DRAを使用してActive Directoryのタスク用に最小特権アクセスを管理する場合、多くのコンポーネントおよびプロセスを設定する必要があります。これには一般的なコンポーネントの設定と、クライアントコンポーネントの設定があります。このセクションでは、DRA用に設定する必要のある一般的なコンポーネントとプロセスについての情報を記載します。
MMS環境では、ドメインとメンバーサーバの同じセットを複数の管理サーバで管理します。MMSは、1つのプライマリ管理サーバと複数のセカンダリ管理サーバで構成されます。
管理サーバのデフォルトモードはプライマリです。セカンダリサーバをMMS環境に追加するときは、セカンダリ管理サーバが1つのサーバセットにしか所属できないので注意してください。
セット内の各サーバが確実に同じデータを管理できるようにするために、定期的に各セカンダリサーバをプライマリ管理サーバと同期させる必要があります。保守の手間を減らすために、ドメインフォレスト内のすべての管理サーバに対して同じサービスアカウントを使用してください。
重要:
セカンダリサーバをインストールしている間は、インストーラで[セカンダリ管理サーバ]を選択してください。
プライマリサーバで使用できる機能がすべてセカンダリサーバでも使用できるようにするため、新しいセカンダリのDRAバージョンをプライマリDRAサーバと同じにする必要があります。
Delegation and Configurationのクライアント内の既存のMMSにセカンダリ管理サーバを追加することができます。セカンダリサーバを追加するには、Configure Servers and Domainsという組み込みの役割に含まれている権限など、適切な権限が必要です。
メモ:新しいセカンダリサーバを追加するためには、まずその管理サーバコンピュータにDirectory and Resource Administrator製品をインストールする必要があります。詳細については、「DRA管理サーバのインストール」を参照してください。
セカンダリ管理サーバを追加するには、Configuration Management (環境設定管理)ノードで[管理サーバ]を右クリックして、[Add Secondary Server (セカンダリサーバを追加)]を選択します。
セカンダリ管理サーバをプライマリ管理サーバに格上げすることができます。セカンダリ管理サーバをプライマリ管理サーバに格上げすると、既存のプライマリ管理サーバはそのサーバセット内のセカンダリ管理サーバになります。セカンダリ管理サーバを格上げするには、Configure Servers and Domainsという組み込みの役割に含まれている権限など、適切な権限が必要です。セカンダリ管理サーバを格上げする前にMMSを同期させてください。こうすることでMMSの設定が最新になります。
MMSを同期方法の詳細については、「同期のスケジューリング」を参照してください。
メモ:新しく格上げされたプライマリサーバは、格上げ処理中に使用できたセカンダリサーバにのみ接続できます。格上げ処理中にセカンダリサーバが使用不能になった場合は、テクニカルサポートに連絡してください。
セカンダリ管理サーバを格上げするには:
[Configuration Management]>[管理サーバ]ノードの順に選択します。
右側のペインで、格上げするセカンダリ管理サーバを選択します。
[タスク]メニューで、[Advanced (詳細情報)]>[Promote Server (サーバを格上げ)]をクリックします。
重要:セカンダリサーバのサービスアカウントがプライマリサーバと異なる場合、またはセカンダリサーバがプライマリサーバ(信頼済みドメイン/信頼できないドメイン)と異なるドメインにインストールされている場合、まずAudit All Objects、Configure Servers and Domains、およびGenerate UI Reportsの各役割を確実に委任しておいてから、セカンダリサーバを格上げしてください。その後でMMSの同期が成功したか確認してください。
プライマリ管理サーバをセカンダリ管理サーバに格下げすることができます。プライマリ管理サーバを格下げするには、Configure Servers and Domainsという組み込みの役割に含まれている権限など、適切な権限が必要です。
プライマリ管理サーバを格下げするには:
[Configuration Management]>[管理サーバ]ノードの順に選択します。
右側のペインで、格下げするプライマリ管理サーバを選択します。
[タスク]メニューから[Advanced (詳細情報)]>[Demote Server (サーバを格下げ)]をクリックします。
新しいプライマリ管理サーバに任命するコンピュータを指定して、[OK]をクリックします。
同期によって、MMS内のすべての管理サーバが同じ設定データを使用することが保証されます。サーバの同期化はいつでも手動でできますが、デフォルトでは4時間ごとにMMSを同期するようにスケジュールされています。このスケジュールを各企業のニーズに合うように変更してください
この同期化スケジュールを変更する場合、または手動でMMSサーバを同期化するには、Configure Servers and Domainsという組み込みの役割に含まれている権限など、適切な権限が必要です。
