Symantec Endpoint Protection Manager (SEPM) からエクスポートしたパッケージを使って、Symantec Endpoint Protection (SEP) の Windows 用管理外クライアントをインストールした。このパッケージには、場所固有の設定が [サーバー制御] になっているグループのカスタムポリシーが含まれている。
クライアントのユーザーインターフェイス (UI) を変更してからコンピュータを再起動すると、ポリシーの設定がデフォルトに戻る。
この問題は、管理外クライアントに割り当てられたサーバー制御の設定が原因です。
SEP クライアントは、ポリシー設定を serdef.dat と cltdef.dat の 2 つに分けて保存しています。これらのファイルは、SEP クライアントのインストール時に、クライアントコンピュータにコピーされます。
サーバ制御モードでは、SEP クライアントは、ポリシー設定のために serdef.dat ファイルを読み込みます。クライアント制御モードでは、cltdef.dat ファイルを使用します。どちらのモードでも、クライアントの UI はポリシーによってロックされたり、ロック解除されたりします。
SEP クライアントが管理クライアントの場合、Serdef.dat を SEPM から定期的にダウンロードし、ローカルコピーを最新に保ちます。SEP クライアントが管理外の場合、クライアント UI の [設定の変更] でポリシー設定を編集することができます。
クライアント UI での変更は cltdef.dat にのみ影響し、serdef.dat には影響しません。サーバ制御モードのポリシー設定を変更できるのは SEPM だけです。いずれのモードでも、ポリシー設定により UI がロックされ、cltdef.dat へのポリシー変更ができない場合があります。
このシナリオでは、管理外クライアントがサーバー制御モードになっている場合、UI で行われたポリシー変更は cltdef.dat に書き込まれ、SEP クライアントの UI には変更内容が反映され続けます。コンピュータを再起動すると、サーバー制御モードの SEP クライアントは serdef.dat からポリシー設定を読み込みます。クライアントは管理外なので、SEPM が serdef.dat のポリシー設定を変更することはなく、クライアントのインストール時から変更はありません。
ポリシーの変更が元に戻ったように見えるため、これは障害のように見えますが、実際には設計通りに機能しています。このように、サーバー制御と管理外クライアントの組み合わせは、サードパーティのコンテンツ管理を使用する環境を想定しています。詳細は [技術情報] の項を参照してください。
SEP クライアントコンピュータ上の操作:
注: この操作は、SEPM からエクスポートされた設定で既存のポリシー設定を上書きします。既存のポリシー設定を維持したい場合は、SEPM で新しいグループを作成し、必要に応じてポリシーを変更し、この新しいグループのプロファイルをエクスポートしてからクライアントにインポートしてください。
注: サードパーティのコンテンツ管理を有効にしている場合は、Profile.xml を以下のフォルダにコピーすることで、更新されたプロファイルをインポートすることもできます。
SEP には、管理モードと制御モードの 2 つのモードがあります。
管理モードは、管理下と管理外があります。管理下では SEPM がクライアントの動作を広範囲に渡って制御します。管理外では、SEP クライアントは自己制御で動作します。詳しくは 管理下クライアントと管理外クライアントについて をご覧ください。
制御モードは、クライアント制御またはサーバー制御で、ポリシー設定を制御します。詳しくは クライアントコンピュータの保護をユーザーが無効にできない設定 を参照してください。
これら 2 つのモードはそれぞれ独立しているので、SEP クライアントは 4 つの組み合わせのうちの 1 つになります。
管理者とユーザーに柔軟性を提供する一方で、サードパーティのコンテンツ管理を使用しない場合、4 つ目の組み合わせは意図せず望ましくない結果をもたらす可能性があります。