|
| |
| Sun Java™ System Identity Manager 7.0 リソースリファレンス | |
Active Directory次のリソースアダプタは、Windows Active Directory 2000 SP3 以降と Windows Active Directory 2003 をサポートします。
GUI 名
クラス名
Windows 2000 / Active Directory
com.waveset.adapter.ADSIResourceAdapter
Windows 2000 / Active Directory Active Sync
com.waveset.adapter.ActiveDirectoryActiveSyncAdapter
Windows 2000 / Active Directory リソースアダプタは、com.waveset.adapter.ADSIResourceAdapter クラスで定義されます。
このアダプタは、次のバージョンをサポートします。
リソースを設定する際の注意事項
ここでは、Identity Manager で使用する次の Active Directory リソースの設定手順を説明します。次のような手順があります。
Sun Identity Manager Gateway の場所
ゲートウェイシステムでは Windows 2000 以降を実行するようにしてください。Active Directory Client Extension がインストールされた Windows NT を実行しているゲートウェイシステムから Active Directory (AD) を管理することも可能であるかもしれませんが、これはお勧めできません。
「LDAP ホスト名」リソース属性が設定されていない場合、ゲートウェイはディレクトリに対してサーバーレスバインドを実行します。サーバーレスバインドが機能するためには、ドメイン内にあって、管理対象のドメインまたはディレクトリを「認識している」システム上に、ゲートウェイをインストールする必要があります。一般に、管理対象のドメインと同じフォレストにあるドメイン内にゲートウェイが存在するか、ドメイン間にトラスト関係が存在する場合は、サーバーレスバインドが成功します。
「LDAP ホスト名」リソース属性は、ゲートウェイに特定の DNS ホスト名または IP アドレスとバインドするように指示します。これはサーバーレスバインドとは正反対です。ただし、LDAP ホスト名では、必ずしも特定のドメインコントローラを指定する必要はありません。AD ドメインの DNS 名を使用できます。ゲートウェイシステムの DNS サーバーが、その DNS 名に対して複数の IP アドレスを返すように設定されている場合、そのうちの 1 つがディレクトリバインドに使用されます。これによって単一のドメインコントローラに依存する必要がなくなります。
パススルー認証や前アクションと後アクションを含む一部の操作では、ゲートウェイシステムがドメインのメンバーであることが求められます。
Sun Identity Manager Gateway サービスアカウント
デフォルトでは、ゲートウェイサービスはローカルシステムアカウントとして実行されます。これは、サービス MMC スナップインで設定できます。
ゲートウェイをローカルシステム以外のアカウントとして実行する場合は、ゲートウェイサービスアカウントに「Act As Operating System」ユーザー権限と「Bypass Traverse Checking」のユーザー権限が必要です。ゲートウェイは、パススルー認証や、特定の状況でのパスワードの変更およびリセットに、これらの権限を使用します。
AD の管理の大部分は、リソース内で指定された管理アカウントを使用して行います。ただし、一部の操作はゲートウェイサービスアカウントで実行します。つまり、ゲートウェイサービスアカウントには、これらの操作を実行するための適切なアクセス権が必要です。現在、これに該当する操作は次のとおりです。
「認証のタイムアウト」リソース属性 (パススルー認証のみの場合) を使用すると、ゲートウェイ側で問題が発生してもアダプタが滞らずにすみます。
事前のアクションや事後のアクションのスクリプトを実行するときは、ゲートウェイに「プロセスレベルトークンの置き換え」の権限が必要な場合があります。この権限は、ゲートウェイが別のユーザー (リソース管理ユーザーなど) としてスクリプトのサブプロセスを実行しようとする場合に必要です。この場合、ゲートウェイプロセスには、そのサブプロセスに関連付けられたデフォルトのトークンを置き換える権限が必要です。
この権限がない場合は、サブプロセスの作成中に次のエラーが返されることがあります。
"Error creating process: A required privilege is not held by the client"
「プロセスレベルトークンの置き換え」権限は、デフォルトのドメインコントローラのグループポリシーオブジェクトと、ワークステーションおよびサーバーのローカルセキュリティーポリシーで定義されます。この権限をシステムに設定するには、「管理ツール」フォルダの「ローカルセキュリティーポリシー」アプリケーションを開き、「ローカルポリシー」>「ユーザー権利の割り当て」>「プロセスレベルトークンの置き換え」に移動します。
不在メッセージ
outOfOfficeEnabled および outofOfficeMessage アカウント属性を使用すると、前者では不在時の自動返信機能の有効化、後者では不在メッセージの設定がそれぞれできます。これらは Exchange 200x アカウントで使用できます。これらの属性が設定されるのはアカウントの更新時のみで、アカウントの作成時には設定されません。
このアダプタでは、ゲートウェイマシン上に Messaging Application Programming Interface (MAPI) をインストールする必要があります。MAPI サブシステムをインストールするには、少なくとも 2 とおりの方法があります。もっとも単純な方法は、ゲートウェイマシン上に Microsoft Outlook クライアントをインストールすることです。この場合、これ以外の設定は必要ありません。
もう 1 つの方法は、Exchange Server CD にある Exchange System Management Tools をインストールすることです。この管理ツールは、通常の Exchange Server のコンポーネントとしてインストールされます。ただし、このインストールによって MAPI サブシステムのファイルはインストールされますが、これで設定が完了するわけではありません。
mapisvc.inf ファイル (通常は c:¥winnt¥system32 にある) には使用可能な MAPI サービスが格納されていますが、このファイルを更新して Exchange メッセージサービスエントリを含むようにする必要があります。msems.inf ファイル (gateway zip ファイルに格納されている) に格納されているエントリは、Exchange メッセージサーバーを設定するために、mapisvc.inf ファイルにマージします。msems.inf ファイルは、メモ帳などのテキストエディタを使用して、手動で mapisvc.inf ファイルにマージできます。また、Microsoft Platform SDK には MergeIni.exe という名前のツールも用意されています。これは Microsoft SDK¥Bin ディレクトリの Windows Core SDK にあります。
