この章では、Microsoft Active DirectoryをLDAPディレクトリとして構成し、使用する方法について説明します。
この章の項目は次のとおりです。
この項では、Oracle DatabaseでMicrosoft Active DirectoryがLDAPディレクトリ・サーバーとしてどのように使用されるかについて説明します。
次の項目について説明します。
Active Directoryは、Windowsサーバー・オペレーティング・システムに組み込まれているLDAP準拠のディレクトリ・サーバーです。Active Directoryには、ユーザー、グループ、ポリシーなど、Windowsオペレーティング・システムのすべての情報が格納されます。また、ネットワーク・リソース(データベースなど)に関する情報もActive Directoryに格納され、アプリケーション・ユーザーやネットワーク管理者はその情報を利用することができます。Active Directoryを使用すると、1回のログオンでネットワーク・リソースにアクセスできます。Active Directoryの対象は、1つの小規模コンピュータ・ネットワークのすべてのリソースから、複数の広域ネットワーク(WAN)のすべてのリソースにまでわたります。
Active DirectoryをサポートするOracle機能を使用する際は、ドメイン・コントローラに到達するすべてのTCP/IPホスト名形式を使用して、Active Directoryコンピュータに正常に到達できることを確認します。たとえば、ドメイン・コントローラのホスト名がドメインexample.com
のserver1
である場合、次のすべての形式を使用してそのコンピュータをpingできます。
server1.example.com
example.com
server1
Active Directoryでは、実行されている操作に応じて、これらのうちの1つ以上の形式で自身に対して照会を発行することがよくあります。どの形式でもActive Directoryコンピュータに到達できない場合は、なんらかのLDAP操作が失敗した可能性があります。
次のOracle Database機能は、Active Directoryとの統合をサポートするか、または特にそれを目的として設計されています。
Oracle Databaseでは、ディレクトリ・サーバーを利用するOracle Net Servicesディレクトリ・ネーミング機能を提供しています。この機能は、Microsoft Active Directoryとともに使用できるように設定されています。ディレクトリ・ネーミングにより、クライアントはLDAP準拠のディレクトリ・サーバー(Active Directoryなど)に一元的に格納された情報を利用して、データベースに接続できます。たとえば、tnsnames.ora
ファイルにすでに格納されているネット・サービス名はいずれもActive Directoryに格納できます。
Oracle Net Configuration Assistantでは、ディレクトリ・サーバーの自動検出が可能です。Active Directoryをディレクトリ・サーバー・タイプとして選択した場合、Oracle Net Configuration Assistantによりディレクトリ・サーバーの場所が自動検出され、関連するタスクが実行されます。
Active DirectoryのOracle Databaseサービス、ネット・サービス名およびエンタープライズ・ロールのエントリは、次の2つのWindowsツールで表示およびテストできます。
Windowsエクスプローラ
Active Directoryユーザーとコンピュータ
Windowsエクスプローラに、コンピュータ上のファイル、ディレクトリ、ローカル・ドライブおよびネットワーク・ドライブが階層構造として表示されます。そこで、Oracle Databaseサービスおよびネット・サービス名オブジェクトの表示およびテストも可能です。
「Active Directoryユーザーとコンピュータ」は、ドメイン・コントローラとして構成されたWindowsサーバーにインストールされる管理ツールです。このツールを使用すると、Windowsのアカウントおよびグループを追加、変更、削除、編成でき、組織のディレクトリ内のリソースを公開できます。Windowsエクスプローラと同様、Oracle Databaseサービスおよびネット・サービス名オブジェクトの表示およびテストも可能です。さらに、アクセス・コントロールも管理できます。
Windowsエクスプローラおよび「Active Directoryユーザーとコンピュータ」では、Oracle Databaseサービスおよびネット・サービス名オブジェクトのプロパティ・メニューが拡張されています。これらのOracleディレクトリ・オブジェクトを右クリックすると、接続テストに関する次の2つの新しいオプションが表示されます。
テスト
SQL*Plusと接続
