Active Directory のグループポリシーを使用して Sophos Anti-Virus をネットワーク上に展開する

Windows Server の Active Directory を使用してドメインに適用するグループポリシーを設定し、ソフォス製品を、当該のドメインに属するすべての Windows NT または Windows 2000 以降ベースのコンピュータに、自動インストールできます。

対処方法

1. クイック スタートアップガイドの説明に従い、お使いの管理サーバーに Enterprise Console をインストールします。
2. スタートアップ スクリプトとして実行するバッチファイルを作成します。 このスクリプトは、グループ内の各コンピュータの起動時に、Endpoint Security and Control/Sophos Anti-Virus がインストールされているかどうかをチェックします。 保護機能がインストールされていないすべてのコンピュータに、Endpoint Security and Control/Sophos Anti-Virus がインストールされます。

デフォルトのポリシーがある場合は、ここに記載されているコマンドを統合できます。

1. スタートアップ スクリプトを作成するコンピュータで、「管理ツール」を開きます。
2. 「Active Directory ユーザーとコンピュータ」を開きます。
3. 左側のペインのツリーで、ドメインを右クリックし、「プロパティ」を選択します。
4. 「グループポリシー」タブを選択します。
5. 「Default Domain Policy」が選択されていることを確認し、「編集」をクリックします。
6. 左側のペインのグループポリシーオブジェクトエディタで、「コンピュータの構成」-「Windows の設定」-「スクリプト」の順に開きます。
7. 右側のペインで「スタートアップ」をダブルクリックします。
8. 「スタートアップのプロパティ」ダイアログボックスの「ファイルの表示」をクリックします。
9. 表示されるウィンドウで右クリックし、「新規作成」-「テキストドキュメント」を選択します。
10. このファイルの名前を「InstallSAV.bat」に変更します。
11. 「InstallSAV.bat」を右クリックして、「編集」を選択します。
12. 次のようにファイルを編集します。
    
    注:スクリプトの編集については、こちらををご覧ください。
    
    
    • Windows 2000/XP/2003 にインストールするには、以下のコマンドを入力します。
    • Windows NT にインストールする場合も同じコマンドを入力しますが、ESXP を ESNT に置き換えてください。
    
    @ECHO OFF
REM --- Check for an existing installation of Sophos AutoUpdate
if exist "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
if exist "C:\Program Files (x86)\Sophos\AutoUpdate\ALSVC.exe" goto _End
REM --- Deploy to Windows 2000/XP/2003
\\<サーバー名>\InterChk\ESXP\Setup.exe -updp "\\<サーバー名>\InterChk\ESXP" -user "USER" -pwd "PWD" -mng yes
REM --- End of the script
:_End

以下のようにして、適切な文字列を挿入してください。
    • <サーバー名>は CID (セントラル インストール ディレトリ) があるサーバーの名前です。 通常、このサーバーは、Enterprise Console がインストールされているサーバーです。
    • USER は、CID 上のファイルへのアクセス権限を持つユーザーの名前です。
    • PWD は上記のユーザーのパスワードです。
    コマンドオプションの説明は次のとおりです。
    • 「-updp」は、プライマリのアップデート元を定義するオプションです。 HTTP アドレスを指定することもできます。
    • 「-mng」は、インストールしたソフトを Enterprise Console で管理するかどうかを定義します。 Enterprise Console をインストールしていない場合は、このオプションの値を「no」にしてください。
    詳細は、setup.exe で使用するコマンドラインパラメータをご覧ください。
13. ファイルを保存し、作業していたウィンドウを閉じます。
14. 「スタートアップのプロパティ」ダイアログボックスで、「追加」をクリックします。
15. 「スクリプトの追加」ダイアログボックスで、「参照」をクリックします。
16. 「InstallSAV.bat」を選択して、「開く」をクリックします。
17. 「OK」-「適用」-「OK」の順にクリックします。

スタートアップスクリプトに平文のユーザー名やパスワードを保存したくない場合は、ユーザー名やパスワードを難読化することができます。

スクリプトの編集について

スクリプトを編集する際には、次の点にご注意ください。

• 編集ウィンドウにコマンドを入力する際には、コマンド全体を一行で入力してください。
• 改行が挿入されていると、コマンドが実行されません。
• 行は右端で折り返さないようにしてください。

この文章内のコマンドには、複数の行にまたがって表示されているものありますが、これはこのウィンドウで右端が折り返されることによります。 上記の手順で使用するテキストエディタでは、行の折り返しを無効にすれば一行に表示されます。 この文章内のサンプルコマンドは、すべて一行に収める必要があります。

\\<サーバー名>\InterChk\ESXP\Setup.exe -updp "\\<SERVER>\InterChk\ESXP" -user "USER" -pwd "PWD" -mng yes

スタートアップスクリプトのサンプル

以下は、ソフォス製品が既にインストールされているか、追加チェックを実行するスタートアップスクリプトと、そのスクリプトを使ったインストールの対象から特定のコンピュータを除外するスタートアップスクリプトのサンプルです。

Sophos Anti-Virus が既にインストールされているかをチェックする

@ECHO OFF
REM --- Check for an existing installation of Sophos Anti-Virus
if exist "C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe" goto _End
REM --- Deploy to Windows 2000/XP/2003
\\<サーバー名>\InterChk\ESXP\Setup.exe -updp "\\<サーバー名>\InterChk\ESXP" -user "USER" -pwd "PWD" -mng yes
REM --- End of the script
:_End

特定のサーバーをこのスクリプトによるインストールの対象から除外する

@ECHO OFF
REM --- Check for an existing installation of AutoUpdate
if exist "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
REM --- Check for servers not to install to
if %COMPUTERNAME% == SERVER1 goto _End
if %COMPUTERNAME% == SERVER2 goto _End
REM --- Deploy to Windows 2000/XP/2003
\\<サーバー名>\InterChk\ESXP\Setup.exe -updp "\\<サーバー名>\InterChk\ESXP" -user "USER" -pwd "PWD" -mng yes
REM --- End of the script
:_End