MergeIni を実行するには、次のコマンドを使用します。
MergeIni msems.inf -m
Out of Office 属性は、msExchHideFromAddressLists 属性が有効になっている場合は取得できません。msExchHideFromAddressLists が true になっているときに、ユーザーフォームに Out of Office 属性を表示しようとしても、値は定義されません。サンプルの Active Directory ユーザーフォームには、msExchHideFromAddressLists が有効になっているときは Identity Manager に Out of Office 属性を表示させないロジックが組み込まれています。
Identity Manager 上で設定する際の注意事項
このリソースに必要な追加のインストール手順はありません。
使用上の注意
ここでは、Active Directory リソースアダプタの使用に関連する依存関係と制限について示します。説明する内容は次のとおりです。
パスワード履歴の確認
エンドユーザーが自分のパスワードを変更するときに Active Directory アカウントのパスワード履歴を確認するには、AD パスワードを入力する必要があります。AD リソース上でこの機能を有効にするには、「 変更時にユーザーがパスワードを入力」リソース属性を 1 に設定し、WS_USER_PASSWORD 属性のタイプを encrypted にしてアカウント属性に追加します。WS_USER_PASSWORD は、Identity Manager ユーザー属性およびリソースユーザー属性として追加します。
waveset.properties ファイル内の sources.ResourceName.hosts プロパティーを使用して、Active Sync を使用してリソースの同期を行うのにクラスタ内のどのホストを使用するかを制御できます。ResourceName は、リソースオブジェクトの名前に置き換えてください。
Microsoft Exchange Server のサポート
Microsoft Exchange Server 2000 以降をサポートするには、次のアカウント属性を有効にします。
次のアカウント属性はデフォルトでスキーママップに表示され、Exchange アカウントの管理にも使用されます。
Exchange Server の属性を管理するのに Active Directory リソースを使用していない場合、Identity Manager で Active Directory アカウントを正常にプロビジョニングするには、これらのアダプタのスキーママップからこれらの属性を削除します。
Active Directory アダプタは、プリンタ、コンピュータ、またはその他の Active Directory オブジェクトをサポートするように変更できます。次の例は、プリンタオブジェクトをサポートするように、該当する Java クラス内の XML コードを変更する方法を示しています。
<ObjectType name='Printer' icon='group'>
<ObjectClasses operator='AND'>
<ObjectClass name='printQueue'/>
</ObjectClasses>
<ObjectFeatures>
<ObjectFeature name='create'/>
<ObjectFeature name='update'/>
<ObjectFeature name='delete'/>
</ObjectFeatures>
<ObjectAttributes idAttr='distinguishedName' displayNameAttr='cn' descriptionAttr='description'>
<ObjectAttribute name='cn' type='string'/>
<ObjectAttribute name='description' type='string'/>
<ObjectAttribute name='managedby' type='string'/>
<ObjectAttribute name='distinguishedName' type='string'/>
</ObjectAttributes>
</ObjectType>プリンタオブジェクトをサポートするためには、少なくとも 1 つの新しいフォームを作成します。
Windows Active Directory リソースによって Exchange 2000 の連絡先を管理できるようにするには、オブジェクトクラスを contact に変更し、password、accountId、および expirePassword リソース属性を削除します。
Active Sync の設定
Identity Manager 5.5 より前のバージョンでは、「削除を更新として処理」チェックボックスが選択されている場合、Identity Manager は、削除された Identity Manager ユーザーとすべてのリソースアカウントを無効にし、あとで削除するためにユーザーにマークを付けていました。このチェックボックスは、デフォルトで選択されていました。Identity Manager 5.5 以降では、削除規則セットを「なし」に設定することによってこの機能が設定されます。
チェックボックスの選択が以前に解除されていた場合は、削除規則が「ActiveSync has isDeleted set」に設定されます。
Active Sync は常に同じドメインコントローラに接続する必要があるので、「子ドメインの検索」リソースパラメータが選択されていない場合は、特定のドメインコントローラのホスト名を指定するように LDAP ホスト名を設定します。「子ドメインの検索」オプションが選択されている場合は、グローバルカタログホスト名フィールドに、特定のグローバルカタログサーバーを設定します。
新しいドメインコントローラに切り替えたときに発生する繰り返しイベントの数を制限する方法については、第 5 章「Active Directory 同期フェイルオーバー」を参照してください。
セキュリティーに関する注意事項
ここでは、サポートされる接続と特権の要件について説明します。
サポートされる接続
「暗号化タイプ」リソースパラメータでは、Identity Manager ゲートウェイが Active Directory サーバーとの通信に使用する暗号化タイプを入力できます。このフィールドの有効な値は、None (デフォルト値)、Kerberos、および SSL です。
SSL を使用するには、ドメイン内で認証局を設定します。また、Active Directory へのアクセスに使用するユーザー名は UPN 形式 (例: DomainName¥UserName) にします。
必要な管理特権
ここでは、必要な Active Directory のアクセス許可とパスワードのリセット権の要件について説明します。
Active Directory アクセス権
Active Directory リソース内で設定する管理アカウントには、Active Directory における適切なアクセス権が必要です。
パスワードのリセット
リソースオブジェクトの作成、削除、更新を実行する権限は期待するとおりのものです。アカウントには対応するオブジェクトタイプに対する作成権と削除権が必要で、ユーザーには、更新する必要のあるプロパティーに対する適切な読み取り/書き込み権が必要になります。
パススルー認証
Active Directory (AD) のパススルー認証をサポートするための要件は、次のとおりです。
