Windows 2000 / Active Directory リソースアダプタは、com.waveset.adapter.ADSIResourceAdapter クラスで定義されます。
ここでは、Identity Manager で使用する次の Active Directory リソースの設定手順を説明します。
「LDAP ホスト名」リソース属性が設定されていない場合、ゲートウェイはディレクトリに対してサーバーレスバインドを実行します。サーバーレスバインドが機能するためには、ドメイン内にあって、管理対象のドメインまたはディレクトリを「認識している」システム上に、ゲートウェイをインストールしてください。ゲートウェイが管理するすべての Windows ドメインは、同じフォレストに所属している必要があります。フォレスト境界を越えるドメインの管理はサポートされていません。複数のフォレストがある場合は、各フォレストに少なくとも 1 つのゲートウェイをインストールしてください。
「LDAP ホスト名」リソース属性は、ゲートウェイに特定の DNS ホスト名または IP アドレスとバインドするように指示します。これはサーバーレスバインドとは正反対です。ただし、LDAP ホスト名では、必ずしも特定のドメインコントローラを指定する必要はありません。AD ドメインの DNS 名を使用できます。ゲートウェイシステムの DNS サーバーが、その DNS 名に対して複数の IP アドレスを返すように設定されている場合、そのうちの 1 つがディレクトリバインドに使用されます。これによって単一のドメインコントローラに依存する必要がなくなります。
パススルー認証や前アクションと後アクションを含む一部の操作では、ゲートウェイシステムがドメインのメンバーであることが求められます。
デフォルトでは、ゲートウェイサービスはローカルシステムアカウントとして実行されます。これは、「サービス」MMC スナップインで設定できます。
Exchange Server 2007 サポートが有効になっている Active Directory アダプタでゲートウェイが使用されている場合、ゲートウェイの実行に使用されるアカウントには特別な権限が必要です。
そのアカウントは、Exchange Server 2007 がインストールされているドメインにあるドメインアカウントである必要があります。使用されるアカウントは、標準 Exchange Server 2007 グループ Exchange Recipient Administrators のメンバーである必要もあります。このアカウントは、ゲートウェイによるすべての Exchange Server 2007 固有のアクションを実行します。リソースで指定された管理アカウントは使用されません。
許可されたゲートウェイアカウントでのこの制限は、Exchange Server 2007 API の制限に起因します。
これを正しく設定しないと、「PowerShell exception: Access to the address list service on all Exchange 2007 servers has been denied.」などの PowerShell エラーメッセージが表示されたあとに、スタックトレースが表示されます。
ゲートウェイをローカルシステム以外のアカウントとして実行する場合は、ゲートウェイサービスアカウントに「Act As Operating System」と「走査チェックのバイパス」のユーザー権限が必要です。ゲートウェイは、パススルー認証や、特定の状況でのパスワードの変更およびリセットに、これらの権限を使用します。
AD の管理の大部分は、リソース内で指定された管理アカウントを使用して行います。ただし、一部の操作はゲートウェイサービスアカウントで実行します。つまり、ゲートウェイサービスアカウントには、これらの操作を実行するための適切なアクセス権が必要です。現在、これに該当する操作は次のとおりです。
Active Directory アダプタ 「認証のタイムアウト」リソース属性 (パススルー認証のみの場合) を使用すると、ゲートウェイ側で問題が発生してもアダプタが滞らずにすみます。
前アクションおよび後アクションのスクリプトを実行するときに、ゲートウェイに「プロセスレベルトークンの置き換え」の権限が必要な場合があります。この権限は、ゲートウェイが別のユーザー (リソース管理ユーザーなど) としてスクリプトのサブプロセスを実行しようとする場合に必要です。この場合、ゲートウェイプロセスには、そのサブプロセスに関連付けられたデフォルトのトークンを置き換える権限が必要です。
この権限がない場合は、サブプロセスの作成中に次のエラーが返されることがあります。
"Error creating process: A required privilege is not held by the client"
「プロセスレベルトークンの置き換え」権限は、デフォルトのドメインコントローラのグループポリシーオブジェクトと、ワークステーションおよびサーバーのローカルセキュリティーポリシーで定義されます。この権限をシステムに設定するには、「管理ツール」フォルダの「ローカルセキュリティーポリシー」アプリケーションを開き、「ローカルポリシー」>「ユーザー権利の割り当て」>「プロセスレベルトークンの置き換え」に移動します。
outOfOfficeEnabled および outofOfficeMessage のアカウント属性を使用すると、不在時の自動返信機能を有効にして、不在メッセージを設定できます。これらは Exchange 2000 または 2003 アカウントで使用できます。これらの属性が設定されるのはアカウントの更新時のみで、アカウントの作成時には設定されません。
このアダプタでは、ゲートウェイマシン上に Messaging Application Programming Interface (MAPI) をインストールする必要があります。MAPI サブシステムをインストールするには、少なくとも 2 とおりの方法があります。もっとも単純な方法は、ゲートウェイマシン上に Microsoft Outlook クライアントをインストールすることです。この場合、これ以外の設定は必要ありません。
Messaging Application Programming Interface (MAPI) もう 1 つの方法は、Exchange Server CD にある Exchange System Management Tools をインストールすることです。この管理ツールは、通常の Exchange Server のコンポーネントとしてインストールされます。ただし、このインストールによって MAPI サブシステムのファイルはインストールされますが、これで設定が完了するわけではありません。
mapisvc.inf ファイル (通常は c:\winnt\system32 にある) には使用可能な MAPI サービスが格納されていますが、このファイルを更新して Exchange メッセージサービスのエントリを追加する必要があります。msems.inf ファイル (gateway zip ファイルに格納されている) に格納されているエントリは、Exchange メッセージサーバーを設定するために、mapisvc.inf ファイルにマージします。msems.inf ファイルは、メモ帳などのテキストエディタを使用して、手動で mapisvc.inf ファイルにマージできます。また、Microsoft Platform SDK には MergeIni.exe という名前のツールも用意されています。 これは Microsoft SDK\Bin ディレクトリの Windows Core SDK にあります。
MergeIni を実行するには、次のコマンドを使用します。
MergeIni msems.inf -m
Out of Office 属性は、msExchHideFromAddressLists 属性が有効になっている場合は取得できません。msExchHideFromAddressLists が true になっているときに、ユーザーフォームに Out of Office 属性を表示しようとしても、値は定義されません。サンプルの Active Directory ユーザーフォームには、msExchHideFromAddressLists が有効になっているときは Identity Manager に Out of Office 属性を表示させないロジックが組み込まれています。
Exchange Server 2007 では、ユーザーに対する Out Of Office メッセージの設定はサポートされていません。メッセージはユーザーエントリの一部として格納されなくなり、ユーザーのメールボックスの一部を形成します。Out of Office 返信を管理するには、エンドユーザーが Outlook または Outlook Web Access を使用することをお勧めします。
Exchange Server 2007 では、Exchange Management Shell を使用した API のプロビジョニングのみがサポートされています。このシェルでは、ユーザーとサーバーを管理およびプロビジョニングするコマンド行インタフェースが提供されます。このシェルは Microsoft Windows PowerShell 上でビルドされます。
ゲートウェイは、Microsoft Windows 32 ビット版オペレーティングシステムで実行する必要があります。さらに、ゲートウェイマシン上に次のアイテムをインストールする必要があります。
これらの要件については、次の節で詳細に説明します。
Exchange 管理シェルは、Exchange 用の管理ツールの一部です。Microsoft では、本稼働環境で 32 ビット版の Exchange Server 2007 を実行することはサポートされていません。管理ツールには、「Exchange Server 2007 システム要件」に記述したような例外があります。
ゲートウェイマシンには、32 ビット版の管理ツールのみをインストールします。64 ビット版のオペレーティングシステム上に 32 ビット版のツールをインストール、または両方の版のツールをインストールすると、予測不能な動作が発生する可能性があります。
32 ビット版の管理ツールは、次の Microsoft Web サイトからダウンロードできます。
http://go.microsoft.com/fwlink/?LinkID=82335
ダウンロードしてインストールするツールのバージョンは、残りの Exchange 環境にインストールされている Exchange Server 2007 バージョンと一致するようにしてください。
管理ツールのインストールを開始する前に、Microsoft Windows PowerShell 1.0 および Microsoft .NET 2.0 Framework がインストールされていることを確認してください。
インストールされている必要のあるパッケージは、次の 2 つです。
Microsoft Windows PowerShell 1.0
Microsoft .NET 2.0 Framework
Exchange 管理ツールは、Microsoft PowerShell の拡張 (またはスナップイン) として実装されます。現在は、PowerShell version 1.0 のみがサポートされ、サーバーにはこれをインストールする必要があります。
http://go.microsoft.com/fwlink/?LinkID=75790&clcid=0x09
PowerShell 環境では、メッセージのログがイベントビューアに記録されます。標準インストールされた PowerShell では、「PowerShell」と「Windows PowerShell」の 2 つのイベントログが作成されます。PowerShell イベントログは、ゲートウェイが PowerShell 実行時環境を作成するときに使用されます。書き込み操作がイベントログへの書き込みに失敗すると、PowerShell 環境は起動されず、ゲートウェイの PowerShell 関連のアクションは失敗します。この問題を防ぐには、イベントログを定期的に監視してクリーンアップするか、メッセージを上書きするように設定します。
PowerShell を使用するには、Microsoft .NET 2.0 Framework をインストールする必要があります。この Framework はデフォルトでイントールされません。 次の場所にある Microsoft Download Center からインストールできます。
http://www.microsoft.com/downloads/details.aspx?familyid=0856EACB-4362- 4B0D-8EDD-AAB15C5E04F5
このリソースでは、追加のインストール手順は必要ありません。