「テスト」オプションは、最初に入力したユーザー名、パスワードおよびネット・サービス名で実際にOracle Databaseに接続できるかどうかをテストします。SQL*Plusと接続のオプションは、SQL*Plusを起動して、データベース管理やスクリプトの実行などができるようにします。
Active DirectoryのOracleディレクトリ・オブジェクト・タイプの記述が、より理解しやすいように改善されています。たとえば、図13-1の右側のペインの「種類」列から、sales
がOracleネット・サービス名であることがわかります。
Oracleのデータベース・ツールおよび構成ツールは、現在ログオンしているWindowsユーザーのログオン資格証明を使用して、ログオン資格証明を再入力しなくてもActive Directoryに接続できます。この機能には、次の利点があります。
OracleクライアントおよびOracleデータベースは、安全にActive Directoryに接続し、ネット・サービス名を取り出すことができます。
Oracle構成ツールは、自動的にActive Directoryに接続してOracle Databaseおよびネット・サービス名オブジェクトを構成できます。使用可能なツールには、Oracle Net Configuration AssistantおよびDatabase Configuration Assistantがあります。
Oracle Database 11gでは、インターネットを通じたセキュアなアクセスの実現により、ディレクトリに対する匿名バインドを回避するよう機能が拡張されています。セキュリティの強化により、各サイトでは、ディレクトリ・サーバーのデータベース・サービスのDNに対してアクセス制御(ACL)を設定することでデータベース・サービスへのアクセスを制限できます。この機能拡張により、クライアントでは、LDAPの名前参照に認証バインドを使用できます。クライアントでは、データベース・サービス・オブジェクト(データベース・サービス・エントリのDN)が制限付きのアクセス制御で構成されている場合、そのオブジェクトにアクセスできます。
認証された名前参照を必要とするマシンの構成
認証された名前参照を使用可能にするには、sqlnet.ora
に次のエントリを追加します。
names.ldap_authenticate_bind = TRUE
Oracle DatabaseおよびOracle Net Servicesがインストールされ、Active Directoryにアクセスできるように構成されている場合、図13-1に示すように「Active Directoryユーザーとコンピュータ」にはOracleディレクトリ・オブジェクトが表示されます。
図13-1 「Active Directoryユーザーとコンピュータ」でのOracleディレクトリ・オブジェクト
表13-1では、図13-1に表示されているOracleディレクトリ・オブジェクトについて説明します。
表13-1 Oracleディレクトリ・オブジェクト
オブジェクト | 説明 |
---|---|
|
作成したOracleコンテキストが属するドメインです。このドメイン(管理コンテキストとも呼ばれます)には、ディレクトリ・ネーミングをサポートする様々なOracleエントリが含まれます。Oracle DatabaseがActive Directoryと統合されている間は、Oracle Net Configuration Assistantによりこの情報は自動的に検出されます。 |
|
Active Directoryツリー内のトップレベルのOracleエントリです。ここに、Oracle Databaseサービスとネット・サービス名オブジェクトに関する情報が格納されます。Oracleソフトウェアに関するすべての情報は、このフォルダに配置されます。 |
|
この例で使用されるOracle Databaseサービス名です。 |
|
Oracle製品情報用のフォルダです。 |
|
この例で使用されるネット・サービス名オブジェクトです。 |
|
Oracleセキュリティ・グループ用のフォルダです。詳細は、「Oracleディレクトリ・オブジェクト用のアクセス制御リスト管理」を参照してください。Oracle Enterprise Security Managerで作成されたエンタープライズ・ユーザーおよびロールもこのフォルダに表示されます。 |
ネット・ディレクトリ・ネーミングをActive Directoryと統合して使用するには、MicrosoftおよびOracleの特定のソフトウェア・リリースを所有していること、さらにOracleスキーマ・オブジェクトとOracleコンテキストを作成することが必要です。これらの要件は、次の項目で説明します。
Oracle Databaseのエンタープライズ・ユーザー、ロールおよびドメインを管理するクライアント・コンピュータには、Oracle8i Clientリリース8.1.6以上およびサポート対象のWindowsオペレーティング・システムが必要です。