- ゲートウェイをユーザーとして実行するように設定する場合、そのユーザーアカウントには「Act As Operating System」および「Bypass Traverse Checking」のユーザー権限が必要です。デフォルトでは、ゲートウェイはローカルシステムアカウントとして実行され、このアカウントにはこれらの権限はすでに備わっています。また、「Bypass Traverse Checking」ユーザー権限は、デフォルトですべてのユーザーに有効になっています。
- 認証されるアカウントには、ゲートウェイシステム上で“Access This Computer From The Network”ユーザー権限が必要です。
ゲートウェイでは、ログオンタイプを LOGON32_LOGON_NETWORK、ログオンプロバイダを LOGON32_PROVIDER_DEFAULT に設定した LogonUser 関数を使用して、パススルー認証を実行します。LogonUser 関数は Microsoft Platform Software Development Kit で提供されています。
削除済みオブジェクトへのアクセス
管理アカウントには、Active Directory の削除済みオブジェクトコンテナへのアクセス権が必要です。デフォルトでは、管理者とシステムアカウントのみが、このコンテナにアクセスできます。その他のユーザーにこのコンテナへのアクセス権を許可することもできます。削除済みオブジェクトコンテナへのアクセス許可については、Microsoft ナレッジベースの記事 892806 を参照してください。
プロビジョニングに関する注意事項
次の表に、このアダプタのプロビジョニング機能の概要を示します。
機能
サポート状況
アカウントの有効化/無効化
使用可
アカウントの名前変更
使用可
パススルー認証
使用可
「認証のタイムアウト」リソース属性 (パススルー認証のみの場合) を使用すると、ゲートウェイ側で問題が発生しても Active Direcotry アダプタが滞らずにすみます。
前アクションと後アクション
使用可。
Active Directory リソースは、前アクションと後アクションをサポートしています。このアクションは、ユーザーが要求を作成、更新、および削除するときに、Active Directory ゲートウェイシステム上でバッチスクリプトを使用してアクティビティーを実行します。詳細については、第 3 章「リソースへのアクションの追加」を参照してください。
データ読み込みメソッド
アカウント属性
属性がサポートされるかどうかは、通常、属性の構文 (または型) によって決まります。一般に、Identity Manager は boolean 型、文字列型、および整数型の構文をサポートします。バイナリ文字列と、それに類似した構文はサポートされていません。
属性構文のサポート
ここでは、サポートされるアカウント構文とサポートされないアカウント構文について説明します。
サポートされる構文
次の表は、Identity Manager によってサポートされている Active Directory 構文の一覧です。
サポートされない構文
次の表は、Identity Manager によってサポートされない Active Directory 構文の一覧です。
Identity Manager は、Replica Link 構文を使用する jpegPhoto および thumbnailPhoto アカウント属性をサポートしています。これ以外にもサポートされている Replica Link 属性があるかもしれませんが、それらはテストが完了していません。
アカウント属性のサポート
ここでは、Active Directory アカウント属性について、Identity Manager によってサポートされるものとサポートされないものを説明します。
サポートされるアカウント属性
次の表は、Identity Manager によってサポートされるアカウント属性の一覧です。これ以外の属性 (Exchange の属性など) もサポートされる可能性があります。
スキーマ名
属性タイプ
説明
accountExpires
String
ユーザーのアカウントが期限切れになる日付。
AccountLocked
Boolean
アカウントがロックアウトされているかどうかを示します。true に設定することはできません (true に設定できるのは Windows システムのみ)。
accountNameHistory
String
アカウントがアクティブであった時間の長さ。読み取り専用。
aCSPolicyName
String
このユーザーに適用される ACS ポリシーの名前の文字列。
adminCount
String
指定されたオブジェクトが、管理グループの 1 つのメンバーであったために、システムによって、よりセキュリティー保護された値に (直接的または推移的に) その ACL が変更されたことを示します。システムによって設定されます。
読み取り専用。adminDescription
String
管理者の画面に表示される説明。
adminDisplayName
String
管理者画面に表示される名前。
altSecurityIdentities
String
認証目的のために、X.509 証明書または外部 Kerberos ユーザーアカウントのこのユーザーへのマッピングを格納します。
assistant
String
ユーザーの管理補佐の識別名。
badPasswordTime
String
ユーザーが最後に不正なパスワードを使用してアカウントにログオンを試みた時刻。
badPwdCnt
String
読み取り専用。不正なパスワードによるログイン試行回数。この値は、問い合わせ先のドメインコントローラで失敗したログイン回数のみの場合があります。
businessCategory
String
組織で実施されているビジネスの種類を示します。
c
String
ユーザーの住所にある 2 文字の国番号。
cn
String
Common Name (共通名)。この属性は、DN 内の CN の値から設定されます。読み取り専用。
co
String
Text-Country (国名)
company
String
ユーザーの会社名。
codePage
Int
ユーザーの選択言語のコードページを指定します。
countryCode
String
ユーザーの選択言語の国番号を指定します。
defaultClassStore
String
指定されたユーザーのデフォルトの Class Store。
department
String
ユーザーが勤務する部署の名前を格納します。
description
String
オブジェクトの表示説明を格納します。この値はシステムによって単一値として処理されます。
desktopProfile
String
ユーザーまたはユーザーグループのデスクトッププロファイルの場所。
destinationIndicator
String
Active Directory では使用されません。
displayName
String
特定のユーザーのアドレス帳に表示される名前。通常は、名、ミドルネームのイニシャル、姓の組み合わせです。
displayNamePrintable
String
displayName のプリント可能なバージョン。
distinguishedName
String
直接設定することはできません。読み取り専用。DN テンプレートまたは accountId アカウント属性を使用して、作成時に DN を設定します。
division
String
ユーザーの部門。