ここでは、Active Directory リソースアダプタの使用に関連する依存関係と制限について示します。 説明する内容は次のとおりです。
エンドユーザーが自分のパスワードを変更するときに Active Directory アカウントのパスワード履歴を確認するには、AD パスワードを入力する必要があります。AD リソース上でこの機能を有効にするには、「変更時にユーザーがパスワードを入力」リソース属性を 1 に設定し、WS_USER_PASSWORD 属性のタイプを encrypted にしてアカウント属性に追加します。WS_USER_PASSWORD は、Identity Manager ユーザー属性およびリソースユーザー属性として追加する必要があります。
waveset.properties ファイル内の sources.ResourceName.hosts プロパティーを使用して、Active Sync を使用してリソースの同期を行うクラスタ内のホストを選択できます。ResourceName は、リソースオブジェクトの名前に置き換える必要があります。
Microsoft Exchange Server 2000 および 2003 をサポートするには、次のアカウント属性を有効にします。
homeMDB
homeMTA
mailNickname
msExchHomeServerName
次のアカウント属性はデフォルトでスキーママップに表示され、Exchange アカウントの管理にも使用されます。
garbageCollPeriod
mDBOverHardQuotaLimit
mDBOverQuotaLimit
mDBStorageQuota
mDBUseDefaults
Exchange Server の属性を管理するのに Active Directory リソースを使用していない場合、Identity Manager で Active Directory アカウントを正常にプロビジョニングするには、これらのアダプタのスキーママップからこれらの属性を削除する必要があります。
Exchange Server 2000/2003 と 2007 がインストールされた混合 Microsoft Exchange 環境は管理可能です。この Active Directory リソースが混合環境の管理に使用されず、Exchange Server 2007 のみが存在する場合は、前述の指示に従って、Exchange 属性をスキーマから削除します。
Active Directory アダプタは、プリンタ、コンピュータ、またはその他の Active Directory オブジェクトをサポートするように変更できます。次の例は、プリンタオブジェクトをサポートするように、該当する Java クラス内の XML コードを変更する方法を示しています。
<ObjectType name=’Printer’ icon=’group’> <ObjectClasses operator=’AND’> <ObjectClass name=’printQueue’/> </ObjectClasses> <ObjectFeatures> <ObjectFeature name=’create’/> <ObjectFeature name=’update’/> <ObjectFeature name=’delete’/> </ObjectFeatures> <ObjectAttributes idAttr=’distinguishedName’ displayNameAttr=’cn’ descriptionAttr=’description’> <ObjectAttribute name=’cn’ type=’string’/> <ObjectAttribute name=’description’ type=’string’/> <ObjectAttribute name=’managedby’ type=’string’/> <ObjectAttribute name=’distinguishedName’ type=’string’/> </ObjectAttributes> </ObjectType>
プリンタオブジェクトをサポートするためには、少なくとも 1 つの新しいフォームを作成します。
Windows Active Directory リソースによって Exchange 2000 の連絡先を管理できるようにするには、オブジェクトクラスを contact に変更し、password、accountId、および expirePassword リソース属性を削除します。
Microsoft Exchange Server 2007 は、Windows Server 2003 R2 または Windows Server 2003 Service Pack 1 以上でのみサポートされます。
Active Directory アダプタでは、デフォルトで Exchange 2007 電子メールアカウントは管理されません。これらのアカウントのサポートを有効にするには、次の操作を実行します。
Exchange 2007 Support リソースパラメータを選択します。
Exchange Recipient Administrators グループのメンバーであり、Windows ドメインにログインされているユーザーとして、ゲートウェイが動作していることを確認します。
次のアカウント属性をスキーママップに追加します。これらの属性の「必須」チェックボックスは選択しないでください。
属性名 |
説明 |
---|---|
RecipientType (文字列) |
リソースに対するユーザータイプ。Exchange 2007 対応のリソースでのアカウントの作成中に必要となります。指定可能な値は次のとおりです。 - User (Active Directory 専用ユーザー) - UserMailbox (ローカルメール記憶領域を持つ Active Directory および Exchange ユーザー) - MailUser (ローカルメール記憶領域を持たない Active Directory および Exchange ユーザー) Active Directory 専用ユーザー (RecipientType = User) から Exchange ユーザータイプ (RecipientType UserMailbox または MailUser) への変更時を除いて、この属性は読み取り専用です。RecipientType を User に戻したり、MailUser を UserMailbox (およびその逆) に変更したりすることはできません。 |
Database (文字列) |
ユーザーのメールボックスを格納するデータベース。この値は、Server\StorageGroup\MailboxDatabase の形式で指定する必要があります。RecipientType が UserMailbox に設定されている場合は、この属性は値を持つ必要があります。RecipientType のほかの値がある場合は、この属性は無視されます。 |
ExternalEmailAddress (文字列) |
Exchange 組織外部の電子メールアドレス。この属性は、RecipientType MailUser に対して Exchange 組織で一意の値に設定する必要があります。RecipientType のほかの値がある場合は、この属性は無視されます。 |
Active Sync は常に同じドメインコントローラに接続する必要があるので、「子ドメインの検索」リソースパラメータが選択されていない場合は、特定のドメインコントローラのホスト名を指定するように LDAP ホスト名を設定します。「子ドメインの検索」オプションが選択されている場合は、グローバルカタログホスト名フィールドに、特定のグローバルカタログサーバーを設定します。
新しいドメインコントローラに切り替えたときに発生する繰り返しイベントの数を制限する方法については、第 52 章Active Directory Synchronization Failoverを参照してください。
デフォルト設定では、ユーザー ID とパスワードのみを送信することによって、パススルー認証が実現されます。これらの 2 つの属性は、w2k_user および w2k_password として、リソースオブジェクトの XML の AuthnProperties 要素で設定されます。ドメイン指定がない場合は、ゲートウェイで既知の全ドメインが検索され、ユーザーを含むドメイン内のユーザー認証が試みられます。
信頼されたマルチドメイン環境では、次の 2 つの状況が考えられます。
すべてのドメインに同期されたユーザー/パスワードの組み合わせが含まれる。
ユーザー/パスワードの組み合わせがドメインに依存する。
ユーザー/パスワードの組み合わせが同期される場合は、Active Directory リソースが共通リソースとなるように設定します。共通リソースの設定については、『Business Administrator's Guide』を参照してください。
ユーザー/パスワードの組み合わせがドメインに依存する場合、およびユーザーがドメイン情報を知るように要求される場合は、ログイン画面でドメイン情報を入力することをユーザーに許可できます。このオプションは、共通リソースを含む組み合わせで使用できます。
ログインページでドメインの入力をユーザーに許可するには、リソースオブジェクトの XML で <AuthnProperties> 要素に次のプロパティーを追加します。
<AuthnProperty name=’w2k_domain’ displayName=’Domain:’ formFieldType=’text’ dataSource=’user’ doNotMap=’true’/>
グローバルカタログにはフォレスト間の情報は含まれていないため、信頼される複数のドメインと Active Directory フォレストを含む環境では、これらの設定のいずれかを使用した認証に失敗する可能性があります。ドメイン数がロックアウトのしきい値よりも大きい場合は、ユーザーが不正なパスワードを入力すると、ユーザーのドメインでアカウントがロックアウトされる可能性もあります。
複数のゲートウェイ (フォレストごとに 1 つずつ) が配備されている場合にのみ、フォレスト間のユーザー管理が可能です。この場合、ユーザーがドメインを指定する必要がなく、アダプタごとに認証用に事前定義されたドメインを使用するようにアダプタを設定できます。これを実現するには、リソースオブジェクトの XML で <AuthnProperties> 要素に次の認証プロパティーを追加します。
<AuthnProperty name=’w2k_domain’ dataSource=’resource attribute’ value=’MyDomainName’/>
ユーザーを認証するドメインで MyDomainName を置き換えます。
ユーザーがドメインに存在し、パスワードが同期されない場合は、ドメインでログインに失敗します。
1 つの Login Module Group で、ドメイン情報用に複数のデータソースを使用することはできません。
Active Directory アダプタでは、RA_HANGTIMEOUT リソース属性を使用してタイムアウト値を秒単位で指定できます。この属性は、ゲートウェイに対する要求がタイムアウトしてハングしているとみなされるまでの時間を制御します。
次のように、この属性を Resource オブジェクトに手動で追加する必要があります。
<ResourceAttribute name=’Hang Timeout’ displayName=’com.waveset.adapter.RAMessages: RESATTR_HANGTIMEOUT’ type=’int’ description=’com.waveset.adapter.RAMessages: RESATTR_HANGTIMEOUT_HELP’ value=’NewValue’> </ResourceAttribute>
この属性のデフォルト値は 0 です。これは Identity Manager がハングした接続を確認しないことを表します。
ここでは、サポートされる接続と特権の要件について説明します。
「暗号化タイプ」リソースパラメータでは、Identity Manager ゲートウェイが Active Directory サーバーとの通信に使用する暗号化タイプを入力できます。このフィールドの有効な値は、None (デフォルト値)、Kerberos、および SSL です。
SSL を使用するには、ドメイン内に認証局が設定されている必要があります。また、Active Directory へのアクセスに使用するユーザー名は UPN 形式 (例: DomainName\UserName) で指定する必要があります。
ここでは、必要な Active Directory のアクセス許可とパスワードのリセット権の要件について説明します。
