コンテンツにスキップ
Reports
Dev Classmethod Jp Articles Aws Deadline Cloud Windows Worker Agent User

Windows の AWS Deadline Cloud Worker でジョブが同じエラーで 3 回拒否された話

  • URL: https://dev.classmethod.jp/articles/aws-deadline-cloud-windows-worker-agent-user
  • 日付: 2026-06-22
  • Tier: Tier 2
  • 要旨: AWS Deadline Cloud CMF の Windows Worker で WORKER_AGENT_USER モード(ジョブを Worker Agent と同じ OS ユーザーで実行)を使用時、同じエラーが 3 回異なる原因で発生。(1) deadline-worker が Administrators グループに自動加入・除外必要、(2) SeAssignPrimaryTokenPrivilege 特権が自動付与・特権削除後は再取得必須、(3) scheduler.py のハードコード判定で Windows は WORKER_AGENT_USER モードを既定拒否・worker.toml で run_jobs_as_agent_user = true でオプトイン。エラー文言を額面どおりに読まずソースコード確認が有効。

詳細

AWS Deadline Cloud CMF の Windows Worker で WORKER_AGENT_USER モード(ジョブを Worker Agent サービスと同じ OS ユーザーで実行・ジョブ実行専用ユーザー不要)を使用時に「Job cannot run as WORKER_AGENT_USER. Worker Agent is running with Administrator privileges.」エラーが 3 回異なる原因で発生。各対処と背景:(1) deadline-worker が Administrators グループに自動加入 ─ install-deadline-worker が Windows deadline-worker 非対話ユーザーを Administrators に加入させるが、Deadline Cloud は Administrators メンバーを WORKER_AGENT_USER 対象から除外。対処は Remove-LocalGroupMember で除外・サービス再起動。(2) SeAssignPrimaryTokenPrivilege が自動付与 ─ グループ除外後も再発。secedit /export で User Rights Assignment を確認すると deadline-worker に特権が付与。Deadline Cloud のチェックは Administrators 所属だけでなく特権保持者も Administrator 相当と判定。特権を一度除外してチェックを進める(但し run_jobs_as_agent_user=true では子プロセス起動に必須なので最終的に再付与)。(3) scheduler.py のハードコード判定 ─ 特権を外しても再発。Worker Agent ソース確認すると os.name==“nt”(Windows 判定)だけで WORKER_AGENT_USER を既定拒否。実行時の権限は一切見ていない仕様。正しい対処は worker.toml で run_jobs_as_agent_user=true を明示的にオプトイン。最終状態:deadline-worker Administrators 除外・SeAssignPrimaryTokenPrivilege 維持・run_jobs_as_agent_user=true で初めてモードが動作。エラー文言を信じ込まず源泉確認が重要。

Dev Classmethod Jp Articles Aws Deadline Cloud Cmf Private Vpc Sts EndpointDev Classmethod Jp Articles Aws Pask Hyperpod Nvidia Isaac Gr00t Finetuning