dynamicLDAPServer
String
このアカウントの動的プロパティーを渡すサーバーの DNS 名。
employeeID
String
従業員の ID。
extensionName
String
ディレクトリオブジェクトの UI を拡張するために使用されるプロパティーページの名前。
facsimileTelephoneNumber
String
ユーザーの勤務先の FAX 番号。
flags
Int
ビット情報を格納するためにオブジェクトによって使用されます。
garbageCollPeriod
Int
この属性は、CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,... オブジェクトに配置されています。DS ガベージコレクションの実行間隔 (時間単位) を表します。
generationQualifier
String
人物の世代を示します。Jr. や II など。
givenName
String
ユーザーの名を格納します。
groupPriority
String
使用しません
groups
String
Windows のセキュリティーグループと配布グループ。
groupsToIgnore
String
使用しません
homeDirectory
String
ユーザーのホームディレクトリ。homeDrive が設定され、ドライブ文字が指定されている場合、homeDirectory は UNC パスにするようにしてください。このパスは ¥¥server¥share¥directory という形式のネットワーク UNC パスにします。この値は NULL 文字列にすることもできます。
ユーザーのホームディレクトリは次の場合に作成されます。
ユーザーには、作成したディレクトリの完全な制御権が付与されます。
homeDrive
String
ホームディレクトリのマップ先になるドライブ文字 (コロンを含む)。「Z:」など。homeDirectory が UNC パスの場合のみ指定するようにしてください。
homeMDB
String
このメールボックスのメッセージデータベース (MDB) の識別名。次のような形式になります。CN=Mailbox Store (SERVERNAME),CN=First Storage Group, CN=InformationStore, CN=SERVERNAME,CN=Servers, CN=First Administrative Group, CN=Administrative Groups, CN=EXCHANGE ORG, CN=Microsoft Exchange, CN=Services, CN=Configuration,DC=DOMAIN, DC=YOURCOMPANY,DC=com'
homeMTA
String
このオブジェクトをサービスするメッセージ転送エージェント (MTA) を指します。次のような形式になります。CN=Microsoft MTA, CN=SERVERNAME, CN=Servers, CN=First Administrative Group, CN=Administrative Groups, CN=EXCHANGE ORG, CN=Microsoft Exchange, CN=Services, CN=Configuration,DC=DOMAIN, DC=YOURCOMPANY,DC=com
homePhone
String
ユーザーの自宅のメイン電話番号。
homePostalAddress
String
ユーザーの自宅の住所。
info
String
ユーザーに関するコメント。NULL 文字列にすることもできます。
initials
String
ユーザーのフルネームの一部を表すイニシャルを格納します。
internationalISDNNumber
String
オブジェクトに関連付けられた国際 ISDN 番号を指定します。
ipPhone
String
電話の TCP/IP アドレス。テレフォニーで使用します。
jpegPhoto
Binary
ユーザーの画像 (Windows 2003 Server 以上が必要)
l
String
ユーザーの住所の地域 (町村など)。
lastLogon
String
ユーザーが最後に DC にログオンした時刻。
lastLogonTimestamp
String
ユーザーが最後にドメインにログインした時刻。この値が更新されるのは、前回この値が更新されてから 1 週間以上が経過している状態で、ユーザーがログインしたときだけです。
lastLogoff
String
ユーザーが最後にログオフした時刻。
legacyExchangeDN
String
これまで Exchange によって使用されていた識別名。
localeID
Int
この属性には、このアプリケーションによってサポートされるロケール ID の一覧が格納されます。ロケール ID は地理的な場所 (フランスなど) を表します。
lockoutTime
String
不正なログオンカウントがリセットされるまでの待機時間 (分)。
logonCount
Int
ユーザーがこのアカウントへのログオンを試みて成功した回数。このプロパティーは、ドメイン内でドメインコントローラ別に維持されます。
String
1 つ以上の電子メールアドレス。
mailNickName
String
Exchange のニックネーム。
managedObjects
String
ユーザーによって管理されるオブジェクトの一覧を格納します。システムによって設定されます。読み取り専用。
manager
String
ユーザーのマネージャーのディレクトリ名。
maxStorage
String
ユーザーの使用できる最大ディスク容量。
mDBOverHardQuotaLimit
String
メールボックスの最大サイズ (KB)。これを超えるとメールを送受信できなくなります。
mDBOverQuotaLimit
String
メールボックスに割り当てられたオーバードラフト制限 (KB)。
mDBStorageQuota
String
メッセージデータベース割り当て (KB)。
mDBUseDefaults
String
メッセージを保存する際に、メールボックスごとの割り当て制限ではなく、デフォルトの割り当て制限を適用すべきかどうかを示します。
mhsORAddress
String
X.400 アドレス。
middleName
String
ユーザーのミドルネーム。
mobile
String
第一携帯電話番号。
msCOM-PartitionSetLink
String
COM+ パーティションを COM+ PartitionSet オブジェクトに関連付けるために使用するリンク。読み取り専用。
msCOM-UserLink
String
COM+ PartitionSet を ユーザーオブジェクトに関連付けるために使用するリンク。読み取り専用。
msCOM-UserPartitionSetLink
String
ユーザーを COM+ PartitionSet に関連付けるために使用するリンク。読み取り専用。
msDS-AllowedToDelegateTo
String
サービスプリンシパル名 (SPN) のリストを格納します。この属性は、Constrained Delegation (制限付き委任) に使用できるサービスチケットを取得できるようサービスを設定するために使用されます。
ms-DS-Approx-Immed-Subordinates
Int
このユーザーの部下のおよその数。読み取り専用。
msDS-Cached-Membership-Time-Stamp
String
