Symantec Endpoint Protection Manager (SEPM) からエクスポートしたパッケージを使って、Symantec Endpoint Protection (SEP) の Windows 用管理外クライアントをインストールした。このパッケージには、場所固有の設定が [サーバー制御] になっているグループのカスタムポリシーが含まれている。

クライアントのユーザーインターフェイス (UI) を変更してからコンピュータを再起動すると、ポリシーの設定がデフォルトに戻る。

この問題は、管理外クライアントに割り当てられたサーバー制御の設定が原因です。

SEP クライアントは、ポリシー設定を serdef.dat と cltdef.dat の 2 つに分けて保存しています。これらのファイルは、SEP クライアントのインストール時に、クライアントコンピュータにコピーされます。

サーバ制御モードでは、SEP クライアントは、ポリシー設定のために serdef.dat ファイルを読み込みます。クライアント制御モードでは、cltdef.dat ファイルを使用します。どちらのモードでも、クライアントの UI はポリシーによってロックされたり、ロック解除されたりします。

SEP クライアントが管理クライアントの場合、Serdef.dat を SEPM から定期的にダウンロードし、ローカルコピーを最新に保ちます。SEP クライアントが管理外の場合、クライアント UI の [設定の変更] でポリシー設定を編集することができます。

クライアント UI での変更は cltdef.dat にのみ影響し、serdef.dat には影響しません。サーバ制御モードのポリシー設定を変更できるのは SEPM だけです。いずれのモードでも、ポリシー設定により UI がロックされ、cltdef.dat へのポリシー変更ができない場合があります。

このシナリオでは、管理外クライアントがサーバー制御モードになっている場合、UI で行われたポリシー変更は cltdef.dat に書き込まれ、SEP クライアントの UI には変更内容が反映され続けます。コンピュータを再起動すると、サーバー制御モードの SEP クライアントは serdef.dat からポリシー設定を読み込みます。クライアントは管理外なので、SEPM が serdef.dat のポリシー設定を変更することはなく、クライアントのインストール時から変更はありません。

ポリシーの変更が元に戻ったように見えるため、これは障害のように見えますが、実際には設計通りに機能しています。このように、サーバー制御と管理外クライアントの組み合わせは、サードパーティのコンテンツ管理を使用する環境を想定しています。詳細は [技術情報] の項を参照してください。

既存の管理外クライアントをサーバー制御からクライアント制御に変更するには

1. SEPM コンソールにログオンします。
2. [クライアント] をクリックし、使用したいポリシーのグループをクリックします。または、新しいグループを作成します。
3. 右側のペインで [ポリシー] をクリックします。[場所固有のポリシーと設定] で [場所固有の設定] をクリックして展開します。
4. [クライアントユーザーインターフェース制御の設定] の横にある [サーバー制御] をクリックして設定を開きます。
5. [クライアント制御］をクリックし [OK] をクリックします。
6. [詳細] タブをクリックして "グループ ID" を確認します。
7. <SEPM インストールフォルダ>\data\outbox\agent に、先ほどのグループ ID と同じ名前のフォルダがあるので参照します。
8. Profile.xml をネットワーク上の共有フォルダーなどにコピーして、SEP クライアント端末にコピーしてください。

SEP クライアントコンピュータ上の操作:

1. SEP クライアントの UI で [ヘルプ] - [トラブルシューティング] をクリックします。
2. [ポリシープロファイル] の [インポート] をクリックします。
3. 先程の Profile.xml を選択して [開く] をクリックして、ポリシーファイルをインポートします。 

注: この操作は、SEPM からエクスポートされた設定で既存のポリシー設定を上書きします。既存のポリシー設定を維持したい場合は、SEPM で新しいグループを作成し、必要に応じてポリシーを変更し、この新しいグループのプロファイルをエクスポートしてからクライアントにインポートしてください。

注: サードパーティのコンテンツ管理を有効にしている場合は、Profile.xml を以下のフォルダにコピーすることで、更新されたプロファイルをインポートすることもできます。

• Vista 以降: C:ProgramData\Symantec\SEP\CurrentVersion
• Vista 以前: C:Documents and Settings\All Users\Application Data\Symantec\CurrentVersion\inbox

クライアント制御が有効な管理外クライアントを作成するには:

1. SEPM コンソールにログオンします。
2. [管理] - [インストールパッケージ] をクリックします。デフォルトでは [クライアントインストールパッケージ] が選択されています。
3. 右側のペインで、必要な Windows パッケージをクリックします。
4. [タスク] - [クライアントインストールパッケージのエクスポート] をクリックします。
5. [エクスポートの設定] で [管理外クライアントをエクスポート] をクリックします。[パッケージを次のグループのポリシーと組み合わせてエクスポートする] がチェックされている場合は、チェックを外します。
6. その他のエクスポート設定を必要に応じて変更し、[OK] をクリックしてパッケージのエクスポートを開始します。
    

技術情報

SEP には、管理モードと制御モードの 2 つのモードがあります。

管理モードは、管理下と管理外があります。管理下では SEPM がクライアントの動作を広範囲に渡って制御します。管理外では、SEP クライアントは自己制御で動作します。詳しくは 管理下クライアントと管理外クライアントについて をご覧ください。

制御モードは、クライアント制御またはサーバー制御で、ポリシー設定を制御します。詳しくは クライアントコンピュータの保護をユーザーが無効にできない設定 を参照してください。

これら 2 つのモードはそれぞれ独立しているので、SEP クライアントは 4 つの組み合わせのうちの 1 つになります。

• 管理下/サーバー制御: SEPM はクライアントのすべての側面を絶対的にコントロールします。クライアントは SEPM に報告し、ポリシー設定は SEPM で行われます。
• 管理下/クライアント制御: SEPM はクライアントの機能のほとんどをコントロールします。クライアントは SEPM に報告しますが、ポリシー設定についてはクライアントが自主的に行います。
• 管理外/クライアント制御: SEP クライアントは、すべてにおいて絶対的な権限を持ち、誰にも報告しません。
• 管理外/サーバー制御: SEP クライアントは、サードパーティの管理ツールで制御されることを意図したポリシー設定以外のすべてを絶対的に制御します。サードパーティのコンテンツ管理を有効にするための詳細については 管理下クライアントへのサードパーティのコンテンツ配布を許可する LiveUpdate 設定ポリシーの設定 を参照してください。

管理者とユーザーに柔軟性を提供する一方で、サードパーティのコンテンツ管理を使用しない場合、4 つ目の組み合わせは意図せず望ましくない結果をもたらす可能性があります。

[英語文書] Symantec Endpoint Protection unmanaged client is not able to save policy changes made in the client interface