アプリケーション互換性ツールキット データ コレクターが ACT ログ共有への書き込みに失敗するのはなぜですか?

tag-icon tag-icon network-share windows
アプリケーション互換性ツールキット データ コレクターが ACT ログ共有への書き込みに失敗するのはなぜですか?

Microsoft Application Compatibility Toolkit 5.6 (バージョン 5.6.7320.0) を動作させようとしていますが、データ コレクターが ACT ログ共有に書き込むことができません。

構成は以下のとおりです。

マシン: ACT-Server
ドメイン: mydomain.example.com
OS: Windows 7 Enterprise 64 ビット版
Windows ファイアウォール構成: パブリック、ドメイン、プライベート ネットワークでファイルとプリンターの共有 (SMB 受信) が有効になっています ACT ログ共有: ACT
共有のアクセス許可*:

グループ/ユーザー名 許可権限
---------------------------------------
全員フルコントロール
管理者フルコントロール  
ドメイン管理者のフルコントロール  
管理者のフルコントロール  
匿名ログオン フルコントロール

フォルダ権限*:

グループ/ユーザー名 許可する権限 適用先
-------------------------------------------------
匿名ログオン このフォルダ、サブフォルダ、およびファイルの読み取り、書き込み、実行  
ドメイン管理者 フルコントロール このフォルダ、サブフォルダ、およびファイル
誰でもこのフォルダ、サブフォルダ、ファイルの読み取り、書き込み、実行が可能
管理者 フルコントロール このフォルダ、サブフォルダ、およびファイル
作成者 所有者 フルコントロール サブフォルダとファイル
SYSTEM フルコントロール このフォルダ、サブフォルダ、およびファイル
インタラクティブ フォルダをトラバース / このフォルダ、サブフォルダ、およびファイル
                           ファイルを実行する、
                  フォルダの一覧表示/データの読み取り、
                  属性の読み取り、
                  拡張属性を読み取り、
                  ファイルの作成/データの書き込み、
                  フォルダの作成/データの追加、
                  属性を記述する、
                  拡張属性を書き込む、
                  サブフォルダとファイルを削除する、
                  削除、読み取り権限
サービス(INTERACTIVEと同じ)
バッチ(インタラクティブと同じ)

*これらの権限が過剰であることは十分承知していますが、それはこの質問の趣旨ではありません。

データ コレクターを実行しているクライアントの一部はドメイン メンバーですが、一部はそうではありません。これは Windows ファイル共有のアクセス許可の問題か、ネットワーク アクセス ポリシーの問題であると想定して作業していますが、もちろん間違っている可能性もあります。

私の理解では、データ コレクターは、ドメイン メンバーの場合、ネットワーク上で MYDOMAIN\machineaccount として表示される SYSTEM アカウントのセキュリティ コンテキストで実行されます。また、多数のドキュメントを読んだ結果、上記のように ANONYMOUS LOGON 権限を設定すると、これらのコンピューター アカウントとドメインに参加していないコンピューターが共有にアクセスできるようになると理解しています。

接続をテストするために、ACT-Server に Windows XP Mode 仮想マシン (VM) をセットアップしました。VM で、SYSTEM として実行しているコマンド プロンプトを開きました (古い "at" コマンド トリックを使用)。このコマンド プロンプトを使用して explorer.exe を実行しました。この Windows Explorer インスタンスで、アドレス バーに \ACT-Server\ACT と入力すると、ログオン資格情報の入力を求められました。ただし、目的はプロンプトを表示しないことでした。また、接続試行が失敗するたびに、コマンド プロンプト ウィンドウで "net use /delete" コマンドを使用して、ACT-Server\IPC$ 共有への接続を削除しました。

適切な例外が設けられるようにしました

ACT-Server はドメイン メンバーであるため、「ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル」セキュリティ ポリシーは「クラシック - ローカル ユーザーが自分自身として認証する」に設定されています。それにもかかわらず、ゲスト アカウントを有効にして共有にアクセス許可を追加しようとしましたが、効果はありませんでした。

ここで何が欠けているのでしょうか? ACT データ コレクターがデータを正しく保存できるようにするためのステップとして、共有フォルダーへの匿名ログオンを許可するにはどうすればよいですか? 正しい方向に進んでいるのでしょうか、それとも問題は別のところにあるのでしょうか?

答え1

サーバーのローカル セキュリティ ポリシーのセキュリティ オプションで、ACT ログ共有名を「ネットワーク アクセス: 匿名でアクセスできる共有」ポリシーに追加します。この場合、単に「ACT」(引用符なし) になります。

答え2

質問の続きです。\AppCompat\ 共有にはさまざまなマシンからのファイルがたくさんありますが、「Microsoft Application Compatibility Manager」に表示されるのは、手動で実行したコンピューターだけです。GPO 経由で正常にプッシュアウトしましたが、前述したように、\AppCompat\ 共有にはさまざまなコンピューターからの大量のファイルがあります。しかし、「Data Collection Manager」に表示されるのは 1 台の PC だけなので、1 台のマシンからのデータしかありません。

回答はこちら: アプリケーション互換性クライアントは MSSQL データベースには表示されませんが、\AppCompat\ には表示されます。

関連情報