インストール時または設定時に、ユーザー権利がない、またはユーザー権利を読み取れないというエラーが発生する

book

Article ID: 193503

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection Manager (SEPM) 12.1.6 以降 (バージョン 14 以降を含む) のインストール時または設定時に、適切なユーザー権利が Endpoint Protection Manager サービスに割り当てられていないことを示す警告が表示されます。 

 

Resolution

警告1: 「...サービスには、Windows セキュリティポリシーでのユーザー権利が必要です。」

この警告メッセージは、ドメイングループポリシーオブジェクト (GPO) が、仮想サービスアカウントに割り当てる権利を制限していることを示します。

詳しくは、「ユーザー権利がない場合」を参照してください。

警告 2: 「...は、...で指定されたユーザー権利を読み取れません。」

この警告メッセージは、インストーラが、ドメイン GPO で仮想サービスアカウントに正しい権利が割り当てられているかどうかを判別できない可能性があることを示します。

詳しくは、「ユーザー権利を判別できない場合」を参照してください。


注意: 関連するドメイン GPO を変更するには、ドメイン管理者であるか、ドメイン管理者に依頼する必要があります。

Endpoint Protection Manager を以前のバージョンからアップグレードする場合は、ポリシーへの Endpoint Protection Manager サービスの追加を促す警告が表示されることがあります。インストール中に、[再び試す]をクリックしてポリシーを確認してください。  

このオプションを使用するには、ドメイン管理者としてログインする必要があります。ドメイン管理者としてログインしていない場合は、インストールをキャンセルしてドメイン管理者の資格情報で再びログインするか、インストールを続行してアップグレード完了後にポリシーを更新します。

以下の手順を実行するには、Endpoint Protection Manager をインストールするコンピュータにグループポリシー管理コンソール (GPMC) をインストールする必要があります。詳しくは、Microsoft.com の「GPMC をインストールする」を参照してください。

ユーザー権利がない場合

Endpoint Protection Manager のインストールを正常に完了するには、次の手順を実行します。

  1. サービスアカウント、ユーザー権利の割り当て、変更する必要があるドメイン GPO を特定する
  2. ドメインポリシーを変更し、それらをコンピュータに反映する
  3. ポリシーを再確認する、または Endpoint Protection Manager のサービスを再起動する

警告メッセージが表示されるタイミングに応じて、次のいずれかの場所にあるログにログエントリが追加されます。

  • 新規インストール: %temp%\windowspolicyreviewer.log
    注意: このフォルダにログがない場合は、ログファイル名で検索してください。
  • 設定ウィザード: SEPM_Installation_Folder\tomcat\logs\install_log.out
  • アップグレードウィザード: SEPM_Installation_Folder\tomcat\logs\Upgrade-0.log

SEPM_Installation_Folder は、Endpoint Protection Manager のインストールフォルダです。デフォルトでは、このフォルダは C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager (64 ビットオペレーティングシステムの場合) または C:\Program Files\Symantec\Symantec Endpoint Protection Manager (32 ビットオペレーティングシステムの場合) です。
 

I. サービスアカウント、ユーザー権利の割り当て、変更する必要があるドメイン GPO を特定する

警告メッセージから、権利のないサービスアカウントを書き留めます。警告ウィンドウをアクティブにした状態で、Ctrl+C を押してメッセージのテキストをコピーし、これをドキュメントにコピーします。 このメッセージが設定ウィザードまたはアップグレードウィザードに表示された場合は、[詳細を表示]をクリックして詳細情報を確認します。

  • 仮想サービスアカウント
  • ドメイン GPO
  • 必要なユーザー権利の割り当て

たとえば、次のような警告メッセージが表示されます。

グループポリシー設定 SeServiceLogonRight (New Group Policy Object-testB) には [NT SERVICE\semsrv, NT SERVICE\semwebsrv, NT SERVICE\SQLANYs_sem5, NT SERVICE\semapisrv] がありません。