データベースには、Oracle8i Databaseリリース8.1.6以上が必要です。これは、データベース・サービスをオブジェクトとしてActive Directoryに登録するために不可欠です。データベースでは、サポート対象のWindowsオペレーティング・システムはすべて使用できます。
クライアント・コンピュータとデータベースはどちらもWindowsサーバー・ドメインのメンバーである必要があります。
ディレクトリ・ネーミング・アダプタは、デフォルトでは匿名でディレクトリに接続します。
ネット・ディレクトリ・ネーミング機能をActive Directoryとともに使用するには、Oracleコンテキストを作成する必要があります。Oracleコンテキストは、Active Directoryツリー内のトップレベルのOracleエントリです。ここに、Oracle DatabaseサービスとOracleネット・サービス名オブジェクトに関する情報が格納されます。
各Windowsサーバー・ドメイン(管理コンテキスト)に作成できるOracleコンテキストは1つのみです。
Oracle Net Configuration AssistantでOracleコンテキストをActive Directoryに作成するには、ドメインおよびエンタープライズ・オブジェクトを作成する権限が必要です。
Oracle Net Configuration Assistantを使用してOracleコンテキストを作成します。Oracle Databaseのカスタム・インストールの途中または後で、Oracleコンテキストを作成できます。
関連項目:
|
Oracle Net Configuration Assistant(NetCA)は、Oracleネットワーク構成の設定および管理に使用できるグラフィカルなウィザード・ベースのツールです。
Network Configuration Assistant(NetCA)を実行します。
NetCAを起動するには、次のようにします。
「スタート」→「すべてのプログラム」をクリックします。
「Oracle」→「Configuration and Migration Tools」をクリックし、次に「Net Configuration Assistant」をクリックします。
「ディレクトリ使用構成」オプションを選択し、「次へ」をクリックします。
ディレクトリ・タイプとして「Microsoft Active Directory」を選択し、「次へ」をクリックします。
注意: 「Microsoft Active Directory」構成オプションは、NetCAのWindowsバージョンでのみ使用できます。 |
Oracleで使用するディレクトリを構成してOracleスキーマおよびコンテキストを作成するオプションを選択し、「次へ」をクリックします。
Active Directoryのホスト名を入力し、「次へ」をクリックします。
Oracleスキーマをアップグレードするオプションを選択し、「次へ」をクリックします。
次のページに、ディレクトリ構成に成功したことを示すメッセージが表示されます。
Directory usage configuration complete! The distinguished name of your default Oracle Context is: cn=OracleContext,DC=home,DC=com
「次へ」をクリックし、「終了」をクリックします。
前述のメッセージで、部分的な成功のみが示されることがあります。
The Assistant is unable to create or upgrade the Oracle Schema for the following reason: ConfigException: Oracle Schema creation was successful, but Active Directory Display Specifier creation failed.oracle.net.config.ConfigException; TNS-04420: Problem LDAPMODIFY
「OK」をクリックし、「終了」をクリックします。
前述のエラーが表示された場合、メッセージを無視し、最初に指定した値を使用してNetCAを再実行してください。
ディレクトリ構成に成功したことを示すメッセージとともにウィザードが完了します。
Directory usage configuration complete! The distinguished name of your default Oracle Context is: cn=OracleContext,DC=home,DC=com
「次へ」をクリックし、「終了」をクリックします。
ネット・ディレクトリ・ネーミング機能をActive Directoryとともに使用するには、Oracleスキーマ・オブジェクトを作成する必要があります。スキーマ・オブジェクトとは、Active Directoryに格納されるOracle Net ServicesおよびOracle Databaseエントリとその属性に関する一連のルールです。Active Directoryとともに使用するOracleスキーマ・オブジェクトの作成には、次の制限事項が適用されます。
