Active Directory グループポリシーを使用して Sophos Anti-Virus をインストールする

Windows 2000/2003 環境では、Active Directory を使用してドメインに適用されるグループポリシーを設定し、ドメインに参加した Windows NT/2000/XP/2003 コンピュータすべてに Sophos Anti-Virus が自動的にインストールされるようにできます。この場合、Enterprise Console がネットワークにインストールされている必要はありません。

説明・対策

スタートアップスクリプトとして実行するバッチファイルを作成します。これは、グループ内の各コンピュータが起動する際、Sophos Anti-Virus がインストールされているかチェックします。保護されていないコンピュータには Sophos Anti-Virus がインストールされます。

既にデフォルトポリシーを使用している場合、それを編集し、以下のコマンドを含めてください。

1. 次のいずれかの操作を行ってください。
   • Windows 2000 環境では、「スタート」-「設定」-「コントロールパネル」-「管理ツール」を選択」します。
   • Windows 2003 では、「スタート」-「管理ツール」を選択」します。
2. 「Active Directory ユーザーとコンピュータ」を開きます。
3. 左側ペインのツリーで、ドメインを右クリックし、「プロパティ」を選択します。
4. 「グループポリシー」タブを選択します。
5. 「Default Domain Policy」を選択して、「編集」をクリックします。
6. 左側ペインの「グループポリシーオブジェクトエディタ」で、「コンピュータの構成」-「Windows の設定」-「スクリプト」を表示します。
7. 右側ペインで、「スタートアップ」をダブルクリックします。
8. 「スタートアップのプロパティ」ダイアログボックスで、「ファイルの表示」をクリックします。
9. 表示されるウィンドウで、「新規作成」-「テキストドキュメント」を選択します。
10. このファイルの名前を 'InstallSAV.bat' に変更します。
11. 'InstallSAV.bat' を右クリックして、「編集」を選択します。
12. 次のようにしてファイルを編集します。
    
    注： スクリプトの編集については、こちらをご覧ください。
    
    
    • Windows 2000/XP/2003 にインストールするには、以下のコマンドを入力します。
    • Windows NT にインストールするには、同じコマンドを入力しますが、ESXP を ESNT で置き換えてください。
    
    @ECHO OFF
REM --- Check for an existing installation of Sophos AutoUpdate
if exist "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
REM --- Deploy to Windows 2000/XP/2003
\\<サーバー名>\InterChk\ESXP\Setup.exe -updp "\\<サーバー名>\InterChk\ESXP" -user "ユーザー名" -pwd "パスワード" -mng yes
REM --- End of the script
:_End

以下のようにして、適切なストリングを挿入してください。
    • "サーバー名" は、セントラルインストールディレトリ（CID）があるサーバーの名前です。通常これは、Enterprise Console がインストールされたサーバーです。
    • "ユーザー名" は、CID 上のファイルへのアクセス権限のあるユーザーのユーザー名です。
    • "パスワード" は、上記ユーザーのパスワードです。
    次のようにしてオプションスイッチを挿入します。
    • '-updp' はプライマリ・アップデート元を指定します。HTTP アドレスを指定することもできます。
    • '-mng' は、Enterprise Console によってインストールが管理されるかを定義します。Enterprise Console がない場合、このオプションスイッチの値は 'no' にしてください。
      
    詳細情報は、setup.exe で使用できるオプションスイッチ をご覧ください。
13. ファイルを保存して、作業していたウィンドウを閉じます。
14. 「スタートアップのプロパティ」ダイアログボックスで、「追加」をクリックします。
15. 「スクリプトの追加」ダイアログボックスで、「参照」をクリックします。
16. 'InstallSAV.bat' を選択して、「開く」をクリックします。
17. 「OK」-「適用」-「OK」をクリックします。

このスタートアップスクリプトで、プレーンテキストのユーザー名やパスワードを使用したくない場合は、ユーザー名やパスワードを難読化することができます。

---

スクリプトの編集について

スクリプトを編集する際には、次の点にご注意ください。

• 編集ウィンドウにコマンドを入力する際には、コマンド全体を一行に挿入してください。
• 改行を挿入すると、コマンドは稼動しなくなります。
• 行は右端で折り返さないようにしてください。

ここで説明するコマンドは複数の行にまたがって表示されている場合もありますが、これはこのウィンドウで右端が折り返されることによります。上の操作で使用するテキストエディタでは、行の折り返しを無効にすれば一行に表示されます。ここでの例で、テキストは以下のように、すべて一行に収めることが必要です。

\\<サーバー名>\InterChk\ESXP\Setup.exe -updp "\\<サーバー名>\InterChk\ESXP" -user "ユーザー名" -pwd "パスワード" -mng yes

---

スタートアップスクリプトの例

以下のスタートアップスクリプトにて、インストール済みのソフォス製品があるかをチェックする方法、およびこのスクリプトを使ったインストールから特定のコンピュータを除外する方法をご覧いただけます。

Sophos Anti-Virus の既存インストールがあるかをチェックする

@ECHO OFF
REM --- Check for an existing installation of Sophos Anti-Virus
if exist "C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe" goto _End
REM --- Deploy to Windows 2000/XP/2003
\\<サーバー名>\InterChk\ESXP\Setup.exe -updp "\\<サーバー名>\InterChk\ESXP" -user "ユーザー名" -pwd "パスワード" -mng yes
REM --- End of the script
:_End

このスクリプトによるインストールから特定のサーバーを除外する

@ECHO OFF
REM --- Check for an existing installation of AutoUpdate
if exist "C:\Program Files\Sophos\AutoUpdate\ALsvc.exe" goto _End
REM --- Check for servers not to install to
if %COMPUTERNAME% == SERVER1 goto _End
if %COMPUTERNAME% == SERVER2 goto _End
REM --- Deploy to Windows 2000/XP/2003
\\<サーバー名>\InterChk\ESXP\Setup.exe -updp "\\<サーバー名>\InterChk\ESXP" -user "ユーザー名" -pwd "パスワード" -mng yes
REM --- End of the script
:_End