注意: この例では、ユーザー権利が、ドメイン GPO が、仮想サービスアカウントがです。

必要なユーザー権利は次のとおりです。

  • SeAssignPrimaryTokenPrivilege (プロセスレベルトークンを置換): Windows 認証を使用する、Microsoft SQL Server データベース利用の Endpoint Protection Manager をインストールする場合のみ、NT SERVICE\semwebsrv で必要です。
  • SeServiceLogonRight (サービスとしてのログオン): すべてのサービスで必要です (Microsoft SQL Server データベース利用の Endpoint Protection Manager をインストールする場合、NT SERVICE\SQLANYs_sem5 は不要)。

表示される GPO についてリストされたすべてのアカウントが、すべてのユーザー権利の割り当てに含まれていることを確認してください。新規インストールの場合は、設定後に警告が表示されないようにするため、対象のデータベースに必要な権利に関する詳細情報を前の表で確認してください。
 

II. ドメインポリシーを変更し、それらをコンピュータに反映する

注意: Endpoint Protection Manager の初回インストール時、Endpoint Protection Manager サービスはまだコンピュータにありません。したがって、Endpoint Protection Manager サービスに対応する仮想アカウントはアクティブになっていません。新規インストールの場合は、インストール時に表示される警告で[続行]をクリックします。 設定ウィザードの最後に別の警告が表示されるため、設定完了後に、以下の手順を使用してドメインポリシーを更新できます。

Active Directory サーバーのグループポリシー管理コンソールを使用して必要なドメイン GPO に適切な変更を加えるか、ドメイン管理者に依頼して変更を適用します。グループポリシーの編集方法については、Microsoft.com の「グループ ポリシー オブジェクトを作成および編集する」を参照してください。

ドメインポリシーを更新するには、次の手順に従います。

注意: これらの手順は Windows Server 2012 Server Manager 向けです。それ以外のバージョンの Windows では手順が若干異なります。

  1. グループポリシー管理コンソール (GPMC) を開きます。
  2. 警告ボックスに表示されるポリシーを見つけます。
    通常は、ドメインツリーの下にある[グループポリシーオブジェクト]ノードの下に表示されます。
     
     
     
  3. ポリシーを右クリックして[編集]をクリックし、このポリシーのグループポリシーエディタを開きます。 
  4. [コンピュータの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権利の割り当て]に移動します。
    ユーザーの割り当てがすべてリストされます。
     

     
  5. 警告に表示されたユーザー権利を見つけ、警告で指摘されたアカウントを追加します。
    これらのアカウントは、設定後またはアップグレード後に、Endpoint Protection Manager コンピュータ上でローカルに作成されます。ただし、これらは事前決定された SID を伴わない仮想サービスアカウントなので、Endpoint Protection Manager コンピュータで作成される前にドメイン GPO に追加できます。
     

     
  6. [OK]をクリックします。
    注意: ドメインポリシーの更新後、Endpoint Protection Manager コンピュータがアカウントを受け取って適用したことを確認してください。
  7. Endpoint Protection Manager コンピュータで、上位コマンドプロンプトを開き (管理者として cmd.exe を実行)、次のコマンドを入力します。

    gpupdate /force

    このコマンドにより、このコンピュータ上のすべてのトメインポリシーが更新されます。

III. ポリシーを再確認する、または Endpoint Protection Manager のサービスを再起動する

  • インストール中に警告が表示され、Endpoint Protection Manager のインストーラが警告ページで停止した場合は、[再び試す]をクリックします。インストーラが前回停止した場所までロールバックされたら、もう一度起動します。

    注意: [続行]をクリックすると、インストーラは警告を無視します。ただし、インストールを正しく動作させるには、ドメインポリシーのユーザー権利を修正する必要があります。
     