Active Directory リソース内で設定する管理アカウントには、Active Directory における適切なアクセス権が必要です。
リソースオブジェクトの作成、削除、更新を実行する権限は期待するとおりのものです。アカウントには対応するオブジェクトタイプに対する作成権と削除権が必要で、ユーザーには、更新する必要のあるプロパティーに対する適切な読み取り/書き込み権が必要になります。
Active Directory (AD) のパススルー認証をサポートするには、次の権限が必要となります。
ゲートウェイをユーザーとして実行するように設定する場合、そのユーザーアカウントには「Act As Operating System」および「走査チェックのバイパス」のユーザー権限が必要です。デフォルトでは、ゲートウェイはローカルシステムアカウントとして実行され、このアカウントにはこれらの権限はすでに備わっています。また、「走査チェックのバイパス」ユーザー権限は、デフォルトですべてのユーザーに有効になっています。
ユーザー権限を更新する必要のある場合、更新されたセキュリティーポリシーが伝播されるまでに遅延が生じる可能性があります。ポリシーが伝達されたら、ゲートウェイを再起動します。
認証されるアカウントには、ゲートウェイシステム上で「ネットワーク経由でコンピュータへアクセス」のユーザー権限が必要です。
ゲートウェイでは、LogonUser 関数に LOGON32_LOGON_NETWORK ログオンタイプおよび LOGON32_PROVIDER_DEFAULT ログオンプロバイダを設定して、パススルー認証を実行します。LogonUser 関数は、Microsoft Platform Software Development Kit で提供されています。
管理アカウントには、Active Directory の削除済みオブジェクトコンテナへのアクセス権が必要です。デフォルトでは、管理者とシステムアカウントのみが、このコンテナにアクセスできます。その他のユーザーにこのコンテナへのアクセス権を許可することもできます。削除済みオブジェクトコンテナへのアクセス許可については、Microsoft ナレッジベースの記事 892806 を参照してください。
次の表に、このアダプタのプロビジョニング機能の概要を示します。
機能 |
サポート状況 |
---|---|
アカウントの有効化/無効化 |
あり |
アカウントの名前の変更 |
あり |
パススルー認証 |
あり 「認証のタイムアウト」リソース属性 (パススルー認証のみの場合) を使用すると、ゲートウェイ側で問題が発生しても Active Direcotry アダプタが滞らずにすみます。 |
前アクションと後アクション |
はい。 Active Directory リソースは、前アクションと後アクションをサポートしています。このアクションは、ユーザーが要求を作成、更新、および削除するときに、Active Directory ゲートウェイシステム上でバッチスクリプトを使用してアクティビティーを実行します。詳細は、第 50 章リソースへのアクションの追加を参照してください。 |
データ読み込みメソッド |
|
属性の構文 (または型) は、通常、属性がサポートされるかどうかを決定します。一般に、Identity Manager は boolean 型、文字列型、および整数型の構文をサポートします。バイナリ文字列と、それに類似した構文はサポートされていません。
ここでは、サポートされるアカウント構文とサポートされないアカウント構文について説明します。
次の表に、Identity Manager でサポートされている Active Directory 構文を示します。
AD 構文 |
Identity Manager の構文 |
構文 ID |
OM ID |
ADS タイプ |
---|---|---|---|---|
Boolean |
Boolean |
2.5.5.8 |
1 |
ADSTYPE_BOOLEAN |
Enumeration |
String |
2.5.5.9 |
10 |
ADSTYPE_INTEGER |
Integer |
Int |
2.5.5.9 |
2 |
ADSTYPE_INTEGER |
DN String |
String |
2.5.5.1 |
127 |
ADSTYPE_DN_STRING |
Presentation Address |
String |
2.5.5.13 |
127 |
ADSTYPE_CASE_IGNORE_STRING |
IA5 String |
String |
2.5.5.5 |
22 |
ADSTYPE_PRINTABLE_STRING |
Printable String |
String |
2.5.5.5 |
19 |
ADSTYPE_PRINTABLE_STRING |
Numeric String |
String |
2.5.5.6 |
18 |
ADSTYPE_NUMERIC_STRING |
OID String |
String |
2.5.5.2 |
6 |
ADSTYPE_CASE_IGNORE_STRING |
Case Ignore String (teletex) |
String |
2.5.5.4 |
20 人 |
ADSTYPE_CASE_IGNORE_STRING |
Unicode String |
String |
2.5.5.12 |
64 |
ADSTYPE_OCTET_STRING |
Interval |
String |
2.5.5.16 |
65 |
ADSTYPE_LARGE_INTEGER |
LargeInteger |
String |
2.5.5.16 |
65 |
ADSTYPE_LARGE_INTEGER |
次の表に、Identity Manager でサポートされない Active Directory 構文を示します。
構文 |
構文 ID |
OM ID |
ADS タイプ |
---|---|---|---|
DN with Unicode string |
2.5.5.14 |
127 |
ADSTYPE_DN_WITH_STRING |
DN with binary |
2.5.5.7 |
127 |
ADSTYPE_DN_WITH_BINARY |
OR-Name |
2.5.5.7 |
127 |
ADSTYPE_DN_WITH_BINARY |
Replica Link |
2.5.5.10 |
127 |
ADSTYPE_OCTET_STRING |
NT Security Descriptor |
2.5.5.15 |
66 |
ADSTYPE_NT_SECURITY_DESCRIPTOR |
Octet String |
2.5.5.10 |
4 |
ADSTYPE_OCTET_STRING |
SID String |
2.5.5.17 |
4 |
ADSTYPE_OCTET_STRING |
UTC Time String |
2.5.5.11 |
23 |
ADSTYPE_UTC_TIME |
Object(Access-Point) |
2.5.5.14 |
127 |
n/a |
Identity Manager は、Replica Link 構文を使用する jpegPhoto および thumbnailPhoto アカウント属性をサポートしています。これ以外にもサポートされている Replica Link 属性があるかもしれませんが、それらはテストが完了していません。
このセクションでは、Microsoft Exchange 2007 専用のサポート済みおよび未サポートのアカウント構文に関する情報を提供します。
Identity Manager は、次の PowerShell 構文をサポートします。
構文 |
説明 |
---|---|
String |
Unicode 文字列。 |
Integer |
Exchange 2007 では文字列として表現されます。 |
Nullable |
値を含む必要のない属性。別のタイプなしで使用される場合、文字列が示されます。 |
Boolean |
「True」または「False」の標準 boolean 値 |
Unlimited |
特別に許可された値として文字列「Unlimited」を含む文字列として表現される整数。 |
ByteQuantifiedSize |
サイズ修飾子あり、またはサイズ修飾子なしの文字列として表現される整数のサイズ。許可される修飾子は、なし、B (デフォルト)、KB、MB、または GB です。 |
Unlimited と ByteQuantifiedSize の組み合わせはサポートされています。
次の表に、Identity Manager でサポートされない PowerShell 構文を示します。
構文 |
説明 |
---|---|
SwitchParameter |
Boolean 値の特殊なコマンド行形式。 |
暗号化されています |
パスワード属性 |
ここでは、Identity Manager によってサポートされる Active Directory アカウント属性とサポートされない Active Directory アカウント属性を説明します。
次の表に、Identity Manager でサポートされるアカウント属性を示します。これ以外の属性 (Exchange の属性など) もサポートされる可能性があります。
スキーマ名 |
属性タイプ |
説明 |
---|---|---|
accountExpires |
String |
ユーザーのアカウントが期限切れになる日付。 |
AccountLocked |
Boolean |
アカウントがロックアウトされているかどうかを示します。true に設定することはできません (true に設定できるのは Windows システムのみ)。 |
accountNameHistory |
String |
アカウントがアクティブであった時間の長さ。読み取り専用。 |
aCSPolicyName |
String |
このユーザーに適用される ACS ポリシーの名前の文字列。 |
adminCount |
String |
指定されたオブジェクトが、管理グループの 1 つのメンバーであったために、その ACL がよりセキュリティーが高い値に (直接的または推移的に) 変更されたことを示します。システムによって設定されます。読み取り専用。 |
adminDescription |
String |
管理者の画面に表示される説明。 |
adminDisplayName |
String |
管理者画面に表示される名前。 |
altSecurityIdentities |
String |
認証に使用する、このユーザーに対する X.509 証明書または Kerberos ユーザーアカウントのマッピングを含みます。 |
assistant |
String |
ユーザーの管理補佐の識別名。 |
badPasswordTime |
String |
ユーザーが最後に不正なパスワードを使用してアカウントにログオンを試みた時刻。 |
badPwdCnt |
String |
読み取り専用。不正なパスワードによるログイン試行回数。この値は、問い合わせ先のドメインコントローラで失敗したログイン回数のみの場合があります。 |
businessCategory |
String |
組織で実施されているビジネスの種類を示します。 |
c |
String |
ユーザーの住所にある 2 文字の国番号。 |
cn |
String |
Common Name (共通名)。この属性は、DN 内の CN の値から設定されます。読み取り専用。 |
co |
String |
Text-Country (国名) |
company |
String |
ユーザーの会社名。 |
codePage |
Int |
ユーザーの選択言語のコードページを指定します。 |
countryCode |
String |
ユーザーの選択言語の国番号を指定します。 |
Database |
String |
この属性は、RecipientType の値が UserMailbox である場合に必要となります。デフォルトでは表示されません。Exchange 2007 アカウントを管理するには、これを追加する必要があります。 完全データベースパス (Server\Storage\Database の形式)。 |
defaultClassStore |
String |
指定されたユーザーのデフォルトの Class Store。 |
department |
String |
ユーザーが勤務する部署の名前を格納します。 |
description |
String |
オブジェクトの表示説明を格納します。この値はシステムによって単一値として処理されます。 |
desktopProfile |
String |
ユーザーまたはユーザーグループのデスクトッププロファイルの場所。 |
