コネクタサーバーのサービスアカウント

デフォルトでは、コネクタサーバーはローカルシステムアカウントとして実行されます。これは、「サービス」MMC スナップインで設定できます。

コネクタサーバーをローカルシステム以外のアカウントで実行する場合は、コネクタサーバーのサービスアカウントに「Act As Operating System」および「走査チェックのバイパス」ユーザー権限が必要です。ゲートウェイは、パススルー認証や、特定の状況でのパスワードの変更およびリセットに、これらの権限を使用します。

AD の管理の大部分は、リソース内で指定された管理アカウントを使用して行います。ただし、一部の操作はコネクタサーバーのサービスアカウントで実行します。つまり、コネクタサーバーのサービスアカウントに、これらの操作を実行するための適切なアクセス権が必要です。現在、これに該当する操作は次のとおりです。

• ホームディレクトリの作成

• 実行中のアクション (前アクションと後アクションを含む)

前アクションおよび後アクションのスクリプトを実行するときに、コネクタサーバーに「プロセスレベルトークンの置き換え」の権限が必要な場合があります。この権限は、コネクタサーバーが別のユーザー (リソース管理ユーザーなど) としてスクリプトのサブプロセスを実行しようとする場合に必要です。この場合、コネクタサーバーのプロセスには、そのサブプロセスに関連付けられたデフォルトのトークンを置き換える権限が必要です。

この権限がない場合は、サブプロセスの作成中に次のエラーが返されることがあります。

"Error creating process: A required privilege is not held by the client"

「プロセスレベルトークンの置き換え」権限は、デフォルトのドメインコントローラのグループポリシーオブジェクトと、ワークステーションおよびサーバーのローカルセキュリティーポリシーで定義されます。この権限をシステムに設定するには、「管理ツール」フォルダの「ローカルセキュリティーポリシー」アプリケーションを開き、「ローカルポリシー」>「ユーザー権利の割り当て」>「プロセスレベルトークンの置き換え」に移動します。