セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の環境について説明します。

必要な管理特権

ここでは、必要な Active Directory のアクセス許可とパスワードのリセット権の要件について説明します。

Active Directory アクセス権

Active Directory リソース内で設定する管理アカウントには、Active Directory における適切なアクセス権が必要です。

表 57–1 Active Directory アクセス権

Identity Manager の機能	Active Directory アクセス権
Active Directory ユーザーアカウントの作成	ユーザーオブジェクトの作成  アカウントを有効な状態で作成するには、userAccountControl プロパティーの読み取り/書き込み権が必要です。パスワードの期限が切れた状態で作成するには、アカウント制限のプロパティーセット (userAccountControl プロパティーを含む) の読み取り/書き込みができるようにします。
Active Directory ユーザーアカウントの削除	ユーザーオブジェクトの削除
Active Directory ユーザーアカウントの更新	すべてのプロパティーの読み取り、すべてのプロパティーの書き込み  注意: プロパティーのサブセットのみが Identity Manager から管理されている場合は、これらのプロパティーのみに読み取りと書き込みのアクセスを許可できます。
AD ユーザーアカウントパスワードの変更/リセット  AD ユーザーアカウントのロック解除  AD ユーザーアカウントの期限設定	ユーザーオブジェクトに関するアクセス許可:  内容の一覧表示 すべてのプロパティーの読み取り 読み取りアクセス権 パスワードの変更 パスワードのリセット ユーザープロパティーに対するアクセス許可: lockoutTime の読み取り/書き込み アカウント制限の読み取り/書き込み accountExpires の読み取り lockoutTime プロパティーに対するアクセス許可を設定するには、Windows 2000 Server リソースキットにある cacls.exe プログラムを使用してください。

パスワードのリセット

リソースオブジェクトの作成、削除、更新を実行する権限は期待するとおりのものです。アカウントには対応するオブジェクトタイプに対する作成権と削除権が必要で、ユーザーには、更新する必要のあるプロパティーに対する適切な読み取り/書き込み権が必要になります。

パススルー認証

Active Directory (AD) のパススルー認証をサポートするための要件は、次のとおりです。

• コネクタサーバーをユーザーとして実行するように設定する場合、そのユーザーアカウントには「Act As Operating System」および「走査チェックのバイパス」のユーザー権限が必要です。デフォルトでは、コネクタサーバーはローカルシステムアカウントとして実行され、このアカウントにはこれらの権限はすでに備わっています。また、「走査チェックのバイパス」ユーザー権限は、デフォルトですべてのユーザーに有効になっています。

---

注 –

ユーザー権限を更新する必要のある場合、更新されたセキュリティーポリシーが伝播されるまでに遅延が生じる可能性があります。ポリシーが伝達されたら、コネクタサーバーを再起動する必要があります。

---

• 認証されるアカウントには、コネクタサーバーで「ネットワーク経由でコンピュータへアクセス」のユーザー権限が必要です。

コネクタサーバーでは、LogonUser 関数に LOGON32_LOGON_NETWORK ログオンタイプおよび LOGON32_PROVIDER_DEFAULT ログオンプロバイダを設定して、パススルー認証を実行します。LogonUser 関数は、Microsoft Platform Software Development Kit で提供されています。