NT ドメインをソースとして使用し、システム ツリーに追加します。グループを NT ドメインと同期させる場合、そ のドメインのすべてのシステムをフラット リストとしてグループに追加します。単一のグループでシステムを管理 するか、またはより細かい編成要件を実現するのであれば、サブグループの作成後に自動ソートを実行して、そのサ ブグループにシステムを自動的に追加するなどの方法を使用します。
システムをシステム ツリーの他のグループまたはサブグループに移動する場合、システム ツリーの他の場所にすで にそのシステムが存在する場合は追加しないようにします。これにより、システム ツリーにあるシステム エントリ の重複を回避できます。
Active Directory の同期化と異なり、NT ドメインの同期化で同期されるのはシステム名のみです。システムの説明
は同期されません。
条件によるソート
ePolicy Orchestrator の以前のリリースと同様に、IP アドレス情報を使用して自動的に管理対象のシステムを特定 のグループにソートできます。また、タグ (システムに割り当てられるラベル) に基づいたソート条件を作成するこ ともできます。条件のどちらか一方または両方を使用して、システムがシステム ツリー内の対象の場所に存在するこ とを確認できます。
グループのソート条件に 1 つでも一致すれば、システムがそのグループに配置されます。
グループの作成とソート条件の設定が完了したら、[ソート テスト] アクションを実行してその条件とソート順序が 該当の結果になっているかを確認します。
グループにソート条件を追加したら、[今すぐソート] アクションを実行できます。このアクションにより、自動的に 選択したシステムを適切なグループに移動できます。グループのソート条件に一致しないシステムは「未分類」に移 動します。
新しいシステムは、最初のサーバー通信時に適切なグループに自動的に追加されます。ただし、最初のエージェント/
サーバー間通信の後にソート条件を定義した場合、該当するシステムに対して [今すぐソート] アクションを実行し て即座に適切なグループに移動させるか、次のエージェント/サーバー間通信まで待つ必要があります。
システムのソート ステータス
システムまたはシステムの集合に対して、システム ツリーのソートを有効または無効にすることができます。あるシ ステムに対してシステム ツリーのソートを無効にした場合、[ソート テスト] アクションが実行される場合を除き、
そのシステムをソート アクションの実行から除外することができます。ソート テストが実行されると、システムま たは集合のソート ステータスが考慮され、[ソート テスト] ページから移動またはソートされます。
McAfee ePO サーバーに対するシステム ツリーのソート設定
ソートを実行する場合、サーバーおよびシステムに対してソートが有効になっている必要があります。デフォルトで は、システムのソートが有効になっています。このため、システムは最初のエージェント/サーバー間通信時にソート され (既存のシステムに変更がある場合は次回の通信)、再度ソートされることはありません。
システムのソート テスト
この機能を使用して、ソート アクション時にシステムが配置される場所を確認します。[ソート テスト] ページに、
システムとシステムがソートされる場所へのパスが表示されます。このページにはシステムのソート ステータスは 表示されませんが、このページでシステム (ソートが無効化されているシステムも可) を選択して [システムを移動]
をクリックすると、特定した場所にシステムが配置されます。
ソート設定による影響
システムのソートの有無とそのタイミングを決定するサーバー設定には 3 種類あります。また、システム ツリー内 の選択したシステムに対して、システム ツリーのソートを有効または無効にすることでソート対象となるシステムを 選択することができます。
サーバーの設定
サーバーには以下の 3 つの設定があります。
• [システム ツリーのソートの無効化] - 条件に基づいたソートがセキュリティ管理要件に一致せず、他のシステ ム ツリー機能 (Active Directory の同期化など) を使用してシステムを編成する場合、この設定を選択して McAfee ePO ユーザーが誤ってグループに対してソート条件を設定したり、システムを該当の場所以外に移動す ることを回避します。
• [エージェントとサーバー間の通信時にシステムをソート] -各エージェント/サーバー間通信時にシステムがソ ートされます。グループに対するソート条件を変更すると、システムは次のエージェント/サーバー間通信で新し いグループに移動します。
• [システムを一度ソート] - 次のエージェント/サーバー間通信時にシステムがソートされると、この設定が選択 されている間はエージェント/サーバー間通信時にソートされなくなります。ただし、システムを選択し [今すぐ ソート] クリックすると、このようなシステムをソートすることができます。
システム設定
任意のシステムに対して、システム ツリーのソートを無効または有効にすることができます。あるシステムに対して 無効にした場合、ソートが実行されてもそのシステムはソートされません。ただし、[ソート テスト] アクションを 実行するとこのシステムがソートされます。あるシステムで有効にした場合、そのシステムは手動での [今すぐソー ト] アクション実行時やエージェント/サーバー間通信時に常にソートされます。どのタイミングでソートされるか は、サーバーのシステム ツリーのソートの設定によって異なります。