各フォレストに対して作成できるOracleスキーマ・オブジェクトは1つのみです。
Windowsサーバー・ドメイン・コントローラは、スキーマ更新を許可する操作マスターである必要があります。詳細は、オペレーティング・システムのドキュメントを参照してください。
Oracleスキーマ・オブジェクトを作成するには、次のようにします。
スキーマ管理者グループのメンバーとしてログオンします。ドメイン管理者は、デフォルトでスキーマ管理者グループに属します。
Oracle Net Configuration Assistantを使用してOracleスキーマ・オブジェクトを作成します。データベースのインストールの途中または後で、スキーマ・オブジェクトを作成できます。
24のデフォルト言語すべてを受け入れるようにActive Directoryの表示が構成されていない場合はOracle Net Configuration AssistantがActive Directoryをディレクトリ・サーバーとして構成している際に、Oracleスキーマ・オブジェクトの作成が失敗する可能性があります。Oracle Net Configuration Assistantがディレクトリ・アクセスの構成を完了する前に、次のようにコマンド・プロンプトに入力して、24言語すべての表示指定子が移入されているかを確認してください。
ldifde -p OneLevel -d cn=DisplaySpecifiers,cn=Configuration,domain context -f temp file
それぞれの意味は次のとおりです。
domain
context
は、このActive Directoryサーバー用のドメイン・コンテキストです。
たとえば、dc=example
,dc=com
などです。
temp
file
は、出力先となるファイルです。
このコマンドのレポートに出力されたエントリが24個未満の場合でも、Oracle Net Configuration Assistantは使用できます。しかし、レポートは、単に一部の言語の表示指定子が作成されなかったことを示しているのではなく、Oracleスキーマ・オブジェクトの作成が失敗したことを示しています。
作成されない表示指定子
Net Configuration Assistantでは、Active DirectoryにOracleスキーマ・オブジェクトが作成される際に、Oracleエントリの表示指定子は作成されません。つまり、Active DirectoryのインタフェースにOracle Databaseエントリを表示することはできません。
Oracleスキーマ・オブジェクトの作成後に、次の手順に従って、Net Configuration AssistantでOracleスキーマ・オブジェクトを作成したときに使用したものと同じWindowsユーザーIDを使用し、これらのエントリをActive Directoryに手動で追加できます。
コマンド・シェルを開きます。
ディレクトリをORACLE_HOME
\ldap\schema\ad
に変更します。
adDisplaySpecifiers_us.sbs
をadDisplaySpecifiers_us.ldif
にコピーします。
adDisplaySpecifiers_other.sbs
をadDisplaySpecifiers_other.ldif
にコピーします。
これらの.ldif
ファイルをそれぞれ編集し、すべての%s_AdDomainDN%
を、表示指定子のロード先となる特定のActive DirectoryのドメインDN(dc=example,dc=com
など)で置き換えます。
次のコマンドを実行します。
ldapmodify -h <ad hostname> -Z -f adDisplaySpecifiers_us.ldif ldapmodify -h <ad hostname> -Z -f adDisplaySpecifiers_other.ldif
<ad hostname>
は、表示指定子のロード先となるActive Directoryドメイン・コントローラのホスト名です。
Oracle Net Configuration Assistantを使用すると、クライアント・コンピュータおよびOracle Databaseをディレクトリ・サーバーにアクセスできるように構成できます。ディレクトリ・アクセスの構成をOracle Net Configuration Assistantから選択すると、使用するディレクトリ・サーバー・タイプを指定するように要求されます。Active Directoryをディレクトリ・サーバー・タイプとして選択すると、Oracle Net Configuration Assistantのディレクトリ・サーバーの自動検出機能により、次のことが自動的に行われます。
Active Directoryサーバーの場所の検出
