必要な管理特権 (Sun Identity Manager 8.1 リソースリファレンス)

Sun Identity Manager 8.1 リソースリファレンス

必要な管理特権

ここでは、必要な Active Directory のアクセス許可とパスワードのリセット権の要件について説明します。

Active Directory アクセス権

Active Directory リソース内で設定する管理アカウントには、Active Directory における適切なアクセス権が必要です。

Identity Manager の機能	Active Directory アクセス権
Active Directory ユーザーアカウントの作成	ユーザーオブジェクトの作成アカウントを有効な状態で作成するには、userAccountControl プロパティーの読み取り/書き込み権が必要です。パスワードの期限が切れた状態で作成するには、アカウント制限のプロパティーセット (userAccountControl プロパティーを含む) の読み取り/書き込みができるようにします。
Active Directory ユーザーアカウントの削除	ユーザーオブジェクトの削除
Active Directory ユーザーアカウントの更新	すべてのプロパティーの読み取りすべてのプロパティーの書き込み注意: プロパティーのサブセットのみが Identity Manager から管理されている場合は、これらのプロパティーのみに読み取りと書き込みのアクセスを許可できます。
AD ユーザーアカウントパスワードの変更/リセット AD ユーザーアカウントのロック解除 AD ユーザーアカウントの期限設定	ユーザーオブジェクトに関するアクセス許可: 内容の一覧表示すべてのプロパティーの読み取り読み取りアクセス権パスワードの変更パスワードのリセットユーザープロパティーに対するアクセス許可: lockoutTime の読み取り/書き込みアカウント制限の読み取り/書き込み accountExpires の読み取り lockoutTime プロパティーに対するアクセス許可を設定するには、Windows 2000 Server リソースキットにある cacls.exe プログラムを使用してください。

パスワードのリセット

リソースオブジェクトの作成、削除、更新を実行する権限は期待するとおりのものです。アカウントには対応するオブジェクトタイプに対する作成権と削除権が必要で、ユーザーには、更新する必要のあるプロパティーに対する適切な読み取り/書き込み権が必要になります。

パススルー認証

Active Directory (AD) のパススルー認証をサポートするには、次の権限が必要となります。

ゲートウェイをユーザーとして実行するように設定する場合、そのユーザーアカウントには「Act As Operating System」および「走査チェックのバイパス」のユーザー権限が必要です。デフォルトでは、ゲートウェイはローカルシステムアカウントとして実行され、このアカウントにはこれらの権限はすでに備わっています。また、「走査チェックのバイパス」ユーザー権限は、デフォルトですべてのユーザーに有効になっています。

注 –

ユーザー権限を更新する必要のある場合、更新されたセキュリティーポリシーが伝播されるまでに遅延が生じる可能性があります。ポリシーが伝達されたら、ゲートウェイを再起動します。

認証されるアカウントには、ゲートウェイシステム上で「ネットワーク経由でコンピュータへアクセス」のユーザー権限が必要です。

ゲートウェイでは、LogonUser 関数に LOGON32_LOGON_NETWORK ログオンタイプおよび LOGON32_PROVIDER_DEFAULT ログオンプロバイダを設定して、パススルー認証を実行します。LogonUser 関数は、Microsoft Platform Software Development Kit で提供されています。

削除済みオブジェクトへのアクセス

管理アカウントには、Active Directory の削除済みオブジェクトコンテナへのアクセス権が必要です。デフォルトでは、管理者とシステムアカウントのみが、このコンテナにアクセスできます。その他のユーザーにこのコンテナへのアクセス権を許可することもできます。削除済みオブジェクトコンテナへのアクセス許可については、Microsoft ナレッジベースの記事 892806 を参照してください。