セキュリティーアカウントマネージャーによって、トークン評価時にグループ拡張のために使用されます。読み取り専用。
mS-DS-ConsistencyChildCount
Int
この属性は、子オブジェクトの数を比較することで、ディレクトリとその他のオブジェクト、データベース、またはアプリケーションとの間の整合性をチェックするために使用されます。
msExchHomeServerName
String
Exchange Server の名前。次のような形式になります。/o=EXCHANGEORG/ou=First Administrative Group/cn=Configuration/cn=Servers/cn=SERVERNAME
ms-DS-KeyVersionNumber
Int
このアカウントの現在のキーの Kerberos バージョン番号。これは動的に構築される属性です。読み取り専用。
ms-DS-Mastered-By
String
msDS-hasMasterNC にバックリンクします。読み取り専用。
ms-DS-Members-For-Az-Role-BL
String
メンバーアプリケーショングループまたはユーザーから、そこにリンクしている Az-Role オブジェクトへバックリンクします。読み取り専用。
ms-DS-NC-Repl-Cursors
String
過去および現在のレプリケーションパートナーと、それぞれによる更新状況のリスト。読み取り専用。
ms-DS-NC-Repl-Inbound-Neighbors
String
このパーティションのレプリケーションパートナー。このサーバーは、ここに含まれる他のサーバー (ソースとして機能) からレプリケーションデータを取得します。読み取り専用。
ms-DS-NC-Repl-Outbound-Neighbors
String
このパーティションのレプリケーションパートナー。このサーバーは、ここに含まれる他のサーバー (宛先として機能) にレプリケーションデータを送信します。このサーバーは、新しいデータが使用可能になると、これらの他のサーバーに通知します。読み取り専用。
ms-DS-Non-Members-BL
String
メンバーでないグループ/ユーザーから、そこにリンクしている Az グループへバックリンクします。読み取り専用。
ms-DS-Operations-For-Az-Role-BL
String
Az-Operation から、そこにリンクしている Az-Role オブジェクトへバックリンクします。読み取り専用。
ms-DS-Operations-For-Az-Task-BL
String
Az-Operation から、そこにリンクしている Az-Task オブジェクトへバックリンクします。読み取り専用。
ms-DS-Repl-Attribute-Meta-Data
String
レプリケートされた各属性のメタデータのリスト。読み取り専用。
ms-DS-Repl-Value-Meta-Data
String
属性の各値のメタデータのリスト。読み取り専用。
ms-DS-Tasks-For-Az-Role-BL
String
Az-Task から、そこにリンクしている Az-Role オブジェクトへバックリンクします。読み取り専用。
ms-DS-Tasks-For-Az-Task-BL
String
Az-Task から、そこにリンクしている Az-Task オブジェクトへバックリンクします。読み取り専用。
ms-DS-User-Account-Control-Computed
Int
期限切れのユーザーパスワードとロックアウトされたユーザーアカウントを求めるために使われる属性。
msExchMailboxSecurityDescriptor
String
この属性は、ユーザーの Exchange Mailbox 権限を決定します。
詳細については、「ACL リストの管理」を参照してください。
ms-Exch-Owner-BL
String
所有者属性へのバックリンク。オブジェクトの所有者のリストを格納します。読み取り専用。
ms-IIS-FTP-Dir
String
ファイルサーバーの共有に関連するユーザーのホームディレクトリ。ms-IID-FTP-Root と組み合わせて使用することで、FTP ユーザーホームディレクトリを決定します。
ms-IIS-FTP-Root
String
ファイルサーバーの共有を決定する属性。ms-IID-FTP-Dir と組み合わせて使用することで、FTP ユーザーホームディレクトリを決定します。
name
String
ユーザーの相対識別名 (RDN)。直接設定することはできません。読み取り専用。DN テンプレートまたは accountId アカウント属性を使用して、作成時に RDN を設定します。「name」は予約された属性名なので、スキーママップの左側には使用しないでください。
networkAddress
String
ネットワークセグメントの TCP/IP アドレス。
nTSecurityDescriptor
String
スキーマオブジェクトの NT セキュリティー記述子。
詳細については、「ACL リストの管理」を参照してください。
o
String
会社または組織の名前。
objectCategory
N/A
このクラスまたは派生したクラスのオブジェクトのグループ化に使用するオブジェクトクラス名。
システムによって設定されます。読み取り専用。
objectClass
N/A
このクラスの派生元のクラスのリスト。
この属性の値は、「オブジェクトクラス」リソース属性を使用して設定するようにしてください。読み取り専用。
objectVersion
Int
オブジェクトのバージョン番号。
operatorCount
Int
コンピュータ上のオペレータの数。
otherFacsimileTelephoneNumber
String
代替の FAX 番号のリスト。
otherHomePhone
String
代替の自宅電話番号のリスト。
otherIpPhone
String
電話用の代替の TCP/IP アドレスのリスト。テレフォニーで使用します。
otherLoginWorkstations
String
ここに指定した 非 NT ワークステーションまたは LAN Manager ワークステーションからユーザーがログインできます。
otherMailbox
String
フォームにその他の追加メールアドレスを格納します (CCMAIL: JohnDoe など)。
otherMobile
String
追加の携帯電話番号
otherPager
String
追加のポケットベル番号。
otherTelephone
String
追加の電話番号。
ou
String
組織単位
outOfOfficeEnabled
Boolean
不在時の自動返信機能を有効にします
outOfOfficeMessage
String
不在メッセージのテキスト。
pager
String
ポケットベル番号
personalTitle
String
ユーザーの役職/肩書き
PasswordNeverExpires
Boolean
ユーザーのパスワードが期限切れになるかどうかを示します。
physicalDeliveryOfficeName
String
配達物の送付先となるオフィス。
postalAddress
String
ユーザーの勤務先オフィスの所在地。
postalCode
String
郵便配達用の郵便番号。
postOfficeBox
String
このオブジェクトの私書箱番号。
preferredDeliveryMethod
String
受取人への X.500 優先送付方式。
preferredOU
String