Active Directoryサーバーへのアクセスの構成
Oracleコンテキスト(ドメインとも呼ばれます)の作成
注意: Oracle Net Configuration Assistantでは、ldap.ora のDIRECTORY_SERVERS パラメータは構成されません。この場合に、クライアントでネット・ネーミング用のActive Directoryサーバーを自動的に検出します。 |
Active DirectoryサーバーにすでにOracleコンテキストがある場合、次のデフォルト以外のオプションを選択します。
使用するディレクトリ・サーバーを選択し、Oracleを使用するように構成します。(必要に応じて、Oracleスキーマ・オブジェクトとOracleコンテキストを作成またはアップグレードします。)
Oracle Net Configuration Assistantから、Oracleコンテキストが存在しないことが通知されます。これを無視し、そのままOracleコンテキストを作成することを選択します。ディレクトリ・アクセスの構成は、既存のOracleコンテキストを再作成しなくても完了します。
注意: Oracle Net Configuration Assistantのディレクトリ・サーバー自動検出機能を使用できるようにするには、使用しているOracle Database ClientおよびOracle Databaseのリリースに関係なく、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012またはWindows Server 2012 R2ドメイン内にユーザーがいる必要があります。Oracle Net Configuration Assistantはディレクトリ・サーバーを自動的に検出しません。そのかわりに、Active Directoryの場所などの追加情報を指定するようにユーザーに要求します。 |
関連項目:
|
この項では、Active Directoryを介したOracle Databaseサーバーへの接続方法について説明します。
次の項目について説明します。
Oracleネット・ディレクトリ・ネーミングを使用する場合、クライアント・コンピュータでは、Oracleコンテキストに含まれるデータベース・エントリまたはネット・サービス名エントリを指定して、データベースに接続します。たとえば、Active DirectoryのOracleコンテキスト内のデータベース・エントリがorcl
で、クライアントとデータベースが同じドメインに属する場合、次のように接続文字列を入力し、SQL*Plusを介してデータベースに接続します。
SQL> CONNECT username@orcl Enter password: password
クライアントとデータベースが異なるドメインに属する場合は、次のように入力し、SQL*Plusを介してデータベースに接続します。
SQL> CONNECT username@orcl.domain Enter password: password
domain
は、Oracle Databaseサーバーが存在するドメインです。
LDAPネーミング・アダプタには、簡易ネーミングと呼ばれる内部機能があります。この機能では、ldap.ora:DEFAULT_ADMIN_CONTEXT
で使用されるネーミング規則に基づいて、DNS形式の名前をx500(LDAP)形式の名前(DN)に変換します。
これは、org
形式またはドメイン・コンポーネント(dc)形式を使用したldap.ora:default_admin_contextに依存しています。これにより、次のいずれかの規則を使用してドメイン名をx500 DNに変換するメカニズムが提供されます。
'dc=, dc='
'ou=, o='
'ou=, o=, c='
たとえば、次のようにします。
SQL> CONNECT SCOTT@hr.example.com
Enter password: password
default_admin_contextの次の値により、関連するDNが生成されます。
DEFAULT_ADMIN_CONTEXT="o=stdev"
結果となるDNは次のとおりです。
cn=HR,cn=OracleContext,ou=EXAMPLE,o=COM DEFAULT_ADMIN_CONTEXT="dc=oracle, dc=com"
結果となるDNは次のとおりです。
cn=HR,cn=OracleContext,dc=EXAMPLE,dc=COM DEFAULT_ADMIN_CONTEXT="o=oracle,c=us"
結果となるDNは次のとおりです。
cn=HR,cn=OracleContext,o=EXAMPLE,c=COM
注意: default_admin_context の値をそのまま使用することはできません。問合せ先の名前は完全修飾形式で指定するからです。特定のDNコンポーネントの各ドメインを変換するときに、default_admin_context に基づいて、生成されるDNのスタイル、使用される左辺が決定されます。 |