同期スケジュールにアクセスする場合、または手動の同期化に関しては、[Configuration Management]>[管理サーバ]の順に選択して、[タスク]メニューを使用するか、選択したサーバ上で右クリックしてオプションを選択してください。同期化のスケジュールは、選択したサーバのプロパティの中にあります。
同期化オプションについて
MMSサーバを同期化するためのオプションは、基本的に4種類です。
プライマリサーバを選択しセカンダリサーバをすべて同期化する「Synchronize All Servers」
セカンダリサーバを選択して、そのサーバだけを同期化する
プライマリサーバとセカンダリサーバの同期化スケジュールを別々に設定する
設定した同期化スケジュールをすべてのサーバに適用するこのオプションは、プライマリサーバの同期化スケジュールの設定で次の項目を選択した場合に有効になります。
[Configure secondary Administration servers when refreshing the primary Administration server (プライマリ管理サーバの更新時にセカンダリ管理サーバを設定)]
メモ:このオプションを選択しなかった場合、設定ファイルがプライマリスケジュール上のセカンダリサーバにコピーされますが、コピーの時点でセカンダリによってロードされることはありません。セカンダリサーバ上に設定されたスケジュールに基づいてロードされます。これは、タイムゾーンの異なる各地にサーバが配備されている場合に便利です。たとえば、すべてのサーバについて、それぞれのタイムゾーンにおける真夜中に構成を更新するように設定することも可能です。
クローン例外とは、オブジェクト(ユーザ、グループ、連絡先、コンピュータ)のうち1つに対しクローンが作成されたときにコピーされないプロパティを定義することのできる機能です。
適切な権限を持つ人がクローン例外を管理することができます。Manage Clone Exceptionsという役割は、クローン例外を表示、作成、および削除する権限が与えられます。
既存のクローン例外の表示または削除、および新規のクローン例外の作成には、[Configuration Management (設定管理)]>[Clone Exceptions (クローン例外)]>[タスク]の順に選択するか、右クリックしてメニューから選択します。
カスタムツールを作成する場合は、それを実行する前にDRA Delegation and Configuration Console (委任および環境設定コンソール)コンピュータ上にカスタムツールが使用するサポートファイルのインストールが必要となることがあります。カスタムツールのサポートファイルは、DRAのファイルレプリケーション機能を使用してプライマリ管理サーバからMMS内のセカンダリ管理サーバやDRAクライアントコンピュータへと複製することができます。ファイルのレプリケーションは、プライマリサーバからセカンダリサーバにトリガスクリプトを複製するときにも使用できます。
カスタムツールとファイルレプリケーション機能を合わせて使用することにより、DRAのクライアントコンピュータが確実にカスタムツールファイルにアクセスすることができます。DRAがカスタムツールファイルをセカンダリ管理サーバに複製して、セカンダリ管理サーバに接続するDRAクライアントコンピュータがカスタムツールにアクセスできるようにします。
カスタムツールファイルは、MMSの同期処理中にDRAによってプライマリ管理サーバからセカンダリ管理サーバへと複製されます。DRAのクライアントコンピュータが管理サーバに接続するときに、DRAによってカスタムツールファイルがダウンロードされます。
メモ:カスタムツールファイルは、DRAクライアントコンピュータ上の次に示すディレクトリにダウンロードされます。
{DRAInstallDir} \{MMS ID}\Download
MMSIDは、DRAがカスタムツールファイルをダウンロードするマルチマスタセットのIDです。
プライマリ管理サーバにファイルをアップロードするときに、プライマリ管理サーバとMMSセット内のすべてのセカンダリ管理サーバとの間でアップロードし、複製するファイルを指定します。DRAでアップロードが許可されているのは、ライブラリファイル、スクリプトファイル、および実行ファイルです。
Replicate Filesという役割を使用すると、プライマリ管理サーバからMMS内のセカンダリ管理サーバおよびDRAのクライアントコンピュータへとファイルを複製することができます。Replicate Fileという役割には、次の権限が含まれています。
サーバからファイルを削除する: この権限を使用すると、プライマリ管理サーバ上、セカンダリ管理サーバ上、およびDRAのクライアントコンピュータ上にもはや存在しないファイルをDRAに削除させることができます。
ファイル情報を設定する: この権限では、DRAがセカンダリ管理サーバ上のファイルに関するファイル情報を更新することができます。
ファイルをサーバにアップロードする: この権限では、DRAがDRAのクライアントコンピュータからプライマリ管理サーバにファイルをアップロードすることができます。
メモ:Delegation and Configuration Console (委任および環境設定コンソール)の中の[File Replication (ファイルのレプリケーション)]ユーザインタフェースを使用して、レプリケーションのために1度に1つのファイルをアップロードすることができます。
