|
重要: PaperCut MF/Plus Version 22.1.1以降をお使いの場合、
l
PaperCut
Application Serverのサービス・アカウント – 読み取り権限を許可, 書き込み権限を拒否 l
PaperCut
Print Providerのサービス・アカウント – 読み取り権限を拒否, 書き込み権限を拒否
上記のように権限を設定することによりサービス・アカウントは「security.properties」を |
PaperCut サービスをWindowsのサービス・アカウントまたはドメインユーザとして実行するように設定しなければならないことがあります。
この記事ではPaperCutサービス実行ユーザの設定方法、およびユーザアカウントに必要な権限について説明します。
どのような場合にPaperCutサービスをドメインユーザアカウントで実行する必要があるのか?
Windows サーバにPaperCut をインストールすると、
サービス「PaperCut Application Server」や「PaperCut Print Provider」などいくつかのサービスが作成されます。
これらサービスは、デフォルトではローカルのSYSTEMアカウントとして実行されます。
ローカルのSYSTEMアカウントとして実行されることにより、ほとんどの環境で動作するように、サーバ上で必要なすべての権限が付与されます。
ほとんどのPaperCut環境においては、これらサービスの設定はデフォルトのままの方が良いです。
しかし、Windows環境の場合、ローカルのSYSTEMアカウントにアクセスする権限がないため、
PaperCutの構成によっては、ローカルのSYSTEMアカウントの代わりにドメインユーザアカウントやサービス・アカウントを
PaperCutサービスの実行アカウントとして設定する必要がある場合があります。
下記は、ドメインユーザやサービス・アカウントが必要となる状況です。
● PaperCutが他のサーバにホストされているファイル共有へアクセスするように設定されている場合
● プリント・アーカイブが有効化されていて、集中アーカイブが任意のロケーションにある場合
● 統合スキャン機能で、「フォルダへスキャン」アクションが設定されている場合
● 複数のActive Directoryドメインからユーザをインポートする場合、
PaperCutサーバが参加しているドメインとは別のActive Directory ドメインから同期するように設定している場合
● Web Print Service (デフォルト・モード) が有効化されていて、プリント・キューがPaperCutサーバとは異なるサーバにホストしている場合
● Find Me プリントが設定されていて、送信元と送信先のキューが異なるプリント・サーバにホストしている場合(クロスサーバ・リダイレクション)
● PaperCutがWindowsクライアントに対してWinpopup通知を送信するように設定している場合
● 組織固有のセキュリティポリシーにより、SYSTEM以外のアカウントを使用しないとActive Directoryとの同期がうまくいかない場合
PaperCutサービスを実行するアカウントに必要な権限
下記はPaperCutサービスのアカウントに必要な権限です。
● ローカル管理者権限:
PaperCutサービス(PaperCut Application Server, PaperCut Print Provider, PaperCut Web Print Server, PaperCut Mobility Print Server など) が
正常に起動し、意図したとおりに実行されるように、PaperCutサービスが実行されているサーバ上のこれらサービスの実行ユーザを
ローカル管理者権限を持つアカウントに設定
● 他のプリント・サーバ上のキューにプリント・ジョブを転送:
複数のプリント・サーバがある環境で、各サーバにホストされているバーチャル・キューが、
他のサーバ上の物理キューにプリント・ジョブを転送するように設定している場合、
他のプリント・サーバ上のキューにプリント・ジョブを送信する権限が必要です。
PaperCut Print Providerサービスは、デフォルトではLocal SYSTEMアカウントとして実行されます。
すべてのプリント・サーバ上のPaperCut Print Provider サービスの実行ユーザをLocal SYSTEMから権限のあるユーザに変更してください。
● セントラル・アーカイブを使用したプリント・アーカイブ機能、
またはScan To Folder を使用した統合スキャン機能を使用している場合:
PaperCutプライマリ・サーバ以外のサーバにホストされているファイル共有に対して読み取り、書き込み、変更の権限を付与。
● PaperCutプライマリ・サーバがドメインに参加していない場合、
もしくはサーバ参加しているドメインとは異なるActive Direcotryドメインからユーザ同期するように設定している場合:
PaperCutのメンバシップを必要とするすべてのセキュリティ・グループにおいて、すべてのユーザのすべてのAD属性を読み取る権限
PaperCutサービスを別のアカウントで実行するための設定方法
ドメイン・ユーザもしくはサービス・アカウントをPaperCutサービスの実行ユーザに設定する場合、注意が必要です。正しく設定しないと、
PaperCutサービスを開始することができなくなります。PaperCutサービスの実行ユーザの変更は業務に影響のない時間帯に実行するようにしてください。
1. Active Direcotryの「ユーザーとグループ」からPaperCutの
ドメイン・ユーザ・アカウントもしくはサービス・アカウントを作成してください。
2. PaperCutを実行しているすべてのサーバにローカル管理者権限を含む必要な権限を割り当てます。
また、PaperCutがアクセスするように構成されているネットワーク・リソース(ファイル共有など)に対して、
読み取り/書き込み/変更の権限を設定してください。
3. PaperCutを実行しているサーバ上で、[Windows]キー + [R] キーを押下し、
「services.msc」と入力して[Enter]キーを押下してください。
「サービス」が開きます。
4. サービス一覧から「PaperCut Application Server」を右クリックし、
ショートカットメニューから「プロパティ」を選択してください。
5. <ログオン>タブを開き、「アカウント」を選択してください。
そして1で作成した新しいアカウント名とパスワードを入力してください。
6. [OK] をクリックしてください。
7. サービス「PaperCut Application Server」を再起動してください。
再起動には数十秒かかります。
8. 必要に応じて他のPaperCutサービス(PaperCut Print Provider, PaperCut Web Print Server, PaperCut Mobility Print など) の
ログオン・アカウントも変更してください。
注記: PaperCutサービスを実行しているアカウントに、実行中のサーバのローカル管理者権限がない場合、
PaperCutサービスは起動しないか、期待通りに動作しない可能性があります。実行アカウントに適切な権限を設定することが、
PaperCutサービスを期待通りに動作させるためのキーとなります。
また、PaperCutをサービス・アカウントとして実行するように設定したが
パスワードが期限切れでリセットに間に合わなかったりPaperCutがジョブをトラッキングすることができなくなったり、完全に動作しなくなったりする場合があります。
サービス・アカウントを使用するようにPaperCutを設定する必要がある場合、パスワードが失効しないようにアカウントを設定するか、
このパスワードを定期的に更新するように未来の自分にリマインダーを送るようにしてください。
|
注記: ドメインでNTLMv2プロトコルを無効化している場合(PaperCut環境では推奨しておりません)、 |
-------------------------
https://www.papercut.com/kb/Main/ServiceAccount
0 件のコメント :
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。