  • 設定中またはアップグレード中に警告が表示される場合は、[完了]をクリックして Endpoint Protection Manager を起動します。変更を加えたことにより、Endpoint Protection Manager が正しく実行されます。必要に応じて、コントロールパネルのサービスアプレットを使用して Endpoint Protection Manager サービスを再起動できます。
     
  • 追加の確認作業として、Endpoint Protection Manager コンピュータでグループポリシーを適用した後、Endpoint Protection Manager を再設定することもできます。管理サーバー設定ウィザードが、更新されたポリシーを再度確認します。

    最終画面で、設定完了を示すメッセージが警告なしで表示されたことを確認してから[完了]をクリックします。

ユーザー権利を判別できない場合

Endpoint Protection Manager は、ドメインポリシーを読み取れない場合、必要なユーザー権利の情報を警告メッセージに表示しません。このような場合は、前述のユーザー権利の割り当てに関するガイドラインに従い、自分で (またはドメイン管理者が) ドメインポリシーを調べ、必要なすべての権利が Endpoint Protection Manager サービスに適用されていることを確認する必要があります。

ドメインポリシーが適切な条件を満たしていることを確認できたら、[OK]をクリックしてインストールを続行し、設定ウィザードやアップグレードウィザードに表示される以降の警告メッセージは無視します。 

手動によるドメインポリシーの確認方法

新規インストールまたはアップグレードを開始する前に、必要なアカウントと権限があるかどうかを手動で確認できます。

ドメインポリシーを手動で確認するには、次の手順に従います。

  1. ドメイン管理者の資格情報を使用して、Endpoint Protection Manager コンピュータにログオンします。
  2. コマンドプロンプト (cmd.exe) を開き、次のコマンドを入力します。

    Gpresult /scope computer /f /x c:\gpresult.xml

    このコマンドは、C: ドライブのルートで、コマンドの結果を新しいファイル gpresult.xml に書き込みます。 Endpoint Protection Manager のインストーラは、このコマンドを使用して Windows ドメインポリシーを取得します。このコマンドが失敗すると、ドメインポリシーの確認もインストール中に失敗します。
  3. C:\gpresult.xml を開き、前述の必要条件に示した権限を[原因]で検索します。

権限が見つかった場合、ドメイン GPO はそれらを適用しません。ドメイン GPO に対して変更を加える必要はありません。

権限が見つからず、Endpoint Protection Manager アカウントも含まれない場合は、対応するポリシーにアカウントを追加する必要があります。

変更するドメインポリシーを特定するには、次の手順に従います。

  1. gpresult.xml ファイルを開きます。
  2. 次の XML ツリーで、必須の権限を以前見つけた場所まで下に進み、Identifier タグを探します。

    <Identifier>
    PrivilegeName

    PrivilegeNameSeServiceLogonRight または SeAssignPrimaryTokenPrivilege です。
  3. Identifier タグ内の値を書き留めます。以下に例を示します。

    {31B2F340-016D-11D2-945F-00C04FB984F9}

  4. 次の XML ツリーで、Identifier タグに移動します。

    <[Identifier]>

  5. 手順 2 で見つけた Identifier 値を検索します。
  6. ツリー内で Name タグまで上に進みます。このタグに囲まれているのが、変更が必要なポリシーの名前です。

    <Name>PolicyName
     
  7. グループポリシー管理コンソール (GPMC) を開き、上に示すように、Endpoint Protection Manager アカウントと必要な権限を追加します。

注意: ドメインポリシーを確認すると、アップグレード中、バックアップソフトウェア、Syslog エージェントなど、他のソフトウェアプロセスが Symantec Endpoint Protection Manager 関連の一部のファイルを使用またはロックしている場合があります。他のソフトウェアプロセスが実行していないときにアップグレードプロセスを起動するには、次のコマンドをコマンドウィンドウに入力します。

"C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\bin\upgrade.bat"

このコマンドはデフォルトのインストールパスを使用するため、インストールパスは環境に合わせて調整してください。

技術参考情報

詳しくは、次の Microsoft 社の技術記事を参照してください。