destinationIndicator |
String |
Active Directory では使用されません。 |
displayName |
String |
特定のユーザーのアドレス帳に表示される名前。通常は、名、ミドルネームのイニシャル、姓の組み合わせです。 |
displayNamePrintable |
String |
displayName のプリント可能なバージョン。 |
distinguishedName |
String |
直接設定することはできません。読み取り専用。DN テンプレートまたは accountId アカウント属性を使用して、作成時に DN を設定します。 |
division |
String |
ユーザーの部門。 |
dynamicLDAPServer |
String |
このアカウントの動的プロパティーを渡すサーバーの DNS 名。 |
employeeID |
String |
従業員の ID。 |
extensionName |
String |
ディレクトリオブジェクトの UI を拡張するために使用されるプロパティーページの名前。 |
ExternalEmailAddress |
String |
この属性は、RecipientType の値が MailUser である場合に必要となります。デフォルトでは表示されません。Exchange 2007 アカウントを管理するには、これを追加する必要があります。 Exchange サーバーで一意の電子メールアドレス (User@Domain の形式)。 |
facsimileTelephoneNumber |
String |
ユーザーの勤務先の FAX 番号。 |
flags |
Int |
ビット情報を格納するためにオブジェクトによって使用されます。 |
garbageCollPeriod |
Int |
この属性は、CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,... オブジェクトに配置されています。DS ガベージコレクションの実行間隔 (時間単位) を表します。 |
generationQualifier |
String |
個人の世代を示します (たとえば、Jr. や II)。 |
givenName |
String |
ユーザーの名を格納します。 |
groupPriority |
String |
使用しません |
groups |
String |
Windows のセキュリティーグループと配布グループ。 |
groupsToIgnore |
String |
使用しません |
homeDirectory |
String |
ユーザーのホームディレクトリ。homeDrive が設定され、ドライブ文字が指定されている場合、homeDirectory は UNC パスにするようにしてください。このパスは \\server\share\directory という形式のネットワーク UNC パスにします。この値は NULL 文字列にすることもできます。 ユーザーのホームディレクトリは次の場合に作成されます。
|
homeDrive |
String |
ホームディレクトリのマップ先になるコロンを含むドライブ文字 (「Z:」など)。homeDirectory が UNC パスの場合のみ指定するようにしてください。 |
homeMDB |
String |
このメールボックスのメッセージデータベース (MDB) の識別名。次のような形式になります。CN=Mailbox Store (SERVERNAME),CN=First Storage Group, CN=InformationStore, CN=SERVERNAME,CN=Servers, CN=First Administrative Group, CN=Administrative Groups, CN=EXCHANGE ORG, CN=Microsoft Exchange, CN=Services, CN=Configuration,DC=DOMAIN, DC=YOURCOMPANY,DC=com' |
homeMTA |
String |
このオブジェクトをサービスするメッセージ転送エージェント (MTA) を指します。次のような形式になります。CN=Microsoft MTA, CN=SERVERNAME, CN=Servers, CN=First Administrative Group, CN=Administrative Groups, CN=EXCHANGE ORG, CN=Microsoft Exchange, CN=Services, CN=Configuration,DC=DOMAIN, DC=YOURCOMPANY,DC=com |
homePhone |
String |
ユーザーの自宅のメイン電話番号。 |
homePostalAddress |
String |
ユーザーの自宅の住所。 |
info |
String |
ユーザーのコメント。NULL 文字列にすることもできます。 |
initials |
String |
ユーザーのフルネームの一部を表すイニシャルを格納します。 |
internationalISDNNumber |
String |
オブジェクトに関連付けられた国際 ISDN 番号を指定します。 |
ipPhone |
String |
電話の TCP/IP アドレス。テレフォニーで使用します。 |
jpegPhoto |
Binary |
ユーザーの画像。(Windows 2003 Server 以上が必要) |
l |
String |
ユーザーの住所の地域 (町村など)。 |
lastLogon |
String |
ユーザーが最後に DC にログオンした時刻。 |
lastLogonTimestamp |
String |
ユーザーが最後にドメインにログインした時刻。この値が更新されるのは、前回この値が更新されてから 1 週間以上が経過している状態で、ユーザーがログインしたときだけです。 |
lastLogoff |
String |
ユーザーが最後にログオフした時刻。 |
legacyExchangeDN |
String |
これまで Exchange によって使用されていた識別名。 |
localeID |
Int |
この属性には、このアプリケーションによってサポートされるロケール ID の一覧が格納されます。ロケール ID は地理的な場所 (フランスなど) を表します。 |
lockoutTime |
String |
不正なログオンカウントがリセットされるまでの待機時間 (分)。 |
logonCount |
Int |
ユーザーがこのアカウントへのログオンを試みて成功した回数。このプロパティーは、ドメイン内でドメインコントローラ別に維持されます。 |
|
String |
1 つ以上の電子メールアドレス。 |
mailNickName |
String |
Exchange のニックネーム。 |
managedObjects |
String |
ユーザーによって管理されるオブジェクトの一覧を格納します。 システムによって設定されます。読み取り専用。 |
manager |
String |
ユーザーのマネージャーのディレクトリ名。 |
maxStorage |
String |
ユーザーの使用できる最大ディスク容量。 |
mDBOverHardQuotaLimit |
String |
メールボックスの最大サイズ (K バイト)。 これを超えるとメールを送受信できなくなります。 |
mDBOverQuotaLimit |
String |
メールボックスに割り当てられたオーバードラフト制限 (K バイト)。 |
mDBStorageQuota |
String |
メッセージデータベース割り当て (K バイト)。 |
mDBUseDefaults |
String |
メッセージを保存する際に、メールボックスごとの割り当て制限ではなく、デフォルトの割り当て制限を適用すべきかどうかを示します。 |
mhsORAddress |
String |
X.400 アドレス。 |
middleName |
String |
ユーザーのミドルネーム。 |
mobile |
String |
第一携帯電話番号。 |
msCOM-PartitionSetLink |
String |
COM+ パーティションを COM+ PartitionSet オブジェクトに関連付けるために使用するリンク。読み取り専用。 |
msCOM-UserLink |
String |
COM+ PartitionSet を ユーザーオブジェクトに関連付けるために使用するリンク。読み取り専用。 |
msCOM-UserPartitionSetLink |
String |
ユーザーを COM+ PartitionSet に関連付けるために使用するリンク。読み取り専用。 |
msDS-AllowedToDelegateTo |
String |
サービスプリンシパル名 (SPN) のリストを格納します。この属性は、Constrained Delegation (制限付き委任) に使用できるサービスチケットを取得できるようサービスを設定するために使用されます。 |
ms-DS-Approx-Immed-Subordinates |
Int |
このユーザーの部下のおよその数。読み取り専用。 |
msDS-Cached-Membership-Time-Stamp |
String |
セキュリティーアカウントマネージャーによって、トークン評価時にグループ拡張のために使用されます。読み取り専用。 |
mS-DS-ConsistencyChildCount |
Int |
この属性は、子オブジェクトの数を比較することで、ディレクトリとその他のオブジェクト、データベース、またはアプリケーションとの間の整合性をチェックするために使用されます。 |
msExchHomeServerName |
String |
Exchange Server の名前。次のような形式になります。/o=EXCHANGEORG/ou=First Administrative Group/cn=Configuration/cn=Servers/cn=SERVERNAME |
ms-DS-KeyVersionNumber |
Int |
このアカウントの現在のキーの Kerberos バージョン番号。これは動的に構築される属性です。読み取り専用。 |
ms-DS-Mastered-By |
String |
msDS-hasMasterNC にバックリンクします。読み取り専用。 |
ms-DS-Members-For-Az-Role-BL |
String |
メンバーアプリケーショングループまたはユーザーから、そこにリンクしている Az-Role オブジェクトへバックリンクします。読み取り専用。 |
ms-DS-NC-Repl-Cursors |
String |
過去および現在のレプリケーションパートナーと、それぞれによる更新状況のリスト。読み取り専用。 |
ms-DS-NC-Repl-Inbound-Neighbors |
String |
このパーティションのレプリケーションパートナー。このサーバーは、ここに含まれる他のサーバー (ソースとして機能) からレプリケーションデータを取得します。読み取り専用。 |
ms-DS-NC-Repl-Outbound-Neighbors |
String |
このパーティションのレプリケーションパートナー。このサーバーは、ここに含まれる他のサーバー (宛先として機能) にレプリケーションデータを送信します。このサーバーは、新しいデータが使用可能になると、これらの他のサーバーに通知します。読み取り専用。 |
ms-DS-Non-Members-BL |
String |
メンバーでないグループ/ユーザーから、そこにリンクしている Az グループへバックリンクします。読み取り専用。 |
ms-DS-Operations-For-Az-Role-BL |
String |
Az-Operation から、そこにリンクしている Az-Role オブジェクトへバックリンクします。読み取り専用。 |
ms-DS-Operations-For-Az-Task-BL |
String |
Az-Operation から、そこにリンクしている Az-Task オブジェクトへバックリンクします。読み取り専用。 |
ms-DS-Repl-Attribute-Meta-Data |
String |
レプリケートされた各属性のメタデータのリスト。読み取り専用。 |
ms-DS-Repl-Value-Meta-Data |
String |
属性の各値のメタデータのリスト。読み取り専用。 |
ms-DS-Tasks-For-Az-Role-BL |
String |
Az-Task から、そこにリンクしている Az-Role オブジェクトへバックリンクします。読み取り専用。 |
ms-DS-Tasks-For-Az-Task-BL |
String |
