リソースを設定する際の注意事項

ここでは、双方向に信頼された複数のドメイン間での、Windows NT のプロビジョニングについて説明します。単一のドメインから複数のドメインを管理する場合は、次の制約が適用されます。

この節では次の用語を使用します。

• ゲートウェイドメイン - ゲートウェイマシンが所属するドメイン。

• リソース管理アカウント - Identity Manager リソースで定義されている管理アカウント。

• サービスアカウント - ゲートウェイサービスを実行しているアカウント。

次の信頼関係を確立する必要があります。

• ゲートウェイドメインは、リソース管理アカウントが定義されている各ドメインを信頼する必要があります。

• ゲートウェイはリソース管理アカウントを使用してローカルにログインします。したがって、そのドメインはアカウントが存在するドメインを信頼する必要があります。

• ゲートウェイドメインは、パススルー認証を行う各ドメインを信頼する必要があります。

• ゲートウェイはローカルにログインしてユーザーアカウントを認証します。したがって、そのドメインはこれらのアカウントのドメインを信頼する必要があります。

• リソース管理アカウントは、アカウントの管理に使用する各ドメインの Account Operators グループのメンバーである必要があります。これらの各ドメインは、リソース管理アカウントを含むドメインを信頼する必要があります。

• アカウントのドメインがローカルグループのドメインに信頼されていなければ、アカウントをローカルグループに追加することはできません。

• サービスアカウントのドメインは、ゲートウェイドメインに信頼されている必要があります。

ゲートウェイサービスが開始されるときに、サービスアカウントのローカルログインが行われます。リソース管理アカウントのいずれかがサービスアカウントと異なる場合、またはドメインのいずれかでパススルー認証を実行する場合、サービスアカウントには、ゲートウェイドメインに「Act As Operating System」と「走査チェックのバイパス」のユーザー権限が必要です。これらの権限は、サービスアカウントで別のユーザーとしてログインするために必要です。

ホームディレクトリを作成する場合は、ディレクトリを作成するファイルシステム上で、リソース管理アカウントがディレクトリを作成できる必要があります。ホームディレクトリをネットワークドライブに作成する場合、リソース管理アカウントには、ゲートウェイプロセスの Temp または TMP 環境変数で定義されたファイルシステムか、これらの変数が定義されていない場合はゲートウェイプロセスの作業ディレクトリ (WINNT または WINNT\system32) に対して、書き込みアクセスが必要です。

前アクション、後アクション、またはリソースアクションを実行する場合、リソース管理アカウントには、ゲートウェイプロセスの TEMP または TMP 環境変数で定義されたファイルシステムか、これらの変数が定義されていない場合はゲートウェイプロセスの作業ディレクトリ (WINNT または WINNT\system32) に対して、読み取りと書き込みアクセスが必要です。

ゲートウェイはスクリプトとスクリプトの出力を、これらのディレクトリのいずれかに書き込みます。ディレクトリは記載されている順に選択されます。

ドメインごとに個別のリソースアダプタを設定します。同じゲートウェイホストを使用できます。

各ユーザーのドメイン固有のリソース属性 (ドメインと、場合によっては管理者とパスワード) をオーバーライドすることにより、単一のリソースを使用して複数のドメインを管理することもできます。

• ドメインはそのドメイン自身を信頼するため、2 つのドメインが実際には同じである場合、一部の信頼関係は明示的にする必要がありません。

• すべての管理対象ドメインのリソース管理アカウントに、同じアカウントを使用することができます。また、適切な信頼関係、グループメンバーシップ、およびユーザー権限を設定すれば、サービスアカウントにも同じアカウントを使用できます。