カスタムツールファイルをプライマリ管理サーバにアップロードする手順は、次のとおりです。
[Configuration Management]>[File Replication (ファイルレプリケーション)]の順に選択します。
[タスク]メニューで[Upload File (ファイルをアップロード)]をクリックします。
アップロードするファイルを検索して選択するために、[参照]をクリックします。
選択したファイルをすべてのDRAクライアントコンピュータにダウンロードする場合は、[Download to all client computers (すべてのクライアントコンピュータにダウンロード)]チェックボックスを選択します。
COMライブラリを登録する場合は、[Register COM library (COMライブラリを登録)]チェックボックスを選択します。
[OK]をクリックします。
メモ:
DRAは、他のセカンダリ管理サーバに複製する必要のあるサポートファイルまたはスクリプトファイルを、プライマリ管理サーバの{DRAInstallDir}\FileTransfer\Replicateフォルダにアップロードします。{DRAInstallDir}\FileTransfer\Replicateフォルダは{DRA_Replicated_Files_Path}とも呼ばれます。
DRAは、DRAのクライアントコンピュータに複製する必要のあるサポートファイルまたはスクリプトファイルを、プライマリ管理サーバの{DRAInstallDir}\FileTransfer\Downloadフォルダにアップロードします。
プライマリ管理サーバにアップロードされたカスタムツールファイルは、(自動か手動かを問わず)次の同期化処理のときにセカンダリ管理サーバに配布されます。
MMS内のプライマリ管理サーバとセカンダリ管理サーバとの間でアップロードおよび複製するファイルが複数ある場合は、次のプライマリ管理サーバのレプリケーションディレクトリにファイルをコピーすることによって、手動でこれらのファイルをアップロードすることができます。
{DRAInstallDir}\FileTransfer\Replicate
レプリケーションディレクトリはDRAインストール時に作成されます。
レプリケーションディレクトリ内のファイルは、管理サーバによって自動的に識別され、次の自動同期の間に管理サーバ間で複製されます。アップロードされたファイルは、同期後にDelegation and Configuration console (委任および環境設定コンソール)の[File Replication (ファイルレプリケーション)]ウィンドウに表示されます。
メモ:登録が必要なCOMライブラリを含むファイルを複製する場合、そのファイルを管理サーバのレプリケーションディレクトリに手動でコピーすることはできません。Delegation and Configuration console (委任および環境設定コンソール)を使用して各ファイルをアップロードして、COMライブラリを登録する必要があります。
プライマリ管理サーバとDRAクライアントコンピュータとの間で複製するファイルが複数ある場合、プライマリ管理サーバのクライアントレプリケーションディレクトリにファイルをコピーすることができます。コピー先のディレクトリは次のとおりです。
{DRAInstallDir}\FileTransfer\Download
クライアントレプリケーションディレクトリはDRAインストール時に作成されます。
[ダウンロード]フォルダ内のファイルは、管理サーバによって自動的に識別され、次の自動同期の間にセカンダリ管理サーバへと複製されます。アップロードされたファイルは、同期後にDelegation and Configuration console (委任および環境設定コンソール)の[File Replication (ファイルレプリケーション)]ウィンドウに表示されます。レプリケーション後に初めてDRAクライアントコンピュータが管理サーバに接続すると、複製されたファイルがDRAクライアントにダウンロードされます。
メモ:登録が必要なCOMライブラリを含むファイルを複製する場合、そのファイルを管理サーバのダウンロードディレクトリに手動でコピーすることはできません。Delegation and Configuration console (委任および環境設定コンソール)を使用して各ファイルをアップロードして、COMライブラリを登録する必要があります。
ADのドメインサービスの監査を有効にすると、DRAのサービスアカウントまたはドメインアクセスアカウントが設定されていれば、そのいずれかによってイベントが発生したときに、DRAイベントが記録されます。この機能を応用したのがイベントスタンプです。イベントスタンプでは、ADのドメインサービスイベントを追加で生成し、それによってその操作を実行したアシスタント管理者を特定します。
このようなイベントを発生させるには、ADのドメインサービス監査を設定し、DRAの管理サーバでイベントスタンプを有効にしておく必要があります。イベントスタンプが有効になると、アシスタント管理者が加えた変更がChange Guardianイベントのレポート内に表示されます。
