サポート

Active Directory のグループポリシーを使用して Sophos Anti-Virus を展開する

  • Article ID: 13090
  • Updated: 16 5 2012

Windows Server の Active Directory を使用してドメインに適用するグループポリシーを設定し、ソフォス 製品を、当該のドメインに属するすべての Windows NT または Windows 2000 以降ベースのコンピュータに、自動インストールできます。

影響を受けるソフォス製品とバージョン

Sophos Endpoint Security and Control

OS
2000/XP/2003/Vista/Windows 7/ 2008/ 2008 R2

説明・対策

  1. クイック スタートアップガイドの説明に従い、お使いの管理サーバーに Enterprise Console をインストールします 。
  2. スタートアップ スクリプトとして実行するバッチファイルを作成します。このスクリプトは、グル ープ内の各コンピュータの起動時に、Endpoint Security and Control/Sophos Anti-Virus がイン ストールされているかどうかをチェックします。保護機能がインストールされていないすべてのコンピュータに 、Endpoint Security and Control/Sophos Anti-Virus がインストールされます。

新規のグループポリシーを作成するか、既存のグループポリシーを編集してここに記載されているコマンドを統合できます。

  1. 「スタート」-「すべてのプログラム」-「管理ツール」-「Active Directory ユーザーおよびコンピュータ」の順に選択します。
    または
    「スタート」-「ファイル名を指定して実行」の順にクリックして dsa.msc と入力して Enter キーを押します。
  2. 左側のツリーからドメイン名を選択します。
  3. ドメイン名を右クリックし、「プロパティ」をクリックします。
  4. 「グループポリシー」タブを選択します。
  5. 「新規」を選択します。
  6. 新しいグループポリシーオブジェクト (GPO) に名前を付けます。例:スクリプトによる Sophos エンドポイント ソフトウェア展開用の GPO
  7. 新しい GPO を選択して「編集」をクリックします。グループポリシーオブジェクトエディタのウィンドウが開きます。
  8. 左側のペイ ンのグループポリシーオブジェクトエディタで、「コンピュータの構成」-「Windows の設定」-「スクリプト」 の順に開きます。
  9. 右側のペインで「スタートアップ」をダブルクリックします。
  10. 「スタート アップのプロパティ」ダイアログボックスの「ファイルの表示」をクリックします。
  11. 表示されるウィン ドウで右クリックし、「新規作成」-「テキストドキュメント」を選択します。
  12. このファイルの名前を 「InstallSAV.bat」に変更します。
  13. 「InstallSAV.bat」を右クリックして、「編集」を選択します。
  14. ファイルを次のように変更します。

    注: スクリプトの編集についてをご覧ください。

    • Windows 2000/XP/2003 にインストールするには、以下のコマンドを入力します。
    • Windows NT にインストールする場合も同じコマンドを入力しますが、ESXP を ESNT に置き換えてください。
    • サブスクリプションフォルダの番号 (下記のスクリプトで 'Sxxx' と表示) は適切なサブスリプション番号に変更する必要があります。

    @ECHO OFF
    REM --- Check for an existing installation of Sophos AutoUpdate on 32-bit (the 'Sophos AutoUpdate Service' process)
    if exist "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
    REM --- Check for an existing installation of Sophos AutoUpdate on 64-bit (the 'Sophos AutoUpdate Service' process)
    if exist "C:\Program Files (x86)\Sophos\AutoUpdate\ALSVC.exe" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on Vista+ (the SAV adapter config file)
    if exist "C:\ProgramData\Sophos\Remote Management System\3\Agent\Adapter Storage\SAV\SAVAdapterConfig" goto _End
    REM --- Deploy to Windows 2000/XP/2003/Vista/Windows7/2008/2008-R2
    \\<SERVER>\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\<SERVER>\    SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user "USER" -pwd "PWD" -mng yes
    REM --- End of the script
    :_End