デフォルトでユーザーのデスクトップ上に表示される組織単位。
primaryGroupID
Int
ユーザーがまだグループのメンバーでない場合は、promaryGroupID は 2 段階の手順で設定します。つまり、まずユーザーをグループに追加して、次に primaryGroupId を設定します。
primaryInternationalISDNNumber
String
第一 ISDN 番号。
primaryTelexNumber
String
第一テレックス番号。
profilePath
String
ユーザーのプロファイルへのパスを指定します。この値には、NULL 文字列、ローカル絶対パス、または UNC パスを設定できます。
proxyAddresses
String
プロキシアドレスは、Microsoft Exchange Server の受信者オブジェクトが外国のメールシステムで認識されるためのアドレスです。プロキシアドレスは、カスタム受信者や配信リストなど、すべての受信者オブジェクトに必要です。
pwdLastSet
String
この属性は、ユーザーが最後にパスワードを変更した時刻を示します。この値は、1601 年 1 月 1 日 0 時 0 分 0 秒からの経過秒数を表す大きな整数として格納されます (FILETIME)。この値がゼロに設定され、ユーザーアカウントの「パスワードを無期限にする」プロパティーが false に設定されている場合、ユーザーは次のログオン時にパスワードを設定する必要があります。
revision
Int
セキュリティー記述子やその他の変更のバージョン。読み取り専用。
rid
Int
オブジェクトの相対識別子。読み取り専用。
sAMAccountName
String
ログイン名。
sAMAccountType
Int
この属性には、すべてのアカウントタイプのオブジェクトに関する情報が格納されます。システムによって設定されます。読み取り専用。
scriptPath
String
ユーザーのログオンスクリプトのパス。この文字列は null にできます。
seeAlso
String
関連するオブジェクトの DN。
serialNumber
String
ユーザーのシリアル番号。Active Directory では使用されません。
servicePrincipalName
String
オブジェクトに関連する識別名のリスト。
showInAddressBook
String
この属性は、オブジェクトの表示される MAPI アドレス帳を示すために使用されます。通常は Exchange 受信者更新サービスによって維持されます。
showInAdvancedViewOnly
Boolean
この属性が UI の詳細モードに表示される場合は true になります。
sn
String
姓
st
String
州名または都道府県名
street
String
街路住所
Structural-Object-Class
String
クラス階層に含まれるクラスのリストを格納します (abstract クラスを含む)。読み取り専用。
telephoneNumber
String
第一電話番号。
Terminal Services Initial Program
String
ユーザーのログオン時に実行される初期プログラムのパス。
Terminal Services Initial Program Directory
String
初期プログラムの作業用ディレクトリのパス
Terminal Services Inherit Initial Program
Boolean
クライアントが初期プログラムを指定できるかどうかを示します。
true - クライアントはプログラムを指定できます。
false - Terminal Services Initial Program の値が使用され、プログラムの終了時にクライアントはログオフされます。
Terminal Services Allow Logon
Boolean
false - ユーザーはログオンできません。
true - ユーザーはログオンできます。
Terminal Services Active Session Timeout
Integer
時間 (ミリ秒)。値が 0 の場合は、接続タイマーが無効であることを示しています。
Terminal Services Disconnected Session Timeout
Integer
端末サーバーが切断されたセッションを保持する最大時間 (ミリ秒)。この時間を経過すると、ログオンは強制終了となります。値が 0 の場合は、切断タイマーが無効であることを示しています。
Terminal Services Idle Timeout
Integer
最大アイドル時間 (ミリ秒)。指定した間隔にキーボードやマウスの動きが何もなかった場合、ユーザーのセッションは、Terminal Services End Session On Timeout Or Broken Connection で指定されている値に基づいて、切断または終了します。値が 0 の場合は、アイドルタイマーが無効であることを示しています。
Terminal Services Connect Client Drives At Logon
Boolean
端末サーバーがログオン時にクライアントドライブのマッピングを自動的に再確立するかどうかを示します。
false - サーバーは以前にマップされたクライアントドライブに自動的に接続しません。
true - サーバーはログオン時に、以前にマップされたクライアントドライブに自動的に接続します。
Terminal Services Connect Client Printers At Logon
Boolean
端末サーバーがログオン時にクライアントプリンタのマッピングを自動的に再確立するかどうかを示します。
false - サーバーは以前にマップされたクライアントプリンタに自動的に接続しません。
true - サーバーはログオン時に、以前にマップされたクライアントプリンタに自動的に接続します。
Terminal Services Default To Main Client Printer
Boolean
クライアントプリンタがデフォルトのプリンタかどうかを示します。
false - クライアントプリンタはデフォルトのプリンタではありません。
true - クライアントプリンタはデフォルトのプリンタです。
Terminal Services End Session On Timeout Or Broken Connection
Boolean
接続タイマーかアイドルタイマーの期限が切れたとき、または接続エラーによって接続が失われたときのアクションを指定します。
false - セッションが切断されます。
true - セッションが終了します。
Terminal Services Allow Reconnect From Originating Client Only
Boolean
このユーザーの切断されたセッションを再接続できるようにする方法を示します。
false - ユーザーは、任意のクライアントコンピュータにログオンして、切断されたセッションに再接続することができます。
true - ユーザーは、切断されたセッションの確立時に使用したクライアントコンピュータにログオンすることで、その切断されたセッションに再接続できます。
Terminal Services Callback Settings
Integer
端末サーバーのハングアップしたダイアルアップ接続の設定を示し、接続を確立するためにクライアントをコールバックします。
0 - コールバック接続が無効です。
