JP1/Automatic Job Management System 3 構築ガイド1
WindowsのUAC機能を有効にしていると,ビルトインAdministratorを除く,すべてのAdministratorsグループのOSユーザーは,Administrators権限が無効な状態で動作します。JP1/AJS3では,Administrators権限を必要とするジョブ※が実行できなくなる場合があります。
- 注※
- PCジョブ,アクションジョブ,カスタムジョブ,およびWindows版のJP1/AJS3上で実行されるQUEUEジョブが該当します。jpqjobsubコマンドで実行するサブミットジョブも含まれます。
Administrators権限を必要とするジョブには,例えばnet startコマンドでサービスを開始するものなどがあります。UAC機能が有効な場合,Administrators権限を必要とするジョブを実行できるのは,ビルトインAdministratorおよびJP1/AJS3のサービスアカウントと同じOSユーザーです。
なお,「UAC機能有効時にAdministrators権限でジョブを実行するための設定」を有効にすることによって,UAC機能が有効の場合でもAdministratorsグループのOSユーザーでAdministrators権限が必要なジョブを実行できます。
ジョブ実行時のOSユーザーの種類とUAC機能が有効なときのジョブ実行の可否の関係を次の表に示します。
表6-33 ジョブ実行時のOSユーザーの種類とUAC機能有効時のジョブ実行の可否の関係
ジョブの実行先サービス
ジョブ実行時のOSユーザーの種類 Administrators権限の必要なジョブの実行可否 設定無効(デフォルト) 設定有効 [標準]を指定している場合 AdministratorsグループのOSユーザー ビルトインAdministrator ○ ○ ビルトインAdministrator以外 サービスアカウントと同じOSユーザー ○ ○ サービスアカウントと異なるOSユーザー × ○ Administratorsグループ以外のOSユーザー × × [キューレス]を指定している場合 AdministratorsグループのOSユーザー ビルトインAdministrator ○ ○ ビルトインAdministrator以外 サービスアカウントと同じOSユーザー × ○ サービスアカウントと異なるOSユーザー × ○ Administratorsグループ以外のOSユーザー × ×
- (凡例)
- ○:実行できる。
- ×:実行できない。
- 注意事項
- 設定を有効にする場合,JP1/Baseのユーザーマッピング機能で実行先ホストに登録されているOSユーザーの中で,ジョブを実行するすべてのOSユーザーを確認し,セキュリティポリシーで「バッチ ジョブとしてログオン」の権限を設定する必要があります。権限を設定していないOSユーザーでジョブを実行すると,Administrators権限が必要でないジョブもメッセージKAVU7201-EまたはKAVS1880-Eを出力して起動失敗となります。
また,「バッチ ジョブとしてログオンを拒否する」の権限を設定している場合も同様に,メッセージKAVU7201-EまたはKAVS1880-Eを出力してジョブが起動失敗となります。
- Windows Server 2003では,UAC機能有効のパラメーターの設定は有効になりません。
次に示す手順でUAC機能の設定を有効にしてください。
なお,この設定はジョブの実行先ホスト上で有効にしてください。
- <この項の構成>
- (1) 定義手順
- (2) 環境設定パラメーター一覧
- (3) 注意事項
(1) 定義手順
- Windowsの[コントロールパネル]−[管理ツール]−[ローカルセキュリティポリシー]で,ジョブを実行するすべてのOSユーザーに「バッチ ジョブとしてログオン」の権限を設定する。
ドメインユーザーの場合は,ドメインのセキュリティポリシーでも設定できます。また,「バッチ ジョブとしてログオンを拒否する」の権限が設定されていないことも確認してください。
- Windowsの[コントロールパネル]の[管理ツール]で[サービス]を選択し,次に示すサービスを停止する。
- ジョブの実行先サービスに[標準]を指定している場合
JP1/AJS3サービス
- ジョブの実行先サービスに[キューレス]を指定している場合
JP1/AJS3 Queueless Agentサービス
- 注意事項
- クラスタシステムの場合は,クラスタの設定を確認し,論理ホストのJP1/AJS3サービスも停止してください。
- メモ帳などのテキストエディターで,「(2) 環境設定パラメーター一覧」の環境設定パラメーターを記述した設定ファイルを作成する。
- ファイルを保存し,次のコマンドを実行する。
jbssetcnfコマンドのパスは,「JP1/Baseのインストール先フォルダ\bin\jbssetcnf」です。
jbssetcnf 設定ファイル名
jbssetcnfコマンドの詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
- 手順2で停止したサービスを再起動する。
設定した内容が反映されます。
(2) 環境設定パラメーター一覧
表6-34 UAC機能有効時にAdministrators権限でジョブを実行するための環境設定パラメーター
定義キー 環境設定パラメーター 定義内容 [{JP1_DEFAULT|論理ホスト名}\JP1NBQAGENT\Job]※1 "UACAdministratorsExec"= ジョブの実行先サービスに[標準]を指定している場合に,UAC機能の有効時にAdministrators権限でジョブを実行するための設定 [JP1_DEFAULT\JP1QLAGENT]※2 "UACAdministratorsExec"= ジョブの実行先サービスに[キューレス]を指定している場合に,UAC機能の有効時にAdministrators権限でジョブを実行するための設定
- 注※1
- {JP1_DEFAULT|論理ホスト名}の部分は,物理ホストの場合は「JP1_DEFAULT」を,論理ホストの場合は「論理ホスト名」を指定します。
- 注※2
- この設定は,物理ホストと論理ホストの両方に有効です。
環境設定パラメーターの定義内容の詳細については,次の個所を参照してください。
- マニュアル「JP1/Automatic Job Management System 3 構築ガイド2 2.3(86) UACAdministratorsExec」
- マニュアル「JP1/Automatic Job Management System 3 構築ガイド2 2.7(17) UACAdministratorsExec」
(3) 注意事項
Windows Server 2003では,UACAdministratorsExecパラメーターの設定は有効になりません。
Copyright (C) 2009, 2014, Hitachi, Ltd.
Copyright (C) 2009, 2014, Hitachi Solutions, Ltd.