Windowsマシンのログオンアカウントの変更
[エージェントコンポーネントの選択] タブで、[エージェントサービスのログオンアカウント] を指定してサービスが実行されるアカウントを決定します。次のいずれかを選択できます。
-
サービスユーザーアカウントを使用する(エージェントサービスのデフォルト)
サービスユーザーアカウントは、サービスの実行に使用される Windows のシステムアカウントです。この設定の利点は、ドメインのセキュリティポリシーがそれらのアカウントのユーザー権限に影響を及ぼさないことです。デフォルトでは、エージェントはローカルシステムのアカウントで実行されます。
-
新しいアカウントを作成する
エージェントのアカウント名は「Agent User」になります。
-
次のアカウントを使用する
ドメインコントローラー上にエージェントをインストールする場合は、エージェントに既存のアカウント(または同じアカウント)を指定するようシステムから求められます。セキュリティ上の理由で、システムはドメインコントローラー上に新しいアカウントを自動作成しません。
ドメインコントローラー上でセットアッププログラムを実行する際に指定するユーザーアカウントには、サービスとしてログオンする権限を付与する必要があります。ドメインコントローラーのマシン上にプロファイルフォルダを作成するには、該当のマシンでこのアカウントが既に使用されている必要があります。
関連項目: gMSA アカウントを Cyber Protection エージェントで使用する。
読み取り専用ドメインコントローラーに対するエージェントインストールの詳細については、こちらのナレッジベースの記事を参照してください。
ログオンアカウントで必要な権限
WindowsのCyber Protectionエージェントは、保護されたWindowsマシンのManaged Machine Service(MMS)として稼働します。エージェントを実行するアカウントは、エージェントを正しく実行するのに必要な権限を持っていなければなりません。MMSユーザーアカウントは以下の通り設定する必要があります。
- Backup OperatorsグループとAdministratorsグループに追加します。ドメインコントローラーでは、Domain Adminsグループにユーザーを追加する必要があります。
-
フォルダ
%PROGRAMDATA%\Acronis
およびそのサブフォルダに フルコントロールの許可を付与します。Windows XPおよびServer 2003では、フォルダ %ALLUSERSPROFILE%\Application Data\Acronis およびそのサブフォルダに許可を付与する必要があります。
- 次のキーにある特定のレジストリキーに対して [フルコントロール] を許可します。
HKEY_LOCAL_MACHINE\SOFTWARE\Acronis
。 -
以下のユーザー権限を割り当てます。
- サービスとしてログオン
- プロセスのメモリクォータの調整
- プロセスレベルトークンの置き換え
- ファームウェアの環境値の修正
ユーザー権限を割り当てる方法
ユーザー権限を割り当てるには、以下の手順を実行します(この例では [サービスとしてログオン] ユーザー権限を使用していますが、他のユーザー権限の場合も手順は同じです)。
- 管理権限を持つアカウントを使用してコンピューターにログオンします。
- Windows コントロールパネルから 管理ツールを開き、次に ローカル セキュリティポリシーを開きます。
- [ローカルポリシー] を展開してから、[ユーザー権限の割り当て] をクリックします。
- 右側のペインで [サービスとしてログオン] を右クリックして、[プロパティ] を選択します。
- 新しいユーザーを追加するには、[ユーザーまたはグループの追加] ボタンをクリックします。
- [ユーザー、コンピューター、サービスアカウント、またはグループの選択]ウィンドウで、この権限を割り当てるアカウントを見つけて、[OK]をクリックします。
- [サービスのプロパティとしてログオン]で [OK] をクリックし、変更内容を保存します。
[サービスとしてログオン] ユーザー権限に追加したユーザーが [ローカルセキュリティポリシー] の [サービスとしてログオンを拒否する] のリストに含まれていないことを確認してください。
gMSA アカウントを Cyber Protection エージェントで使用する
グループ管理サービスアカウント(gMSA)を使用すると、パスワードを管理することなく、複数のサーバーでサービスを実行できます。
インストール後に Acronis Cyber Protection エージェントが使用するユーザーアカウントを変更して、エージェントが gMSA を使用できるようにする場合は、次の手順を実行します。
Cyber ProtectionエージェントがgMSAを使用できるようにするには
- Microsoft [サポート技術情報]に記載されている標準手順に従って、gMSA を作成します。
- セクション ログオンアカウントで必要な権限 に記載されているように gMSA を構成します。
- エージェントが実行されているマシン上のMMSサービスのログオンアカウントとしてgMSAを割り当てます。
Windows スタート メニューを開き、
services.msc
と入力してローカル サービスの一覧を開きます。[Acronis Managed Machine Service]を右クリックし、 [プロパティ]をクリックします。
[ログオン] タブで [このアカウント] を選択し、[参照] をクリックして使用する gMSA を見つけます。
[OK] をクリックします。
- 必要に応じて保護計画を適用します。
- ログオンアカウントを変更する前にマシンに適用されていた保護計画がある場合は、それらの計画を取り消して再適用します。
- マシンに保護計画が適用されていない場合は、新しい保護計画を作成するか、既存の計画を選択して適用します。