6.2.22 UAC機能有効時にAdministrators権限でジョブを実行するための設定
WindowsのUAC機能を有効にしていると,ビルトインAdministratorを除く,すべてのAdministratorsグループのOSユーザーは,Administrators権限が無効な状態で動作します。JP1/AJS3では,Administrators権限を必要とするジョブ※が実行できなくなる場合があります。
- 注※
-
PCジョブ,アクションジョブ,カスタムジョブ,およびWindows版のJP1/AJS3上で実行されるQUEUEジョブが該当します。jpqjobsubコマンドで実行するサブミットジョブも含まれます。
Administrators権限を必要とするジョブには,例えばnet startコマンドでサービスを開始するものなどがあります。UAC機能が有効な場合,Administrators権限を必要とするジョブを実行できるのは,ビルトインAdministratorおよびJP1/AJS3のサービスアカウントと同じOSユーザーです。
なお,「UAC機能有効時にAdministrators権限でジョブを実行するための設定」を有効にすることによって,UAC機能が有効の場合でもAdministratorsグループのOSユーザーでAdministrators権限が必要なジョブを実行できます。
ジョブ実行時のOSユーザーの種類とUAC機能が有効なときのジョブ実行の可否の関係を次の表に示します。
ジョブの実行先サービス |
ジョブ実行時のOSユーザーの種類 |
Administrators権限の必要なジョブの実行可否 |
|||
---|---|---|---|---|---|
設定無効(デフォルト) |
設定有効 |
||||
[標準]を指定している場合 |
AdministratorsグループのOSユーザー |
ビルトインAdministrator |
○ |
○ |
|
ビルトインAdministrator以外 |
サービスアカウントと同じOSユーザー |
○ |
○ |
||
サービスアカウントと異なるOSユーザー |
× |
○ |
|||
Administratorsグループ以外のOSユーザー |
× |
× |
|||
[キューレス]を指定している場合 |
AdministratorsグループのOSユーザー |
ビルトインAdministrator |
○ |
○ |
|
ビルトインAdministrator以外 |
サービスアカウントと同じOSユーザー |
× |
○ |
||
サービスアカウントと異なるOSユーザー |
× |
○ |
|||
Administratorsグループ以外のOSユーザー |
× |
× |
- (凡例)
-
○:実行できる。
×:実行できない。
- 注意事項
-
設定を有効にする場合,JP1/Baseのユーザーマッピング機能で実行先ホストに登録されているOSユーザーの中で,ジョブを実行するすべてのOSユーザーを確認し,セキュリティポリシーで「バッチジョブとしてログオン」の権限を設定する必要があります。権限を設定していないOSユーザーでジョブを実行すると,Administrators権限が必要でないジョブもメッセージKAVU7201-EまたはKAVS1880-Eを出力して起動失敗となります。
また,「バッチジョブとしてログオンを拒否する」の権限を設定している場合も同様に,メッセージKAVU7201-EまたはKAVS1880-Eを出力してジョブが起動失敗となります。
次に示す手順でUAC機能の設定を有効にしてください。
なお,この設定はジョブの実行先ホスト上で有効にしてください。
- 〈この項の構成〉
(1) 定義手順
-
Windowsの[コントロールパネル]−[管理ツール]−[ローカルセキュリティポリシー]で,ジョブを実行するすべてのOSユーザーに「バッチ ジョブとしてログオン」の権限を設定する。
ドメインユーザーの場合は,ドメインのセキュリティポリシーでも設定できます。また,「バッチ ジョブとしてログオンを拒否する」の権限が設定されていないことも確認してください。
-
Windowsの[コントロールパネル]の[管理ツール]で[サービス]を選択し,次に示すサービスを停止する。
-
ジョブの実行先サービスに[標準]を指定している場合
JP1/AJS3サービス
-
ジョブの実行先サービスに[キューレス]を指定している場合
JP1/AJS3 Queueless Agentサービス
- 注意事項
-
クラスタシステムの場合は,クラスタの設定を確認し,論理ホストのJP1/AJS3サービスも停止してください。
-
-
メモ帳などのテキストエディターで,「(2) 環境設定パラメーター一覧」の環境設定パラメーターを記述した設定ファイルを作成する。
-
ファイルを保存し,次のコマンドを実行する。
jbssetcnf 設定ファイル名
jbssetcnfコマンドのパスは,「JP1/Baseのインストール先フォルダ\bin\jbssetcnf」です。
jbssetcnfコマンドの詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
手順2で停止したサービスを再起動する。
設定した内容が反映されます。
(2) 環境設定パラメーター一覧
定義キー |
環境設定パラメーター |
定義内容 |
---|---|---|
[{JP1_DEFAULT|論理ホスト名}\JP1NBQAGENT\Job]※1 |
"UACAdministratorsExec"= |
ジョブの実行先サービスに[標準]を指定している場合に,UAC機能の有効時にAdministrators権限でジョブを実行するための設定 |
[JP1_DEFAULT\JP1QLAGENT]※2 |
"UACAdministratorsExec"= |
ジョブの実行先サービスに[キューレス]を指定している場合に,UAC機能の有効時にAdministrators権限でジョブを実行するための設定 |
- 注※1
-
{JP1_DEFAULT|論理ホスト名}の部分は,物理ホストの場合は「JP1_DEFAULT」を,論理ホストの場合は「論理ホスト名」を指定します。
- 注※2
-
この設定は,物理ホストと論理ホストの両方に有効です。
環境設定パラメーターの定義内容の詳細については,次の個所を参照してください。