ここでは、サポートされる接続と特権の環境について説明します。
ここでは、必要な Active Directory のアクセス許可とパスワードのリセット権の要件について説明します。
Active Directory リソース内で設定する管理アカウントには、Active Directory における適切なアクセス権が必要です。
表 57–1 Active Directory アクセス権
リソースオブジェクトの作成、削除、更新を実行する権限は期待するとおりのものです。アカウントには対応するオブジェクトタイプに対する作成権と削除権が必要で、ユーザーには、更新する必要のあるプロパティーに対する適切な読み取り/書き込み権が必要になります。
Active Directory (AD) のパススルー認証をサポートするための要件は、次のとおりです。
コネクタサーバーをユーザーとして実行するように設定する場合、そのユーザーアカウントには「Act As Operating System」および「走査チェックのバイパス」のユーザー権限が必要です。デフォルトでは、コネクタサーバーはローカルシステムアカウントとして実行され、このアカウントにはこれらの権限はすでに備わっています。また、「走査チェックのバイパス」ユーザー権限は、デフォルトですべてのユーザーに有効になっています。
ユーザー権限を更新する必要のある場合、更新されたセキュリティーポリシーが伝播されるまでに遅延が生じる可能性があります。ポリシーが伝達されたら、コネクタサーバーを再起動する必要があります。
認証されるアカウントには、コネクタサーバーで「ネットワーク経由でコンピュータへアクセス」のユーザー権限が必要です。
コネクタサーバーでは、LogonUser 関数に LOGON32_LOGON_NETWORK ログオンタイプおよび LOGON32_PROVIDER_DEFAULT ログオンプロバイダを設定して、パススルー認証を実行します。LogonUser 関数は、Microsoft Platform Software Development Kit で提供されています。