Windowsマシンのログオンアカウントの変更

[エージェントコンポーネントの選択] タブで、[エージェントサービスのログオンアカウント] を指定してサービスが実行されるアカウントを決定します。次のいずれかを選択できます。

  • サービスユーザーアカウントを使用する(エージェントサービスのデフォルト)

    サービスユーザーアカウントは、サービスの実行に使用される Windows のシステムアカウントです。この設定の利点は、ドメインのセキュリティポリシーがそれらのアカウントのユーザー権限に影響を及ぼさないことです。デフォルトでは、エージェントはローカルシステムのアカウントで実行されます。

  • 新しいアカウントを作成する

    エージェントのアカウント名は「Agent User」になります。

  • 次のアカウントを使用する

    ドメインコントローラー上にエージェントをインストールする場合は、エージェントに既存のアカウント(または同じアカウント)を指定するようシステムから求められます。セキュリティ上の理由で、システムはドメインコントローラー上に新しいアカウントを自動作成しません。

    ドメインコントローラー上でセットアッププログラムを実行する際に指定するユーザーアカウントには、サービスとしてログオンする権限を付与する必要があります。ドメインコントローラーのマシン上にプロファイルフォルダを作成するには、該当のマシンでこのアカウントが既に使用されている必要があります。

    関連項目: gMSA アカウントを Cyber Protection エージェントで使用する

    読み取り専用ドメインコントローラーに対するエージェントインストールの詳細については、こちらのナレッジベースの記事を参照してください。

[新しいアカウントを作成する] または [次のアカウントを使用する] のオプションを選択する場合は、ドメインのセキュリティポリシーが、関連するアカウントの権限に影響を及ぼさないようにしてください。インストール中に割り当てられたユーザー権限がアカウントからなくなると、コンポーネントが不適切な動作をする、またはまったく動作しなくなる場合があります。
インストール完了後、ログオンアカウントを手動で変更することは推奨されないことにご注意ください。

ログオンアカウントで必要な権限

WindowsのCyber Protectionエージェントは、保護されたWindowsマシンのManaged Machine Service(MMS)として稼働します。エージェントを実行するアカウントは、エージェントを正しく実行するのに必要な権限を持っていなければなりません。MMSユーザーアカウントは以下の通り設定する必要があります。

  1. Backup OperatorsグループとAdministratorsグループに追加します。ドメインコントローラーでは、Domain Adminsグループにユーザーを追加する必要があります。

  2. フォルダ%PROGRAMDATA%\Acronisおよびそのサブフォルダに フルコントロールの許可を付与します。

    Windows XPおよびServer 2003では、フォルダ %ALLUSERSPROFILE%\Application Data\Acronis およびそのサブフォルダに許可を付与する必要があります。

  3. 次のキーにある特定のレジストリキーに対して [フルコントロール] を許可します。HKEY_LOCAL_MACHINE\SOFTWARE\Acronis

  4. 以下のユーザー権限を割り当てます。

    • サービスとしてログオン
    • プロセスのメモリクォータの調整
    • プロセスレベルトークンの置き換え
    • ファームウェアの環境値の修正

ユーザー権限を割り当てる方法

ユーザー権限を割り当てるには、以下の手順を実行します(この例では [サービスとしてログオン] ユーザー権限を使用していますが、他のユーザー権限の場合も手順は同じです)。

  1. 管理権限を持つアカウントを使用してコンピューターにログオンします。
  2. Windows コントロールパネルから 管理ツールを開き、次に ローカル セキュリティポリシーを開きます。
  3. [ローカルポリシー] を展開してから、[ユーザー権限の割り当て] をクリックします。
  4. 右側のペインで [サービスとしてログオン] を右クリックして、[プロパティ] を選択します。
  5. 新しいユーザーを追加するには、[ユーザーまたはグループの追加] ボタンをクリックします。
  6. [ユーザー、コンピューター、サービスアカウント、またはグループの選択]ウィンドウで、この権限を割り当てるアカウントを見つけて、[OK]をクリックします。
  7. [サービスのプロパティとしてログオン][OK] をクリックし、変更内容を保存します。

[サービスとしてログオン] ユーザー権限に追加したユーザーが [ローカルセキュリティポリシー][サービスとしてログオンを拒否する] のリストに含まれていないことを確認してください。

gMSA アカウントを Cyber Protection エージェントで使用する

グループ管理サービスアカウント(gMSA)を使用すると、パスワードを管理することなく、複数のサーバーでサービスを実行できます。

インストール後に Acronis Cyber Protection エージェントが使用するユーザーアカウントを変更して、エージェントが gMSA を使用できるようにする場合は、次の手順を実行します。

ログオンアカウントを変更するマシンに以前に割り当てられていたすべての保護計画は機能しなくなり、アカウントを変更した後に取り消して再適用する必要があります。

Cyber ProtectionエージェントがgMSAを使用できるようにするには

  1. Microsoft [サポート技術情報]に記載されている標準手順に従って、gMSA を作成します。
  2. セクション ログオンアカウントで必要な権限 に記載されているように gMSA を構成します。
  3. エージェントが実行されているマシン上のMMSサービスのログオンアカウントとしてgMSAを割り当てます。

    1. Windows スタート メニューを開き、services.msc と入力してローカル サービスの一覧を開きます。

    2. [Acronis Managed Machine Service]を右クリックし、 [プロパティ]をクリックします。

    3. [ログオン] タブで [このアカウント] を選択し、[参照] をクリックして使用する gMSA を見つけます。

    4. [OK] をクリックします。

  4. 必要に応じて保護計画を適用します。
    • ログオンアカウントを変更する前にマシンに適用されていた保護計画がある場合は、それらの計画を取り消して再適用します。
    • マシンに保護計画が適用されていない場合は、新しい保護計画を作成するか、既存の計画を選択して適用します。