2.9 NetExecコマンドによるリモート実行を許可するユーザの設定
NetExecコマンドによるリモート実行を許可するユーザを設定します。
操作
-
NetExecコマンドでリモート実行を許可するユーザを選定する。
NetExecコマンドでリモート実行を許可するユーザはNetExecコマンドで呼び出す実行ファイルを実行する空間(サービス空間およびログオン空間)単位で選定してください。
-
NetExecコマンド制限ポリシーファイルを配置するフォルダを作成する。
JP1/Scriptのインストール先フォルダの配下に,Confフォルダを作成してください。
-
NetExecコマンド制限ポリシーファイルを作成する。
NetExecコマンドで呼び出す実行ファイルを実行する空間(サービス空間およびログオン空間)単位に作成してください。作成するファイルは次のとおりです。
-
サービス空間の場合に作成するファイル:SPTHSV_ACPファイル
-
ログオン空間の場合に作成するファイル:SPTHLSV_ACPファイル
-
-
作成したNetExec実行ユーザポリシーファイルをJP1/Scriptのインストール先フォルダ\Confフォルダに配置する。
操作3.で作成したSPTHSV_ACPファイルおよびSPTHLSV_ACPファイルをJP1/Scriptのインストール先フォルダ\Confフォルダに配置してください。
-
NetExecコマンド制限ポリシーファイルに,NetExecコマンドでリモート実行を許可するユーザを設定する。
次の手順で設定します。
- 1. NetExecコマンド制限ポリシーファイルを右クリックして表示されるメニューから,[プロパティ]を選択する。
-
[プロパティ]ダイアログが表示されます。
- 2. [セキュリティ]タブの[追加]ボタンをクリックし,NetExecコマンドでリモート実行を許可するユーザを追加する。
-
[ユーザまたはグループの選択]ダイアログで,NetExecコマンドでリモート実行を許可するユーザを選択してください。
- 3. [セキュリティ]タブで追加したユーザを選択して,[アクセス許可]を次のとおり設定する。
-
・読み取り:許可
・書き込み:許可
- 4. 不要なユーザが設定されていないか確認する。
-
不要なユーザが設定されている場合は削除してください。
-
NetExecコマンド制限ポリシーファイルにファイルの管理者ユーザを設定する。
次の手順で設定します。
- 1. NetExecコマンド制限ポリシーファイルを右クリックして表示されるメニューから,[プロパティ]を選択する。
-
[プロパティ]ダイアログが表示されます。
- 2. [セキュリティ]タブの[追加]ボタンをクリックし,ファイルの管理者ユーザを選択する。
-
[ユーザまたはグループの選択]ダイアログで,ファイルの管理者ユーザを選択してください。
- 3. [セキュリティ]タブで追加したユーザを選択して,[アクセス許可]を次のとおり設定する。
-
フルコントロール:許可
-
NetExecコマンド制限ポリシーファイルに,JP1/ScriptサービスおよびScriptランチャサービスのログオンアカウントを設定する。
JP1/Scriptサービスの場合はSPTHSV_ACPファイル,Scriptランチャサービスの場合はSPTHLSV_ACPファイルに対して,次の手順で設定します。
- 1. NetExecコマンド制限ポリシーファイルを右クリックして表示されるメニューから,[プロパティ]を選択する。
-
[プロパティ]ダイアログが表示されます。
- 2. [セキュリティ]タブの[追加]ボタンをクリックし,JP1/ScriptサービスまたはScriptランチャサービスのログオンアカウントを選択する。
-
[ユーザまたはグループの選択]ダイアログで,各サービスの実行ユーザを選択してください。
- 3. [セキュリティ]タブで追加したユーザを選択して,[アクセス許可]を次のとおり設定する。
-
・読み取り:許可
・書き込み:許可
-
NetExecコマンド制限ポリシーファイルの配置先フォルダにJP1/ScriptサービスおよびScriptランチャサービスのログオンアカウントを設定する。
次の手順で設定します。
- 1. Confフォルダを右クリックして表示されるメニューの[プロパティ]を選択する。
-
[プロパティ]ダイアログが表示されます。
- 2. [セキュリティ]タブの[追加]ボタンをクリックし,JP1/ScriptサービスおよびScriptランチャサービスのログオンアカウントを選択する。
-
[ユーザまたはグループの選択]ダイアログで,各サービスのログオンアカウントを選択してください。
- 3. [セキュリティ]タブで追加したユーザを選択して,[アクセス許可]を次のとおり設定する。
-
・読み取りと実行:許可
・フォルダの内容の一覧表示:許可
・読み取り:許可
- 4. 不要なユーザが設定されていないか確認する。
-
不要なユーザが設定されている場合は削除してください。
-
JP1/ScriptサービスおよびScriptランチャサービスを停止する。
-
JP1/ScriptサービスおよびScriptランチャサービスを開始する。
イベントログに次のメッセージが出力されていることを確認してください。
- JP1/Scriptサービスの場合
-
「JP1/ScriptサービスのNetExecスレッド(NetExecコマンド実行ユーザ制限付き)を開始します。」
- Scriptランチャサービスの場合
-
「ScriptランチャサービスのNetExecスレッド(NetExecコマンド実行ユーザ制限付き)を開始します。」
- 重要
-
NetExecコマンドによるリモート実行を許可するユーザを変更した場合は,JP1/ScriptサービスまたはScriptランチャサービスを再起動してください。また,NetExecコマンド制限ポリシーファイルにグループに対する許可設定をしており,そのグループに所属するメンバーのユーザやグループを追加/削除した場合,JP1/ScriptサービスまたはScriptランチャサービスを再起動しても追加/削除したユーザ,グループの許可/拒否が反映されない場合があります。この場合には,Windowsを再起動してください。