DNS形式の規則を使用すると、クライアント・コンピュータとOracle Databaseサーバーが異なるドメインに属す場合でも、クライアント・ユーザーは最小限の接続情報を入力して、ディレクトリ・サーバーを介してOracle Databaseサーバーにアクセスできます。X.500の規則に従った名前は、特にクライアントとOracle Databaseサーバーが異なるドメイン(管理コンテキストとも呼ばれます)に属す場合、より長くなります。
関連項目:
|
Active DirectoryのOracleディレクトリ・オブジェクトは、次の2つのMicrosoftツールと統合されています。
Windowsエクスプローラ
Active Directoryユーザーとコンピュータ
これらのMicrosoftツール内からOracle Databaseサーバーとの接続性をテストするには、そのサーバーに実際に接続します。つまり、実際に接続することで接続性をテストできます。接続性をテストするには、次のようにします。
Windowsエクスプローラまたは「Active Directoryユーザーとコンピュータ」を起動します。
Windowsエクスプローラを起動するには、次のようにします。
「スタート」メニュー→「プログラム」→「アクセサリ」→「エクスプローラ」を選択します。
「マイ ネットワーク」を開きます。
「ネットワーク全体」を開きます。
Directoryを開きます。
「Active Directoryユーザーとコンピュータ」を起動するには、次のようにします。
「スタート」メニュー→「プログラム」→「管理ツール」→「Active Directoryユーザーとコンピュータ」を選択します。
注意: Active Directoryを介してOracle Databaseサーバーにアクセスするすべてのクライアントには、Oracleコンテキスト内のすべてのネット・サービス名オブジェクトに対する読取りアクセス権が必要です。名前参照に認証を必要とするようOracle Netを構成しない場合、クライアントは、Active Directoryで匿名で認証ができる必要があります。Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012およびWindows Server 2012 R2ドメインでは、この場合、匿名アクセスを許可するようにActive Directoryのデフォルト設定を変更する必要があります。このディレクトリで匿名アクセスを許可しない場合、クライアントが認証されるよう構成し、クライアントが必要に応じてネット・サービス・オブジェクトを読み取れるように各オブジェクトにアクセス制御定義を設定する必要があります。 |
関連項目: 詳細は、『Oracle Database Net Services管理者ガイド』を参照してください。 |
Oracleコンテキストが存在するドメインを開きます。
Oracleコンテキストを開きます。
データベース・サービスまたはOracleネット・サービス名オブジェクトを右クリックします。
いくつかのオプションとともにメニューが表示されます。この項では、「テスト」オプションおよびSQL*Plusと接続のオプションについてのみ説明します。
実際には接続せずにデータベース接続をテストする場合は、「テスト」を選択します。接続の試行ステータスを説明するステータス・メッセージが表示されます。
実際に接続してデータベース接続をテストする場合は、SQL*Plusと接続を選択します。「Oracle SQL*Plus Logon」ダイアログが表示されます。
ユーザー名とパスワードを入力し、「OK」をクリックします。接続の試行ステータスを説明するステータス・メッセージが表示されます。
この項では、Active Directory内のOracleディレクトリ・オブジェクトに固有のセキュリティ・グループを特定し、セキュリティ・グループのメンバーを追加および削除する方法について説明します。
次の項目について説明します。
セキュリティ・グループは、OracleコンテキストがActive Directoryに作成される際に自動的に作成されます。アクセスを構成する(およびそれによりOracleコンテキストを作成する)ユーザーは各グループに自動的に追加されます。関連するグループは次のとおりです。
OracleDBCreators
グループは、Oracle Databaseサーバーを登録するユーザー用のグループです。ドメイン管理者は、自動的にこのグループのメンバーになります。このグループに属すユーザーは、次のことが実行できます。
Oracleコンテキストでの新しいOracle Databaseオブジェクトの作成。
自分が作成したOracle Databaseオブジェクトの変更。
このグループのメンバーシップの読取り(ただし変更はできません)。
OracleNetAdmins
グループに属すユーザーは、次のことが実行できます。
Oracle Net Servicesオブジェクトと属性の作成、変更および読取り。