Az-Task から、そこにリンクしている Az-Task オブジェクトへバックリンクします。読み取り専用。 |
ms-DS-User-Account-Control-Computed |
Int |
期限切れのユーザーパスワードとロックアウトされたユーザーアカウントを求めるために使われる属性。 |
msExchMailboxSecurityDescriptor |
String |
この属性は、ユーザーの Exchange Mailbox 権限を決定します。 詳細は、「ACL リストの管理」を参照してください。 |
ms-Exch-Owner-BL |
String |
所有者属性へのバックリンク。オブジェクトの所有者のリストを格納します。読み取り専用。 |
ms-IIS-FTP-Dir |
String |
ファイルサーバーの共有に関連するユーザーのホームディレクトリ。ms-IID-FTP-Root と組み合わせて使用することで、FTP ユーザーホームディレクトリを決定します。 |
ms-IIS-FTP-Root |
String |
ファイルサーバーの共有を決定する属性。ms-IID-FTP-Dir と組み合わせて使用することで、FTP ユーザーホームディレクトリを決定します。 |
name |
String |
ユーザーの相対識別名 (RDN)。直接設定することはできません。読み取り専用。DN テンプレートまたは accountId アカウント属性を使用して、作成時に RDN を設定します。「name」は予約された属性名なので、スキーママップの左側には使用しないでください。 |
networkAddress |
String |
ネットワークセグメントの TCP/IP アドレス。 |
nTSecurityDescriptor |
String |
スキーマオブジェクトの NT セキュリティー記述子。 詳細は、「ACL リストの管理」を参照してください。 |
o |
String |
会社または組織の名前。 |
objectCategory |
なし |
このクラスまたは派生したクラスのオブジェクトのグループ化に使用するオブジェクトクラス名。 システムによって設定されます。読み取り専用。 |
objectClass |
なし |
このクラスの派生元のクラスのリスト。 この属性の値は、「オブジェクトクラス」リソース属性を使用して設定するようにしてください。読み取り専用。 |
objectVersion |
Int |
オブジェクトのバージョン番号。 |
operatorCount |
Int |
コンピュータ上のオペレータの数。 |
otherFacsimileTelephoneNumber |
String |
代替の FAX 番号のリスト。 |
otherHomePhone |
String |
代替の自宅電話番号のリスト。 |
otherIpPhone |
String |
電話用の代替の TCP/IP アドレスのリスト。テレフォニーで使用します。 |
otherLoginWorkstations |
String |
ここに指定した 非 NT ワークステーションまたは LAN Manager ワークステーションからユーザーがログインできます。 |
otherMailbox |
String |
フォームにその他の追加メールアドレスを格納します (CCMAIL: JohnDoe など)。 |
otherMobile |
String |
追加の携帯電話番号 |
otherPager |
String |
追加のポケットベル番号。 |
otherTelephone |
String |
追加の電話番号。 |
ou |
String |
組織単位 |
outOfOfficeEnabled |
Boolean |
不在時の自動返信機能を有効にします |
outOfOfficeMessage |
String |
不在メッセージのテキスト。 |
pager |
String |
ポケットベル番号 |
personalTitle |
String |
ユーザーの役職 |
PasswordNeverExpires |
Boolean |
ユーザーのパスワードが期限切れになるかどうかを示します。 |
physicalDeliveryOfficeName |
String |
配達物の送付先となるオフィス。 |
postalAddress |
String |
ユーザーの勤務先オフィスの所在地。 |
postalCode |
String |
郵便配達用の郵便番号。 |
postOfficeBox |
String |
このオブジェクトの私書箱番号。 |
preferredDeliveryMethod |
String |
受取人への X.500 優先送付方式。 |
preferredOU |
String |
デフォルトでユーザーのデスクトップ上に表示される組織単位。 |
primaryGroupID |
Int |
ユーザーがまだグループのメンバーでない場合、primaryGroupID は 2 段階の手順で設定する必要があります。まずユーザーをグループに追加して、次に primaryGroupId を設定します。 |
primaryInternationalISDNNumber |
String |
第一 ISDN 番号。 |
primaryTelexNumber |
String |
第一テレックス番号。 |
profilePath |
String |
ユーザーのプロファイルへのパスを指定します。この値には、NULL 文字列、ローカル絶対パス、または UNC パスを設定できます。 |
proxyAddresses |
String |
プロキシアドレスは、Microsoft Exchange Server の受信者オブジェクトが外国のメールシステムで認識されるためのアドレスです。プロキシアドレスは、カスタム受信者や配信リストなど、すべての受信者オブジェクトに必要です。 |
pwdLastSet |
String |
この属性は、ユーザーが最後にパスワードを変更した時刻を示します。この値は、1601 年 1 月 1 日 0 時 0 分 0 秒からの経過秒数を表す大きな整数として格納されます (FILETIME)。この値がゼロに設定され、ユーザーアカウントの「パスワードを無期限にする」プロパティーが false に設定されている場合、ユーザーは次のログオン時にパスワードを設定する必要があります。 |
RecipientType |
String |
すべての Exchange 2007 アカウントタイプで必要です。 指定可能な値は、User、UserMailbox、または MailUser です。 この属性はデフォルトでは表示されません。Exchange 2007 アカウントを管理するには、これを追加する必要があります。 |
revision |
Int |
セキュリティー記述子やその他の変更のバージョン。読み取り専用。 |
rid |
Int |
オブジェクトの相対識別子。読み取り専用。 |
sAMAccountName |
String |
ログイン名。 |
sAMAccountType |
Int |
この属性には、すべてのアカウントタイプのオブジェクトに関する情報が格納されます。システムによって設定されます。読み取り専用。 |
scriptPath |
String |
ユーザーのログオンスクリプトのパス。この文字列は null にできます。 |
seeAlso |
String |
関連するオブジェクトの DN。 |
serialNumber |
String |
ユーザーのシリアル番号。Active Directory では使用されません。 |
servicePrincipalName |
String |
オブジェクトに関連する識別名のリスト。 |
showInAddressBook |
String |
この属性は、オブジェクトが表示される MAPI アドレス帳を指定します。通常は、Exchange 受信者更新サービスによって保守されます。 |
showInAdvancedViewOnly |
Boolean |
この属性が UI の詳細モードに表示される場合は true になります。 |
sn |
String |
姓 |
st |
String |
州名または都道府県名 |
street |
String |
街路住所 |
Structural-Object-Class |
String |
クラス階層に含まれるクラスのリストを格納します (abstract クラスを含む)。読み取り専用。 |
telephoneNumber |
String |
第一電話番号。 |
Terminal Services Initial Program |
String |
ユーザーのログオン時に実行される初期プログラムのパス。 |
Terminal Services Initial Program Directory |
String |
初期プログラムの作業用ディレクトリのパス |
Terminal Services Inherit Initial Program |
Boolean |
クライアントが初期プログラムを指定できるかどうかを示します。 true - クライアントはプログラムを指定できます。 false - Terminal Services Initial Program の値が使用され、プログラムの終了時にクライアントはログオフされます。 |
Terminal Services Allow Logon |
Boolean |
false - ユーザーはログオンできません。 true - ユーザーはログオンできます。 |
Terminal Services Active Session Timeout |
Integer |
時間 (ミリ秒)。値が 0 の場合は、接続タイマーが無効であることを示しています。 |
Terminal Services Disconnected Session Timeout |
Integer |
端末サーバーが切断されたセッションを保持する最大時間 (ミリ秒)。 この時間を経過すると、ログオンは強制終了となります。値が 0 の場合は、切断タイマーが無効であることを示しています。 |
Terminal Services Idle Timeout |
Integer |
最大アイドル時間 (ミリ秒)。指定した間隔にキーボードやマウスの動きが何もなかった場合、ユーザーのセッションは、Terminal Services End Session On Timeout Or Broken Connection で指定されている値に基づいて、切断または終了します。値が 0 の場合は、アイドルタイマーが無効であることを示しています。 |
Terminal Services Connect Client Drives At Logon |
Boolean |
端末サーバーがログオン時にクライアントドライブのマッピングを自動的に再確立するかどうかを示します。 false - サーバーは以前にマップされたクライアントドライブに自動的に接続しません。 true - サーバーはログオン時に、以前にマップされたクライアントドライブに自動的に接続します。 |
Terminal Services Connect Client Printers At Logon |
Boolean |
端末サーバーがログオン時にクライアントプリンタのマッピングを自動的に再確立するかどうかを示します。 false - サーバーは以前にマップされたクライアントプリンタに自動的に接続しません。 true - サーバーはログオン時に、以前にマップされたクライアントプリンタに自動的に接続します。 |
Terminal Services Default To Main Client Printer |
Boolean |
クライアントプリンタがデフォルトのプリンタかどうかを示します。 false - クライアントプリンタはデフォルトのプリンタではありません。 true - クライアントプリンタはデフォルトのプリンタです。 |
Terminal Services End Session On Timeout Or Broken Connection |
Boolean |
接続タイマーかアイドルタイマーの期限が切れたとき、または接続エラーによって接続が失われたときのアクションを指定します。 false - セッションが切断されます。 true - セッションが終了します。 |
Terminal Services Allow Reconnect From Originating Client Only |
Boolean |
このユーザーの切断されたセッションを再接続できるようにする方法を示します。 false - ユーザーは、任意のクライアントコンピュータにログオンして、切断されたセッションに再接続することができます。 true - ユーザーは、切断されたセッションの確立時に使用したクライアントコンピュータにログオンすることで、その切断されたセッションに再接続できます。 |
