管理者のロールとディレクトリ階層

この項では単層階層および 2 層階層を実装するディレクトリ情報ツリーの例を示します。次に最上位管理者と組織管理者で実行できるタスクについて説明します。

単層階層をサポートするディレクトリ構造

設定プログラム config-commda を実行して Delegated Administrator を設定するときに、最上位管理者 (TLA) とデフォルト組織を作成します。

単層階層: ルートサフィックス下のデフォルト組織

デフォルトでは、設定プログラムによりデフォルト組織はルートサフィックスの下に置かれます。

ディレクトリ情報ツリーは、図 1–4 のような形式になります。

図 1–4 に単層階層で編成されたディレクトリ情報ツリーの例を示します(デフォルト設定)。

図 1–4 単層階層: ディレクトリ情報ツリー (デフォルト) の例

単層階層: ルートサフィックスのデフォルト組織

設定プログラム config-commda を実行する場合、ルートサフィックスの下ではなく、ルートサフィックスと同じレベルでデフォルト組織を作成できます。設定の詳細については、第 3 章「Delegated Administrator の設定」にある 「Delegated Administrator サーバーの設定」を参照してください。

この場合、ディレクトリ情報ツリーは図 1–5 に示すような構成になります。

ただし、ルートサフィックスのレベルでデフォルト組織を作成する場合、この設定の LDAP ディレクトリは複数のホストドメインをサポートできません。複数のホストドメインをサポートする場合、デフォルト組織をルートサフィックスの下に置く必要があります。

図 1–5 に、デフォルト組織がルートサフィックスのレベルに作成された単層階層の例を示します。

図 1–5 単層階層:ルートサフィックスのデフォルト組織

2 層階層をサポートするディレクトリ構造

config-commda プログラムで Delegated Administrator を設定した後、図 1–6 に示すように、TLA が新たな組織を作成できます。

図 1–6 に、2 層階層で編成されたディレクトリ情報ツリーの例を示します。

図 1–6 2 層階層: ディレクトリ情報ツリーの例

最上位管理者のロール

TLA には次の作業を実行する権限があります。

• 組織を作成、削除、変更する。

  図 1–6 に示す例では、TLA は siroe.com または sesta.com を変更または削除できます。また新たな組織を作成できます。

  この例では、2 つの組織も一意のホストドメインであることに注意してください。

• ユーザーを作成、削除、変更する。

• グループの作成、削除、および変更

• カレンダリソースの作成、削除、および変更

• ユーザーへの OA のロールの割り当て。たとえば、TLA は組織 siroe.com のユーザー johna に OA のロールを割り当てることができます。

  TLA はユーザーから OA のロールを削除することもできます。

• その他のユーザーに TLA のロールを割り当てる。TLA はユーザーから TLA のロールを削除することもできます。

• 組織にサービスパッケージを割り当てる。

  サービスパッケージの詳細については、この章の後半で説明する 「サービスパッケージ」を参照してください。

  TLA は指定されたタイプのサービスパッケージを組織に割り当て、各パッケージについて、その組織で使用できる回数の上限を決定できます。

  たとえば、TLA は次のサービスパッケージを割り当てられます。

  • 組織 siroe.com:

    1,000 gold パッケージ

    500 platinum パッケージ

  • 組織 sesta.com:

    2,000 silver パッケージ

    1,500 gold パッケージ

    100 platinum パッケージ

    TLA が上記のタスクを実行するには、Delegated Administrator コンソールを使用するか、Delegated Administrator ユーティリティー (commadmin) のコマンドを実行します。

    commadmin コマンドの詳細については、第 5 章「コマンド行ユーティリティー」の表 5–1 を参照してください。

組織管理者のロール

OA には、その OA の組織内で次の作業を実行する権限があります。

• ユーザーを作成、削除、変更する。

  図 1–6 に示す例では、ユーザー johna に組織 siroe.com の OA のロールが割り当てられている場合、johna は siroe.com のユーザーを管理できます。

• グループを作成、削除、および変更する。

• カレンダリソースを作成、削除、および変更する。

• ほかのユーザーに OA のロールを割り当てる。

• ユーザーにサービスパッケージを割り当てたり、削除したりする。

OA は、その OA の組織外のユーザー、グループ、またはリソースに対しては、これらの作業を実行できません。

たとえば、図 1–6 に示すように johna が siroe.com の OA である場合、johna は sesta.com のユーザー、グループ、またはリソースを管理できません。

OA が上記のタスクを実行するには、Delegated Administrator コンソールを使用するか、Delegated Administrator ユーティリティー (commadmin) のコマンドを実行します。

OA が使用できる commadmin コマンドの詳細については、第 5 章「コマンド行ユーティリティー」の表 5–1 を参照してください。