このグループのグループ・メンバーシップの読取り。
11gのディレクトリ・クライアントは、オプションで、DB名を接続文字列に解決すると同時にディレクトリで認証を行うよう構成できます。これにより、ACLを使用してNetServiceオブジェクトを保護することが可能になります。
ディレクトリ内でのユーザーの識別情報を定義する方法と、そのユーザーまたはそのユーザーの所属グループを一部またはすべてのNet Servicesにアクセスできるようにする方法は多くあります。このデータに対する読取りアクセス制限を定義するための事前定義済グループは用意されておらず、また構成ツールにもそのようなプロシージャはないため、管理者は、ディレクトリ・システムの標準オブジェクト管理ツールを使用して、必要なグループおよびACLを手動で作成する必要があります。既存の識別情報の構造は、ネット・サービスのACLと考えることもできます。
オブジェクトのアクセス定義は複雑であり、ディレクトリ情報ツリー(DIT)の親ノードから継承されたセキュリティ・プロパティが関連する可能性があるため、管理者は、使用しているディレクトリ・システムの関連ツールおよびドキュメントを参照し、NetServiceオブジェクトのアクセス管理を体系化してディレクトリ全体のポリシーおよびセキュリティ実装に統合することをお薦めします。
注意: 11gよりも前のクライアントは匿名としてのみディレクトリにバインド可能であるため、NetServicesにACLの保護をかけようとすると。旧バージョンのクライアントが無効になります。アクセス制御を実装できるのは、各オブジェクトに対するアクセスを必要とするすべてのクライアントが11g以上である場合のみです。 |
ディレクトリ・オブジェクトにACLを設定するには、Dsacls
ツールを使用します。
dsacls.exe
コマンドライン・ツールにより、Active Directoryに含まれるオブジェクトのアクセス制御リスト(ACL)の権限(アクセス制御エントリ)を表示および変更できます。このコマンドライン・ツールは、製品メディアのサポート・ツールに含まれます。
例:
orcl
サービスに対する一般的な匿名読取りを有効化するには、次のコマンドを実行します。
dsacls "CN=orcl,CN=OracleContext,OU=Example,O=Com" /G "anonymous logon":GR
EXAMPLEドメインのscott
ユーザーのorcl
サービスに対する一般的な読取りを有効化するには、次のコマンドを実行します。
dsacls "CN=orcl,CN=OracleContext,OU=Example,O=Com" /G example\scott:GR
orcl
サービスに対する一般的な匿名読取りを無効化するには、次のコマンドを実行します。
dsacls "CN=orcl,CN=OracleContext,OU=Example,O=Com" /R "anonymous logon"
EXAMPLEドメインのscott
ユーザーのorcl
サービスに対する一般的な読取りを無効化するには、次のコマンドを実行します。
dsacls "CN=orcl,CN=OracleContext,OU=Example,O=com" /R example\scott
「Active Directoryユーザーとコンピュータ」を使用してセキュリティ・グループに対してユーザーの追加および削除ができます。
注意: この項で説明した手順を実行するには「Active Directoryユーザーとコンピュータ」を使用します。Windowsエクスプローラには必要な機能がありません。 |
ユーザーを追加または削除するには、次のようにします。
「スタート」メニュー→「プログラム」→「管理ツール」→「Active Directoryユーザーとコンピュータ」を選択します。
メイン・メニューの「表示」メニューから「拡張機能」を選択します。
この操作で、通常非表示の情報が表示され、編集できます。
Oracleコンテキストが存在するドメイン(管理コンテキスト)を開きます。
「Users」を開きます。
右側のウィンドウ・ペインにセキュリティ・グループが表示されます。
表示または変更するOracleセキュリティ・グループを右クリックします。
いくつかのオプションとともにメニューが表示されます。
「プロパティ」を選択します。
「メンバ」タブを選択します。
選択したグループのプロパティ・ダイアログが表示されます(この例ではOracleDBCreators
)。
ユーザーを追加するには、「追加」をクリックします。
ユーザー、連絡先、コンピュータ、またはグループの選択のダイアログが表示されます。
追加するユーザーまたはグループを選択し、「追加」をクリックします。
ユーザー、連絡先、コンピュータ、またはグループの選択のダイアログに選択したユーザーまたはグループが表示されます。
ユーザーを削除するには、「メンバ」リストからユーザー名を選択し、「削除」をクリックします。
ユーザーの追加または削除が終了したら、「OK」をクリックします。