Terminal Services Callback Settings |
Integer |
端末サーバーのハングアップしたダイアルアップ接続の設定を示し、接続を確立するためにクライアントをコールバックします。 0 - コールバック接続が無効です。 1 - サーバーがユーザーに電話番号の入力を求め、その電話番号でユーザーをコールバックします。 2 - サーバーは、Terminal Services Callback Phone Number 属性によって指定された電話番号で、自動的にユーザーをコールバックします。 |
Terminal Services Callback Phone Number |
String |
コールバック接続に使用する電話番号。 |
Terminal Services Remote Control Settings |
Integer |
ユーザーセッションを追跡できるかどうかを示します。追跡によって、ユーザーは別のユーザーの画面上の操作をリモートで監視できます。 0 - 無効 1 - 入力可能、通知あり 2 - 入力可能、通知なし 3 - 入力不可、通知あり 4 - 入力不可、通知なし |
Terminal Services User Profile |
String |
端末サーバーにログオンするためのユーザーのプロファイルのパス。 |
Terminal Services Local Home Directory |
String |
端末サーバーにログオンするためのユーザーのホームディレクトリのパス。 |
Terminal Services Home Directory Drive |
String |
Terminal Services Local Home Directory 属性で指定された UNC パスのマップ先のドライブ名 (ドライブ文字とコロン)。 |
textEncodedORAddress |
String |
X.400 アドレスをテキスト形式でサポートします。 |
thumbnailPhoto |
Binary |
ユーザーの画像。 |
title |
String |
ユーザーの役職を格納します。このプロパティーは、一般に、プログラマーのような職種ではなく、「シニアプログラマー」のような正式な役職を示すために使用されます。通常、Esq. や DDS などの敬称には使用されません。 |
userAccountControl |
Int |
ユーザーのパスワード、ロックアウト、有効化/無効化、スクリプト、およびホームディレクトリの動作を制御するフラグを指定します。このプロパティーには、オブジェクトのアカウントタイプを示すフラグも格納されます。フラグは LMACCESS.H で定義されます。 |
userParameters |
String |
ユーザーのパラメータ。アプリケーションによる使用のために取り置かれるディレクトリの文字列を指します。この文字列は NULL 文字列にできます。 または、終わりを表す NULL 文字の前に任意の数の文字を設定できます。 |
userPassword |
暗号化されています |
UTF-8 形式のユーザーのパスワード。これは書き込み専用属性です。 |
userPrincipalName |
String |
インターネット標準 RFC 822 に基づく、ユーザーのインターネット形式のログイン名。UPN は識別名よりも短く、覚えるのも簡単です。規約により、この名前は、ユーザーの電子メールの名前にマップするようにしてください。 |
userSharedFolder |
String |
ユーザーの共有ドキュメントフォルダへの UNC パスを指定します。このパスは \\server\share\directory という形式のネットワーク UNC パスにします。この値は NULL 文字列にすることもできます。 |
userSharedFolderOther |
String |
ユーザーの追加の共有ドキュメントフォルダへの UNC パスを指定します。このパスは \\server\share\directory という形式のネットワーク UNC パスにします。この値は NULL 文字列にすることもできます。 |
userWorkstations |
String |
コンマで区切られた、ユーザーがログインできるコンピュータの NetBIOS または DNS 名。 |
usnChanged |
String |
直前の変更 (作成を含む) に対してローカルディレクトリによって割り当てられた USN 値。読み取り専用。 |
usnCreated |
String |
オブジェクト作成時に割り当てられた USN 変更値。 |
USNIntersite |
Int |
サイト間のレプリケーションの USN。 |
uSNLastObjRem |
String |
サーバーから最後にオブジェクトが削除されたのがいつかを示します。読み取り専用。 |
uSNSource |
String |
ローカルサーバーに変更をレプリケートしたリモートディレクトリにあるオブジェクトの USN 変更属性の値。 読み取り専用。 |
WS_PasswordExpired |
Boolean |
ユーザーのパスワードを期限切れにするかどうかを示します。 |
WS_USER_PASSWORD |
暗号化されています |
ユーザーのパスワードを格納します。詳細については、「使用上の注意」を参照してください。 |
wbemPath |
String |
他の ADSI 名前空間にあるオブジェクトへの参照。 |
whenChanged |
String |
このオブジェクトが最後に変更された日付。読み取り専用。 |
whenCreated |
String |
このオブジェクトが作成された日付。読み取り専用。 |
wWWHomePage |
String |
ユーザーの第一 Web ページ。 |
url |
String |
代替の Web ページのリスト。 |
x121Address |
String |
オブジェクトの X.121 アドレス。 |
これらの属性は Exchange Server 2007 固有であり、RecipientType 属性が UserMailbox または MailUser 以外の場合は無視されます。
スキーマ名 |
属性タイプ |
説明 |
---|---|---|
AcceptMessagesOnlyFrom |
String |
このユーザーへのメール送信を許可されたユーザーのリスト。 |
AcceptMessagesOnlyFromDLMembers |
String |
このユーザーへのメール送信を許可されたメンバーを含む配布グループのリスト。 |
Alias |
String |
ユーザーのエイリアス。 |
AntispamBypassEnabled |
Boolean |
このメールボックスでスパム対策処理をスキップするかどうかを指定します。(RecipientType UserMailbox のみ) |
CustomAttribute1 through CustomAttribute15 |
String |
追加情報を格納する属性。 |
DeliverToMailboxAndForward |
Boolean |
このメールボックスに送信されたメッセージを別のアドレスに転送するかどうかを指定します。(RecipientType UserMailbox のみ) |
DisplayName |
String |
Microsoft Outlook で表示される名前。 |
DowngradeHighPriorityMessagesEnabled |
Boolean |
メールボックスが優先度の高いメッセージを送信できないようにします。(RecipientType UserMailbox のみ) |
EmailAddress |
String |
SMTP メールアドレスであり、PrimarySMTPAddress とは併用できません。 |
EmailAddresses |
String |
電子メールアドレスのリスト。PrimarySmtpAddress または「True」に設定された EmailAddressPolicyEnabled とは併用できません。 |
EmailAddressPolicyEnabled |
Boolean |
デフォルトとして「True」に設定すると、プライマリ電子メールアドレスがユーザー用に生成され、次の属性の使用が禁止されます。 - PrimarySmtpAddress - WindowsEmailAddress |
EndDateForRetentionHold |
Nullable |
メッセージレコード管理 (MRM) の保持期間の最終日 (RecipientType UserMailbox のみ)。 |
ExternalOofOptions |
String |
Out of Office メッセージを外部送信者に送信します。値は「InternalOnly」または「External」に限定されます (RecipientType UserMailbox のみ)。 |
ForwardingAddress |
String |
DeliverToMailboxAndForward が「True」に設定されている場合、メールの転送先アドレス (RecipientType UserMailbox のみ)。 |
GrantSendOnBehalfTo |
String |
このユーザーの代わりにメッセージを送信できるその他の受信者の識別名 (DN)。 |
HiddenFromAddressListsEnabled |
Boolean |
アドレスリストから電子メールアドレスを非表示にします。 |
IssueWarningQuota |
Unlimited ByteQuantifiedSize |
割り当て警告の発行先のメールボックスのサイズ。(RecipientType UserMailbox のみ) |
Languages |
String |
表示用の言語の一覧。(RecipientType UserMailbox のみ) |
MaxBlockedSenders |
Nullable |
ブロックされた送信者リストに追加できる送信者の最大数。 |
MaxReceiveSize |
Unlimited ByteQantifiedSize |
このユーザーが受信できるメッセージの最大サイズ。 |
MaxSafeSenders |
Nullable |
安全な送信者リストに追加できる送信者の最大数。(RecipientType UserMailbox のみ) |
MaxSendSize |
Unlimited ByteQantifiedSize |
このユーザーが送信できるメッセージの最大サイズ。 |
OfflineAddressBook |
String |
関連付けられたアドレス帳。(RecipientType UserMailbox のみ) |
PrimarySmtpAddress |
String |
外部ユーザーがこのユーザーからメッセージを受信したときに、外部ユーザーに表示されるアドレス。EmailAddresses とは併用されません。 EmailAddresses リストには PrimarySmtpAddress が含まれています。「True」に設定された EmailAddressPolicyEnabled とは併用できません。 |
ProhibitSendQuota |
Unlimited ByteQantifiedSize |
このメールボックスに関連付けられたユーザーがメッセージを送信できなくなる時点のメールボックスサイズ。(RecipientType UserMailbox のみ) |
ProhibitSendReceiveQuota |
Unlimited ByteQantifiedSize |
このメールボックスに関連付けられたユーザーがメッセージを送信または受信できなくなる時点のメールボックスサイズ。(RecipientType UserMailbox のみ) |
RecipientLimits |
Unlimited |
このメールボックスで送信できるメッセージ当たりの送信者の最大数。 |
RejectMessagesFrom |
String |
メッセージが拒否される受信者。 |
RejectMessagesFromDLMembers |
String |
これらの配布リストの任意のメンバーからのメッセージが拒否されます。 |
RequireSenderAuthenticationEnabled |
Boolean |
送信者は認証される必要があります。 |
RetainDeletedItemsFor |
String |
削除されたアイテムを保持する期間を指定する「dd.hh:mm:ss」の文字列形式で表現されるタイムスパン。(RecipientType UserMailbox のみ) |
RetainDeletedItemsUntilBackup |
Boolean |
削除された項目を次回のバックアップまで保持します。(RecipientType UserMailbox のみ) |