IP アドレスのソート条件
多くのネットワークでは、地理的な場所や機能など、サブネットと IP アドレス情報に組織の区別が反映されていま す。IP アドレスの編成が必要な場合、該当するグループに対して IP アドレスのソート条件を設定し、一部またはす べてのシステム ツリー構造の作成と保持を実施することを考慮します。
このバージョンの ePolicy Orchestrator では、この機能が変更されています。ツリー全体で IP ソート条件をラン ダムに設定できます。親グループに条件が設定されていなければ、下位グループの IP アドレス ソート条件を親グル ープのサブセットに一致させる必要はありません。設定後は、エージェント/サーバー間通信時か、またはソート ア クションを手動で開始したときにシステムをソートできます。
IP アドレスのソート条件は異なるグループ間で範囲が重ならないようにしてください。あるグループのソート条件の 各 IP アドレスの範囲またはサブネット マスクは、一意の IP アドレスのセットにする必要があります。条件が重なっ ていると、それらのシステムのソート先のグループは、[システムツリー] 、 [グループの詳細] の順に移動して表示さ れたタブ上のサブグループの順番に依存します。[グループの詳細] タブの [IP の整合性チェック] アクションを使用 して、IP の重複をチェックできます。
タグに基づいたソート条件
IP アドレス情報を使用してシステムを適切なグループにソートする以外に、各システムに割り当てたタグに基づいて ソート条件を定義することができます。
タグに基づいたソート条件は IP アドレスに基づいたソート条件と併用できます。
グループの順序とソート
グループのサブグループの順序を設定することで、ソート時にシステムを配置する際に設定した順序でソートするこ とができます。これにより、システム ツリー管理でより高い柔軟性を実現することができます。
複数のサブグループが条件に一致する場合、この順序を変更してシステム ツリー内のシステムのソート先を変更する ことができます。
また、catch-all グループを使用している場合は、リストの最後のサブグループに表示されます。
catch-all グループ
catch-all グループは、グループの [ソート条件] ページの [その他] に設定されるソート基準のグループです。ソー ト順序の最後にあるサブグループが、catch-all グループとなります。これらのグループは、親グループにソートさ れたが catch-all のピアにソートされなかったすべてのシステムを受信します。
ソート実行時のシステム ツリーへのシステムの追加方法
エージェントがサーバーと初回通信を行うと、サーバーはアルゴリズムを使用してシステムをシステム ツリーに配置 します。サーバーがシステムの適切な配置場所を特定できない場合、システムは未分類グループに配置されます。
サーバーは、各エージェント/サーバー間通信時にエージェント GUID を使用してシステム ツリーのシステムを特定 しようとします (システムのエージェントがサーバーに通信済みで、そのシステムにデータベースのエージェント GUID が割り当てられている場合のみ)。GUID に一致するシステムが検出された場合、既存の場所と同じになりま す。
一致するシステムが検出されない場合は、サーバーはアルゴリズムを使用してシステムを適切なグループにソートし ます。パス内の各親グループにそれぞれ一致する条件が存在する限り、構造の深さに関係なく、システムはシステム ツリーの条件に基づいたグループにソートされます。条件に基づいたサブグループの親グループは、条件がないか、
条件に一致するかのいずれかである必要があります。
サブグループのソート順 ([グループの詳細] タブで定義) によって、条件に一致するグループを検索するときにサー バーがサブグループを認識する順番が変わります。
1 エージェントの GUID がない (システムのエージェントが一度も通信を行っていない) 場合、サーバーはドメイ ンと同じ名前のシステムをグループ内で検索します。一致するシステムが検出された場合、そのグループに配置 されます。これは、Active Directory または NT ドメインの最初の同期化後、またはシステム ツリーにシステム を手動で追加したときに発生する可能性があります。
2 一致するシステムを検出できない場合、サーバーはシステムの元のドメインと同じ名前のグループを検索します。
一致するグループを検出できない場合、未分類グループの下にグループが作成され、そこにシステムが配置され ます。
3 システムのプロパティが更新されます。
4 各エージェント/サーバー間通信時にサーバーによってソート条件が実行されるように設定されている場合、サー バーは条件に基づいたタグをすべてシステムに適用します。
5 システム ツリーのソートがサーバーとシステムの両方で有効になっているかどうかで次の動作が異なります。
• サーバーとシステムでシステム ツリーのソートが無効になっている場合、システムの場所に変動はありませ ん。
• サーバーとシステムでシステム ツリーのソートが有効になっている場合、システム ツリー グループのシステ ムはソート条件に基づいて移動します。
Active Directory または NT ドメインの同期化によって追加されたシステムは、デフォルトでシステム ツリ ーのソートが無効になっています。このため、最初のエージェント/サーバー間通信ではソートされません。