Windows エージェントにソフトウェア パッケージを展開すると、インストール プログラムは SYSTEM コンテキストで起動します。
Vista より前の Windows バージョンでは、サービスはすべてセッション 0 および SYSTEM コンテキストで起動されたアプリケーションで実行されていました。 これにはセキュリティ リスクがありました。 Windows Vista 以降のバージョンで、オペレーティング システムでは、セッション 0 にあるサービスを分離し、アプリケーションは他のユーザ セッション内で実行します。 サービスは、アプリケーション コードから始まる攻撃から保護されています。 Windows Vista 以降、対話型サービスの検出(Interactive Services Detection)サービスが追加されました。このサービスが実行中の場合、アプリケーションがユーザ インターフェースを表示する必要があるかどうかを検出し、その後、[対話型サービスの検出]ダイアログ ボックスを表示してセッション 0 に切り替え、続行します。 対話型サービスの検出サービスの詳細については、Microsoft のドキュメントを参照してください。
Windows Vista 以降で、対話型サービスの検出の設計変更は、ユーザ入力を必要とする対話式ソフトウェア インストールの問題を引き起こしました。
展開しているソフトウェアに以下の特性がある場合、インストールはセッション 0 のままになり、ユーザ入力を待機します。
入力 UI が表示されないため、Software Delivery ジョブはタイムアウトになります。
Software Delivery エージェントは CA ITCM r12 SP1 以降、対話型サービスの検出サービスをオンにすることによってユーザ入力を許可し、その後、終了前にサービスをオフにすることによってこのシナリオをサポートしています。
これにより、ソフトウェアがセッションに対応していなくても対話式ソフトウェアをインストールすることができます。対話型サービスの検出サービスの依存関係を完全に削除するには、 CA ITCM は、登録されている、または展開されているソフトウェア パッケージが対話式で、エージェント コンピュータに対するユーザ操作が必要であることを示すオプションを表示します。
この機能を使用するには、管理者は、ソフトウェア パッケージを登録するときにプロシージャ オプションで、またはパッケージを展開するときにジョブ設定で[ユーザ操作の有効化(Win LH Only)]オプションを選択します。 エージェントは、現在ログインしていてアクティブなユーザ セッションでソフトウェア インストーラを起動し、SYSTEM コンテキストでも起動します。
注:この機能は、対話式アプリケーションのインストールに役立ちますが、セキュリティを向上させるために Microsoft が提供する分離機能が損なわれます。 この機能を使用する場合には注意が必要です。
DM アップグレードの前に封印されたソフトウェア パッケージについては、[ジョブが実行されている間はユーザのログオンを不許可]オプションを選択しない限り、選択可能なオプションでユーザ操作(封印された状態でも)を有効にできます。
ユーザが 1 人もログインしていない場合、SD エージェントはユーザのログインを待機し、ジョブを実行します。
この機能は、ログオン シールドおよび再起動/ログオフに関連する特定の状況で以下の設定パラメータを使用します。 これらのパラメータは[DSM]-[Software Delivery]-[エージェント]の下にあります。
Windows Vista 以降のバージョンを実行するエージェントのどのセッションでジョブを実行するかを指定します。
値:
デフォルト: TRUE
制限:
[ログオン シールド]ステータスが[ユーザがログオフするまでジョブの実行を待機]または[ジョブの実行前にユーザを強制的にログオフ]、および[ユーザ操作の有効化 (WinLH のみ)]ジョブ プロパティが TRUE であるときの SD エージェント動作を指定します。
値:
デフォルト: FALSE
以下の操作を指定します。
値:
デフォルト: TRUE
制限: コンピュータにログオンしているユーザがおらず[Interactive Jobs: Run in user session on Longhorn OS family]が TRUE の場合、このパラメータが適用されます。
|
Copyright © 2013 CA.
All rights reserved.
|
|