RetentionHoldEnabled |
Boolean |
保持をオンまたはオフに切り替えます (RecipientType UserMailbox のみ)。 |
RulesQuota |
ByteQuantifiedSize |
このメールボックスに対する規則のサイズ制限。最大値は 256K バイトです (RecipientType UserMailbox のみ)。 |
SCLDeleteEnabled |
Nullable Boolean |
SCL 削除のしきい値を満たしたメッセージを削除します (RecipientType UserMailbox のみ)。 |
SCLDeleteThreshold |
Nullable |
メールが削除される時点の Spam Confidence Level。指定できる値は 0 ~ 9 です。(RecipientType UserMailbox のみ) |
SCLJunkEnabled |
Nullable Boolean |
SCL ジャンクのしきい値を満たしたメッセージをジャンクとします (RecipientType UserMailbox のみ)。 |
SCLJunkThreshold |
Nullable |
メールがジャンクとしてマークされる時点の Spam Confidence Level。 許可される値は 0-9 です (RecipientType UserMailbox のみ)。 |
SCLQuarantineEnabled |
Nullable Boolean |
SCL 隔離のしきい値を満たしたメッセージを隔離します (RecipientType UserMailbox のみ)。 |
SCLQuarantineThreshold |
Nullable |
メールが隔離される時点の Spam Confidence Level。 許可される値は 0-9 です (RecipientType UserMailbox のみ)。 |
SCLRejectEnabled |
Nullable Boolean |
SCL 拒否のしきい値を満たしたメッセージを拒否します (RecipientType UserMailbox のみ)。 |
SCLRejectThreshold |
Nullable |
メールが拒否される時点の Spam Confidence Level。 許可される値は 0-9 です (RecipientType UserMailbox のみ)。 |
SimpleDisplayName |
String |
DisplayName の ASCII のみのバージョン。 |
StartDateForRetentionHold |
Nullable |
MRM の保持期間の開始日。(RecipientType UserMailbox のみ) |
UseDatabaseQuotaDefaults |
Boolean |
このメールボックスが存在するメールボックスデータベースに指定された割り当て属性を、このメールボックスで使用するように指定します。(RecipientType UserMailbox のみ) |
UseDatabaseRetentionDefaults |
Boolean |
このメールボックスが存在するメールボックスデータベースに指定された MailboxRetention 属性を、このメールボックスで使用するように指定します。(RecipientType UserMailbox のみ) |
UserPrincipalName |
String |
これはユーザーのログオン名です。UPN はユーザー名とサフィックスで構成されます。 |
nTSecurityDescriptor および msExchMailboxSecurityDescriptor 属性値には、特別な方法で指定する ACL リストが含まれています。
次に、企業がプロビジョニングする各ユーザーに対してデフォルトのアクセス権のセットを割り当てる場合に使用する可能性があるユーザーフォームの例を示します。
<Field name=’attributes[AD].nTSecurityDescriptor’ hidden=’true’> <Expansion> <list> <s>Domain Admins|983551|0|0|NULL|NULL</s> <s>NT AUTHORITY\SYSTEM|983551|0|0|NULL|NULL</s> <s>Account Operators|983551|0|0|NULL|NULL</s> <s>NT AUTHORITY\Authenticated Users|131220|0|0|NULL|NULL</s> <s>NT AUTHORITY\Authenticated Users|256|5|0| {AB721A55-1E2F-11D0-9819-00AA0040529B}|NULL</s> <s>NT AUTHORITY\SELF|131220|0|0|NULL|NULL</s> </list> </Expansion> </Field>
nTSecurityDescriptor リスト内のエントリは、次の形式になります。
Trustee|Mask|aceType|aceFlags|objectType|InheritedObjectType
各表記の意味は次のとおりです。
Trustee は、ユーザーの DOMAIN\Account です。
Mask は、アクセス権 (読み取り、書き込みなど) を指定するフラグです。
aceType は、アクセス制御エントリ (ACE) のタイプを示すフラグです。
ADS_ACETYPE_ACCESS_ALLOWED = 0, ADS_ACETYPE_ACCESS_DENIED = 0x1, ADS_ACETYPE_SYSTEM_AUDIT = 0x2, ADS_ACETYPE_ACCESS_ALLOWED_OBJECT = 0x5, ADS_ACETYPE_ACCESS_DENIED_OBJECT = 0x6, ADS_ACETYPE_SYSTEM_AUDIT_OBJECT = 0x7, ADS_ACETYPE_SYSTEM_ALARM_OBJECT = 0x8 ADS_ACETYPE_ACCESS_ALLOWED
各表記の意味は次のとおりです。
ADS_ACETYPE_ACCESS_ALLOWED: ACE は標準の ACCESS ALLOWED タイプになります。ここで、ObjectType および InheritedObjectType フィールドは NULL です。
ADS_ACETYPE_ACCESS_DENIED: ACE は標準のシステム監査タイプになります。ここで、ObjectType および InheritedObjectType フィールドはNULL です。
ADS_ACETYPE_SYSTEM_AUDIT: ACE は標準システムタイプになります。ここで、ObjectType および InheritedObjectType フィールドは NULL です。
ADS_ACETYPE_ACCESS_ALLOWED_OBJECT: Windows 2000 で、ACE は、オブジェクトまたはオブジェクトのサブオブジェクト (プロパティーやプロパティーのセットなど) へのアクセスを許可します。
ObjectType、InheritedObjectType、またはこれら両方に、プロパティーセット、プロパティー、拡張された権限、または子オブジェクトのタイプを特定する GUID が格納されます。
ADS_ACETYPE_ACCESS_DENIED_OBJECT: Windows 2000 で、ACE オブジェクトまたはオブジェクトのサブオブジェクト (プロパティーやプロパティーのセットなど) へのアクセスを拒否します。
ObjectType、InheritedObjectType、またはこれら両方に、プロパティーセット、プロパティー、拡張された権限、または子オブジェクトのタイプを特定する GUID が格納されます。
ADS_ACETYPE_SYSTEM_AUDIT_OBJECT: Windows 2000 で、ACE オブジェクトまたはオブジェクトのサブオブジェクト (プロパティーやプロパティーのセットなど) へのアクセスを監査します。
ObjectType、InheritedObjectType、またはこれら両方に、プロパティーセット、プロパティー、拡張された権限、または子オブジェクトのタイプを特定する GUID が格納されます。
ADS_ACETYPE_SYSTEM_ALARM_OBJECT: 現時点で Windows 2000/XP では使用されません。
aceFlags は、ほかのコンテナやオブジェクトが ACL 所有者から ACE を継承できるかどうかを指定するフラグです。
ADS_ACEFLAG_INHERIT_ACE = 0x2, ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE = 0x4, ADS_ACEFLAG_INHERIT_ONLY_ACE = 0x8, ADS_ACEFLAG_INHERITED_ACE = 0x10, ADS_ACEFLAG_VALID_INHERIT_FLAGS = 0x1f, ADS_ACEFLAG_SUCCESSFUL_ACCESS = 0x40,
各表記の意味は次のとおりです。
ADS_ACEFLAG_FAILED_ACCESS = 0x80 ADS_ACEFLAG_INHERIT_ACE: このアクセス制御エントリ (ACE) を継承する子オブジェクトを示します。
継承される ACE は、ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE フラグを設定しない限り継承可能です。
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE: 子オブジェクトの継承した ACE の ADS_ACEFLAG_INHERIT_ACE フラグが、システムによってクリアされます。これによって、ACE は、以降の世代のオブジェクトには継承されません。
ADS_ACEFLAG_INHERIT_ONLY_ACE: 接続先のオブジェクト上でアクセス制御を実行しない継承専用の ACE を示します。
このフラグを設定しない場合、ACE は、接続先のオブジェクト上でアクセス制御を実行する有効な ACE になります。
ADS_ACEFLAG_INHERITED_ACE: ACE が継承されたかどうかを示します。このビットはシステムによって設定されます。
ADS_ACEFLAG_VALID_INHERIT_FLAGS: 継承されたフラグが有効かどうかを示します。このビットはシステムによって設定されます。
ADS_ACEFLAG_SUCCESSFUL_ACCESS: アクセスに成功した場合に、監査メッセージを生成し、システムアクセス制御リスト (SACL) でシステムを監査する ACE によって使用されます。
ADS_ACEFLAG_FAILED_ACCESS: アクセスに失敗した場合に、監査メッセージを生成し、SACL でシステムを監査する ACE によって使用されます。
objectType は、ADSI オブジェクトタイプを示すフラグです。objectType の値は、文字列形式のプロパティーまたはオブジェクトの GUID です。
この GUID は、ADS_RIGHT_DS_READ_PROP および ADS_RIGHT_DS_WRITE_PROP アクセスマスクの使用時に、プロパティーを参照します。
この GUID は、ADS_RIGHT_DS_CREATE_CHILD および ADS_RIGHT_DS_DELETE_CHILD アクセスマスクの使用時に、オブジェクトを指定します。
InheritedObjectType は、ADSI オブジェクトの子オブジェクトのタイプを示すフラグです。InheritedObjectType の値は、オブジェクトに対する文字列形式の GUID です。このような GUID を設定する場合、ACE は、その GUID によって参照されるオブジェクトのみに適用されます。
objectType および InheritedObjectType フラグでは、ほかのオブジェクトの GUID を次の形式で指定します。
{BF9679C0-0DE6-11D0-A285-00AA003049E2}
オブジェクト/属性の GUID は、角括弧 { } で囲まれます。この形式は、取得したときに返されます。ADSI 内には、アクセスを許可する特定の属性や、継承関係の記述方法を表す GUID が存在しています。
渡していく正しい文字列を見つけるには、次の方法を実行します。
スキーマに属性を追加し、次のフィールドをユーザーフォームに追加します。
