの読み取り\書き込みの権限
  • HKEY_LOCAL_MACHINE\Software\NetWare\NAL\1.0レジストリキーへの読み取りの権限
  • HKEY_LOCAL_MACHINE\Software\Novell\ZENworksレジストリキーへの読み取りの権限

2 NetWareファイルシステムの権利は、アプリケーションオブジェクトを通じて割り当てることができます([共通]タブ>[ファイル権利]ページ)。アプリケーションオブジェクトに関連付けられたすべてのユーザがこの権利を受け取ります。ユーザオブジェクトを通じて直接ユーザに権利を割り当てることもできますし([Rights to Files and Folder (ファイルおよびフォルダに対する権利)]タブ>[Trustee File System Rights (ファイルシステムに対するトラスティ権利)]ページ)、適切な権利がすでに割り当てられたグループにユーザを追加するなど、その他の方法を使用することもできます。

3 Windowsサーバファイルの許可は、ユーザのActive Directoryアカウントを通じて割り当てる必要があります。このアカウントではユーザのeDirectoryアカウントと同じユーザ名とパスワードを使用する必要があります。ユーザ、ワークステーション、Middle Tier Server(使用する場合)、およびWindowsサーバは、同じWindowsドメインのメンバーであることが必要です。Novell DirXMLを使用してeDirectoryとActive Directoryの間でユーザアカウント情報を同期する方法については、『Novell ZENworks 7 Desktop Managementインストールガイド』の「Windowsネットワーク環境でのZENworks 7 Desktop Managementのインストール」の「Nsure Identity Manager 2.02 Bundle Editionのインストール」を参照してください。

4 保護されたシステムユーザおよび保護なしのシステムユーザの設定は、Windows 2000/XP上で実行するアプリケーションにのみ適用されます。この両設定により、アプリケーションはログインユーザとして“ユーザ”空間で実行するのではなく、Windowsシステムユーザとして“システム”空間で実行します。これらの設定は、ワークステーションのファイルシステムに対して制限されたアクセス権を持つユーザでも、アプリケーションの実行を可能にするためのものです。詳細については、[使用環境]ページを参照してください。

5 [強制実行]を選択すると、アプリケーションが利用可能になった後に自動的に配布されます。アプリケーションの強制実行の設定について詳細は、[関連付け]ページを参照してください。