1 - サーバーがユーザーに電話番号の入力を求め、その電話番号でユーザーをコールバックします。
2 - サーバーは、Terminal Services Callback Phone Number 属性によって指定された電話番号で、自動的にユーザーをコールバックします。
Terminal Services Callback Phone Number
String
コールバック接続に使用する電話番号。
Terminal Services Remote Control Settings
Integer
ユーザーセッションを追跡できるかどうかを示します。追跡によって、ユーザーは別のユーザーの画面上の操作をリモートで監視できます。
0 - 無効
1 - 入力可能、通知あり
2 - 入力可能、通知なし
3 - 入力不可、通知あり
4 - 入力不可、通知なし
Terminal Services User Profile
String
端末サーバーにログオンするためのユーザーのプロファイルのパス。
Terminal Services Local Home Directory
String
端末サーバーにログオンするためのユーザーのホームディレクトリのパス。
Terminal Services Home Directory Drive
String
Terminal Services Local Home Directory 属性で指定された UNC パスのマップ先のドライブ名 (ドライブ文字とコロン)。
textEncodedORAddress
String
X.400 アドレスをテキスト形式でサポートします。
thumbnailPhoto
Binary
ユーザーの画像。
title
String
ユーザーの役職を格納します。このプロパティーは、一般に、プログラマーのような職種ではなく、「シニアプログラマー」のような正式な役職を示すために使用されます。通常、Esq. や DDS などの敬称には使用されません。
userAccountControl
Int
ユーザーのパスワード、ロックアウト、有効化/無効化、スクリプト、およびホームディレクトリの動作を制御するフラグを指定します。このプロパティーには、オブジェクトのアカウントタイプを示すフラグも格納されます。フラグは LMACCESS.H で定義されます。
userParameters
String
ユーザーのパラメータ。アプリケーションによる使用のために取り置かれるディレクトリの文字列を指します。この文字列は NULL 文字列にできます。または、終わりを表す NULL 文字の前に任意の数の文字を設定できます。
userPassword
Encrypted
UTF-8 形式のユーザーのパスワード。これは書き込み専用属性です。
userPrincipalName
String
インターネット標準 RFC 822 に基づく、ユーザーのインターネット形式のログイン名。UPN は識別名より短いので、覚えるのがより簡単です。規約により、この名前は、ユーザーの電子メールの名前にマップするようにしてください。
userSharedFolder
String
ユーザーの共有ドキュメントフォルダへの UNC パスを指定します。このパスは ¥¥server¥share¥directory という形式のネットワーク UNC パスにします。この値は NULL 文字列にすることもできます。
userSharedFolderOther
String
ユーザーの追加の共有ドキュメントフォルダへの UNC パスを指定します。このパスは ¥¥server¥share¥directory という形式のネットワーク UNC パスにします。この値は NULL 文字列にすることもできます。
userWorkstations
String
コンマで区切られた、ユーザーがログインできるコンピュータの NetBIOS または DNS 名。
usnChanged
String
直前の変更 (作成を含む) に対してローカルディレクトリによって割り当てられた USN 値。読み取り専用。
usnCreated
String
オブジェクト作成時に割り当てられた USN 変更値。
USNIntersite
Int
サイト間のレプリケーションの USN。
uSNLastObjRem
String
サーバーから最後にオブジェクトが削除されたのがいつかを示します。読み取り専用。
uSNSource
String
ローカルサーバーに変更をレプリケートしたリモートディレクトリにあるオブジェクトの USN 変更属性の値。読み取り専用。
WS_PasswordExpired
Boolean
ユーザーのパスワードを期限切れにするかどうかを示します。
WS_USER_PASSWORD
Encrypted
ユーザーのパスワードを格納します。詳細については、「使用上の注意」を参照してください。
wbemPath
String
他の ADSI 名前空間にあるオブジェクトへの参照。
whenChanged
String
このオブジェクトが最後に変更された日付。読み取り専用。
whenCreated
String
このオブジェクトが作成された日付。読み取り専用。
wWWHomePage
String
ユーザーの第一 Web ページ。
url
String
代替の Web ページのリスト。
x121Address
String
オブジェクトの X.121 アドレス。
ACL リストの管理
nTSecurityDescriptor および msExchMailboxSecurityDescriptor 属性値には、特別な方法で指定する ACL リストが含まれています。
次に、企業がプロビジョニングする各ユーザーに対してデフォルトのアクセス権のセットを割り当てる場合に使用する可能性があるユーザーフォームの例を示します。
<Field name='attributes[AD].nTSecurityDescriptor' hidden='true'>
<Expansion>
<list>
<s>Domain Admins|983551|0|0|NULL|NULL</s>
<s>NT AUTHORITY¥SYSTEM|983551|0|0|NULL|NULL</s>
<s>Account Operators|983551|0|0|NULL|NULL</s>
<s>NT AUTHORITY¥Authenticated Users|131220|0|0|NULL|NULL</s>
<s>NT AUTHORITY¥Authenticated Users|256|5|0|
{AB721A55-1E2F-11D0-9819-00AA0040529B}|NULL</s>
<s>NT AUTHORITY¥SELF|131220|0|0|NULL|NULL</s>
</list>
</Expansion>
</Field>nTSecurityDescriptor リスト内のエントリは、次の形式になります。
Trustee|Mask|aceType|aceFlags|objectType|InheritedObjectType
各表記の意味は次のとおりです。
- Trustee は、ユーザーの DOMAIN¥Account です。
- Mask は、アクセス権 (読み取り、書き込みなど) を指定するフラグです。
- aceType は、アクセス制御エントリ (ACE) のタイプを示すフラグです。
ADS_ACETYPE_ACCESS_ALLOWED = 0,
ADS_ACETYPE_ACCESS_DENIED = 0x1,
ADS_ACETYPE_SYSTEM_AUDIT = 0x2,
ADS_ACETYPE_ACCESS_ALLOWED_OBJECT = 0x5,
ADS_ACETYPE_ACCESS_DENIED_OBJECT = 0x6,