<Field name=’accounts[AD].nTSecurityDescriptor’> <Display class=’TextArea’> <Property name=’title’ value=’NT User Security Descriptor’/> <Property name=’rows’ value=’20’/> <Property name=’columns’ value=’100’/> </Display> </Field> |
または
<Field name=’accounts[AD].msExchMailboxSecurityDescriptor’> <Display class=’TextArea’> <Property name=’title’ value=’Mailbox Security Descriptor’/> <Property name=’rows’ value=’20’/> <Property name=’columns’ value=’100’/> </Display> </Field> |
Active Directory でユーザーのオブジェクトを編集して、すべてのユーザーに対応する ACL リストを設定し、ベースラインを確立します。
Edit User Form を使って、Identity Manager で、ユーザーを編集します。
テキスト領域に、Active Directory のユーザーオブジェクトから取得された対応する値が入力されていることを確認します。
上記の方法は、必要な設定のために、フォームに追加する値を決定する場合に役立ちます。
次の表に、Identity Manager でサポートされないアカウント属性を示します。
スキーマ名 |
注意点 |
---|---|
allowedAttributes |
オペレーショナル属性 |
allowedAttributesEffective |
オペレーショナル属性 |
allowedChildClasses |
オペレーショナル属性 |
alowedChildClassesEffective |
オペレーショナル属性 |
bridgeheadServerListBL |
システムが使用します |
canonicalName |
オペレーショナル属性 |
controlAccessRights |
String (Octet) |
createTimeStamp |
String (UTC-Time) |
dBCSPwd |
String (Octet) |
directReports |
システムが使用します。このユーザーによって管理されるユーザーのマネージャー属性を使用して設定します。 |
dSASignature |
Object(Replica-Link) |
dSCorePropagationData |
String (UTC-Time) |
fromEntry |
オペレーショナル属性 |
frsComputerReferenceBL |
システムが使用します |
fRSMemberReferenceBL |
システムが使用します |
fSMORoleOwner |
システムが使用します |
groupMembershipSAM |
String (Octet) |
instanceType |
システムが使用します |
isCriticalSystemObject |
システムが使用します |
isDeleted |
システムが使用します |
isPrivilegeHolder |
システムが使用します |
lastKnownParent |
システムが使用します |
lmPwdHistory |
String (Octet) |
logonHours |
String (Octet) |
logonWorkstations |
String (Octet) |
masteredBy |
システムが使用します。 |
memberOf |
システムが使用します。groups 属性を使用します。 |
modifyTimeStamp |
String (UTC-Time) |
MS-DRM-Identity-Certificate |
String (Octet) |
ms-DS-Cached-Membership |
String (Octet) |
mS-DS-ConsistencyGuid |
String (Octet) |
mS-DS-CreatorSID |
String (Sid) |
ms-DS-Site-Affinity |
String (Octet) |
mSMQDigests |
String (Octet) |
mSMQDigestsMig |
String (Octet) |
mSMQSignCertificates |
String (Octet) |
mSMQSignCertificatesMig |
String (Octet) |
msNPAllowDialin |
RAS MPR API を使用して、値の読み取りと更新を行います。 |
msNPCallingStation |
RAS MPR API を使用して、値の読み取りと更新を行います。 |
msNPSavedCallingStationID |
RAS MPR API を使用して、値の読み取りと更新を行います。 |
msRADIUSCallbackNumber |
RAS MPR API を使用して、値の読み取りと更新を行います。 |
msRADIUSFramedIPAddress |
RAS MPR API を使用して、値の読み取りと更新を行います。 |
msRADIUSFramedRoute |
RAS MPR API を使用して、値の読み取りと更新を行います。 |
msRADIUSServiceType |
RAS MPR API を使用して、値の読み取りと更新を行います。 |
msRASSavedCallbackNumber |
RAS MPR API を使用して、値の読み取りと更新を行います。 |
msRASSavedFramedIPAddress |
RAS MPR API を使用して、値の読み取りと更新を行います。 |
msRASSavedFramedRoute |
RAS MPR API を使用して、値の読み取りと更新を行います。 |
netbootSCPBL |
システムが使用します |
nonSecurityMemberBL |
システムが使用します |
ntPwdHistory |
システムが使用します |
objectGUID |
String (Octet)。この GUID は、アカウントの Identity Manager ユーザーオブジェクトの ResourceInfo に格納されます。 |
objectSid |
String (Sid) |
otherWellKnownObjects |
Object (DN-Binary) |
partialAttributeDeletionList |
システムが使用します |
partialAttributeSet |
システムが使用します |
possibleInferiors |
システムが使用します |
proxiedObjectName |
Object (DN-Binary) |
queryPolicyBL |
システムが使用します |
registeredAddress |
String (Octet) |
replPropertyMetaData |
システムが使用します |
replUpToDateVector |
システムが使用します |
repsFrom |
システムが使用します |
repsTo |
システムが使用します |
sDRightsEffective |
オペレーショナル属性 |
securityIdentifier |
String (Sid) |
serverReferenceBL |
システムが使用します |
sIDHistory |
String (Sid) |
siteObjectBL |
システムが使用します |
subRefs |
システムが使用します |
subSchemaSubEntry |
システムが使用します |
supplementalCredentials |
システムが使用します |
systemFlags |
システムが使用します |
telexNumber |
String (Octet) |
teletexTerminalIdentifier |
String (Octet) |
terminalServer |
String (Octet) |
thumbnailLogo |
String (Octet) |
tokenGroups |
String (Sid) / オペレーショナル属性 |
tokenGroupsGlobalAndUniversal |
String (Sid) |
tokenGroupsNoGCAcceptable |
String (Sid) / オペレーショナル属性 |
unicodePwd |
String (Octet)。userPassword を使用して、ユーザーのパスワードを設定します。 |
userCert |
String (Octet) |
userCertificate |
String (Octet) |
userSMIMECertificate |
String (Octet) |
wellKnownObjects |
Object (DN-String) |
x500uniqueIdentifier |
String (Octet) |
Identity Manager は、次の Active Directory オブジェクトをサポートします。
リソースオブェクト |
サポートされる機能 |
管理される属性 |
---|---|---|
Group |
作成、更新、削除 |
cn、samAccountName、description、managedby、member、mail、groupType、authOrig、name |
DNS Domain |
Find |
dc |
Organizational Unit |
作成、削除、検索 |
ou |
Container |
作成、削除、検索 |
cn、description |
リソースオブジェクト上で管理できる属性は、一般に、属性構文によって指示することもできます。これらのオブジェクトタイプの属性は、ユーザーアカウントの属性と類似しているので、同じようにサポートされています。
Windows Active Directory は、階層ベースのリソースです。アイデンティティーテンプレートによって、ユーザーが作成するディレクトリツリー内のデフォルトの場所が指定されます。デフォルトのアイデンティティーテンプレートは次のとおりです。
CN=$fullname$,CN=Users,DC=mydomain,DC=com
デフォルトのテンプレートを有効な値に置き換えてください。
ここでは、Active Directory リソースアダプタに用意されているサンプルフォームの一覧を示します。
ActiveDirectory ActiveSync Form
Windows Active Directory コンテナ作成フォーム
Windows Active Directory グループ作成フォーム
Windows Active Directory 組織単位作成フォーム
Windows Active Directory Create Person Form
Windows Active Directory ユーザー作成フォーム
Windows Active Directory コンテナ更新フォーム
Windows Active Directory グループ更新フォーム
Windows Active Directory 組織単位更新フォーム
Windows Active Directory Update Person Form
Windows Active Directory ユーザー更新フォーム
ADUserForm.xml
Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。
com.waveset.adapter.ADSIResourceAdapter
また、Identity Manager のデバッグページを使用して、ゲートウェイサービス上でトレースを有効にすることもできます (InstallDir/idm/debug/Gateway.jsp)。このページでは、トレースのレベル、トレースファイルの場所、およびトレースファイルの最大サイズを指定できます。また、ゲートウェイのトレースファイルをリモートで取得して、ゲートウェイのバージョン情報を表示することもできます。
さまざまなコマンド行スイッチによって、デバッグトレースをしているコンソールから、ゲートウェイサービスを起動することもできます。-h を使用して、ゲートウェイサービスの使用方法を確認してください。
接続の問題を診断するために、次のメソッドでトレースを有効にすることもできます。
com.waveset.adapter.AgentResourceAdapter#sendRequest
com.waveset.adapter.AgentResourceAdapter#getResponse