    以下のよう にして、適切な文字列を挿入してください。
    • SERVER は配布ポイントにあるサーバー名です。通 常、このサーバーは、コンソールがインストールされているサーバーです。
    • USER は配布ポイントにあるファイルへのアクセス権を持ったユーザーのユーザー名です。
    • PWD は上記のユーザーのパスワードです。
      注: スタートアップスクリプトに平文のユーザー名やパスワードを保存したくない場合は、ユーザー名やパスワードを難読化することができます。
    以下のコマンドライン パラメータを挿入します。
    • 「-updp」は、プライマリのアップデート元を定義するオプションです。HTTP アドレスを指定すること もできます。
    • 「-mng」は、インストールしたソフトをコンソールで管理するかどうかを定義 します。コンソールをインストールしていない場合は、このオプションの値を「no」にしてください 。
    詳細は、setup.exe で使用するコマンドラインパラメータをご覧ください。
  15. ファイルを保存し、作業していたウィンドウを閉じます。
  16. 「スタートアップのプロパティ」ダイアログボックスで、「追加」をクリックします。
  17. 「スクリプトの追加」ダイ アログボックスで、「参照」をクリックします。
  18. 「InstallSAV.bat」を選択して、「開く」をクリック します。
  19. 「OK」-「適用」-「OK」の順にクリックします。

注: Endpoint Security and Control の最初のインストールの後でこのスクリプトを削除しない限り、スクリプトはその後のスタートアップごどに実行されることになります。

スクリプトの編集について

スクリプトを編集する際には、次の点にご注意ください。

  • 編集ウィンドウにコマンドを入力する際には、コマンド全体を一行で入力してください。
  • 改行が挿入されていると、コマンドが実行されません。
  • 行は右端で折り返さないようにしてください。

この文章内のコマンドには、複数の行にまたがって表示されているものありますが、これはこのウィンドウ で右端が折り返されることによります。上記の手順で使用するテキストエディタでは、行の折り返しを無効にすれば一行に表示されます。この文章内の以下のようなサンプルコマンドは、すべて一行に収める必要があります。

\\<SERVER>\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\<SERVER>\SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user "USER" -pwd "PWD" -mng yes

...

特定のサーバーをこのスクリプトによるインストールの対象から除外する

以下のスタートアップスクリプトは、このスクリプトによって SERVER1 および SERVER2 と呼ばれる 2つのコンピュータをインストールから除外する方法について説明しています。

  1. 除外するコンピュータの正確なホスト名を以下のようにして取得します。
    1. 除外するコンピュータでコマンドプロンプトを開きます (「スタート」-「ファイル名を指定して実行」の順に選択して「cmd.exe」と入力して Enter キーを押します)。
    2. 以下のコマンドを入力して Enter キーを押します。
      SET
    3. 返された環境変数のリストで 'COMPUTERNAME=' のエントリを見つけます。
    4. 等号の記号 (=) の後に表示されるホスト名を正確にメモします。
  2. 上記でメモしたホスト名を以下の 'SERVER1' および 'SERVER2' の箇所に使用します。
    @ECHO OFF
    REM --- Check for an existing installation of Sophos AutoUpdate on 32-bit (the 'Sophos AutoUpdate Service' process)
    if exist "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
    REM --- Check for an existing installation of Sophos AutoUpdate on 64-bit (the 'Sophos AutoUpdate Service' process)
    if exist "C:\Program Files (x86)\Sophos\AutoUpdate\ALSVC.exe" goto _End
    REM --- Check for an existing installation of Sophos Anti-Virus on Vista+ (the SAV adapter config file)
    if exist "C:\ProgramData\Sophos\Remote Management System\3\Agent\Adapter Storage\SAV\SAVAdapterConfig" goto _End
    REM --- Check for servers not to install to
    if %COMPUTERNAME% == SERVER1 goto _End
    if %COMPUTERNAME% == SERVER2 goto _End
    REM --- Deploy to Windows 2000/XP/2003/Vista/Windows7/2008/2008-R2
    \\<SERVER>\SophosUpdate\CIDs\Sxxx\SAVSCFXP\Setup.exe -updp "\\<SERVER>\    SophosUpdate\CIDs\Sxxx\SAVSCFXP" -user "USER" -pwd "PWD" -mng yes
    REM --- End of the script
    :_End

 
詳細情報が必要な場合やご不明の点がある場合は、 テクニカルサポート までご連絡ください。

Rate this article

Very poor Excellent

Comments

© 1997 - 2012 Sophos Ltd. All rights reserved. 利用規約 個人情報保護方針