ADS_ACETYPE_SYSTEM_AUDIT_OBJECT = 0x7,
ADS_ACETYPE_SYSTEM_ALARM_OBJECT = 0x8
ADS_ACETYPE_ACCESS_ALLOWED
各表記の意味は次のとおりです。
- ADS_ACETYPE_ACCESS_ALLOWED: ACE は標準の ACCESS ALLOWED タイプになります。ここで、ObjectType および InheritedObjectType フィールドは NULL です。
- ADS_ACETYPE_ACCESS_DENIED: ACE は標準のシステム監査タイプになります。ここで、ObjectType および InheritedObjectType フィールドは NULL です。
- ADS_ACETYPE_SYSTEM_AUDIT: ACE は標準システムタイプになります。ここで、ObjectType および InheritedObjectType フィールドはNULL です。
- ADS_ACETYPE_ACCESS_ALLOWED_OBJECT: Windows 2000 で、ACE は、オブジェクトまたはオブジェクトのサブオブジェクト (プロパティーやプロパティーのセットなど) へのアクセスを許可します。
各表記の意味は次のとおりです。
- ADS_ACEFLAG_INHERITED_ACE: ACE が継承されたかどうかを示します。このビットはシステムによって設定されます。
- ADS_ACEFLAG_VALID_INHERIT_FLAGS: 継承されたフラグが有効かどうかを示します。このビットはシステムによって設定されます。
- ADS_ACEFLAG_SUCCESSFUL_ACCESS: アクセスに成功した場合に、監査メッセージを生成し、システムアクセス制御リスト (SACL) においてシステムを監査する ACE によって使用されます。
- ADS_ACEFLAG_FAILED_ACCESS: アクセスに失敗した場合に、監査メッセージを生成し、SACL においてシステムを監査する ACE によって使用されます。
詳細については、次の Web サイトを参照してください。
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dsportal/dsportal/directory_services_portal.asp
渡していく正しい文字列を見つけるには、次の方法を実行します。
- スキーマに属性を追加し、次のフィールドをユーザーフォームに追加します。
<Field name='accounts[AD].nTSecurityDescriptor'>
<Display class='TextArea'>
<Property name='title' value='NT User Security Descriptor'/>
<Property name='rows' value='20'/>
<Property name='columns' value='100'/>
</Display>
</Field>または
<Field name='accounts[AD].msExchMailboxSecurityDescriptor'>
<Display class='TextArea'>
<Property name='title' value='Mailbox Security Descriptor'/>
<Property name='rows' value='20'/>
<Property name='columns' value='100'/>
</Display>
</Field>- Active Directory でユーザーのオブジェクトを編集して、すべてのユーザーに対応する ACL リストを設定し、ベースラインを確立します。
- Edit User Form を使って、Identity Manager で、ユーザーを編集します。
テキスト領域に、Active Directory のユーザーオブジェクトから取得された対応する値が入力されていることを確認します。
上記の方法は、必要な設定のために、フォームに追加する値を決定する場合に役立ちます。
サポートされない属性
次の表は、Identity Manager によってサポートされないアカウント属性の一覧です。
リソースオブジェクトの管理
Identity Manager は、次の Active Directory オブジェクトをサポートしています。
リソースオブジェクト上で管理できる属性は、一般に、属性構文によって指示することもできます。これらのオブジェクトタイプの属性は、ユーザーアカウントの属性と類似しているので、同じようにサポートされています。
アイデンティティーテンプレート
Windows Active Directory は、階層ベースのリソースです。アイデンティティーテンプレートによって、ユーザーが作成するディレクトリツリー内のデフォルトの場所が指定されます。デフォルトのアイデンティティーテンプレートは次のとおりです。
CN=$fullname$,CN=Users,DC=mydomain,DC=com
デフォルトのテンプレートを有効な値に置き換えてください。
サンプルフォーム
ここでは、Active Directory リソースアダプタに用意されているサンプルフォームの一覧を示します。
組み込みのフォーム
- ActiveDirectory ActiveSync Form
- Windows Active Directory Create Container Form
- Windows Active Directory Create Group Form
- Windows Active Directory Create Organizational Unit Form
- Windows Active Directory Create Person Form
- Windows Active Directory Create User Form
- Windows Active Directory Update Container Form
- Windows Active Directory Update Group Form
- Windows Active Directory Update Organizational Unit Form
- Windows Active Directory Update Person Form
- Windows Active Directory Update User Form
その他の利用可能なフォーム
ADUserForm.xml
トラブルシューティング
Identity Manager のデバッグページを使用して、次のクラスにトレースオプションを設定します。
com.waveset.adapter.ADSIResourceAdapter
また、Identity Manager のデバッグページを使用して、ゲートウェイサービス上でトレースを有効にすることもできます (InstallDir¥idm¥debug¥Gateway.jsp)。このページでは、トレースのレベル、トレースファイルの場所、およびトレースファイルの最大サイズを指定できます。また、ゲートウェイのトレースファイルをリモートで取得して、ゲートウェイのバージョン情報を表示することもできます。
さまざまなコマンド行スイッチによって、デバッグトレースをしているコンソールから、ゲートウェイサービスを起動することもできます。-h を使用して、ゲートウェイサービスの使用方法を確認してください。
また、次のメソッドに対してトレースを有効にすることで接続の問題について診断できます。