AD DSの監査を設定するには、Microsoftリファレンスの『AD DS Auditing Step-by-Step Guide (AD DS監査のステップバイステップガイド)』を参照してください。
Change Guardianの統合を設定するには、「統合された変更履歴サーバの構成」を参照してください。
イベントスタンプを有効にするには、DRA管理者としてDelegation and Configuration console (委任および環境設定コンソール)を開き、次の操作を行ってください。
[Configuration Management]>[Update Administration Server Options (管理サーバオプションを更新)]>[Event Stamping (イベントスタンプ)]の順に選択します。
オブジェクトタイプを選択し、[更新]をクリックします。
そのオブジェクトタイプでイベントスタンプに使用する属性を選択します。
DRAは現段階でユーザ、グループ、連絡先、コンピュータ、および部門のイベントスタンプをサポートしています。
また、使用する管理対象ドメインのそれぞれで属性がADスキーマ内に存在していることも、DRAの必須要件です。イベントスタンプを設定した後に管理対象ドメインを追加する場合は、この点に注意する必要があります。選択した属性が含まれていない管理対象ドメインを追加してしまった場合、そのドメインからの操作の監査でイベントスタンプのデータが使用されません。
これらの属性はDRAによって変更されるため、DRAにも環境内のどのアプリケーションにも使用されていない属性を選択する必要があります。
イベントスタンプの詳細については、「イベントスタンプの仕組み」を参照してください。
Azure Syncはディレクトリ同期の失敗を防ぐために、無効な文字と文字長のポリシーを規定することができます。このオプションを選択すると、Azure Active Directoryと同期されているすべてのプロパティで無効な文字が制限され、文字の長さの制限が適用されます。
Azure Syncを有効にするには:
左側のペインで、[Configuration Management]をクリックします。
右側のペインの[Common Tasks (共通タスク)]で、[Update Administration Server Options (管理サーバオプションを更新)]をクリックします。
[Azure Sync]タブで、[Enforce online mailbox policies for invalid characters and character length (無効な文字や文字数に対してオンラインメールボックスポリシーを強制する)]を選択します。
複数のマネージャがグループを管理するためのサポートを有効にした場合、デフォルトの2つの属性のうち1つがグループのマネージャを保存するために使用されます。Microsoft Exchangeを実行するときの属性は、msExchCoManagedByLinkという属性です。Microsoft Exchangeを実行しないときのデフォルト属性は、nonSecurityMemberという属性です。2つ目のオプションは変更することができます。ただし、この設定を変更する必要がある場合は、技術サポートに連絡して適切な属性を決めることをお勧めします。
グループに複数マネージャのサポートを有効にするには:
左側のペインで、[Configuration Management]をクリックします。
右側のペインの[Common Tasks (共通タスク)]で、[Update Administration Server Options (管理サーバオプションを更新)]をクリックします。
[Enable Support for Group Multiple Managers (グループの複数管理者のサポートを有効)]タブで、[Enable support for group’s multiple managers (グループの複数管理者のサポートを有効にする)]チェックボックスを選択します。
この機能では、Delegation and Configurationクライアントと管理サーバの間での暗号通信の使用を有効または無効にできます。デフォルトでは、DRAはアカウントパスワードを暗号化します。この機能は、WebクライアントやPowerShellの通信の暗号化に対応しません。これは別個にサーバ証明書で処理されます。
暗号通信を使用すると、パフォーマンスに影響する場合があります。暗号通信は、デフォルトでは無効になっています。このオプションを有効にすると、ユーザインタフェースと管理サーバの間での通信中にデータが暗号化されます。DRAでは、リモートプロシージャコール(RPC)にMicrosoftの標準暗号を使用します。
通信の暗号化を有効にするには、[Configuration Management]>[Update Administration Server Options (管理サーバオプションを更新)]>[全般]タブの順に選択し、[Encrypted Communications (暗号化して通信)]チェックボックスを選択します。
メモ:管理サーバとユーザインタフェースの間での通信をすべて暗号化するには、Configure Servers and Domainsという組み込みの役割に含まれる権限など、適切な権限が必要です。
仮想属性を使用すると、新しいプロパティを作成して、それらをユーザ、グループ、ダイナミック配布グループ、連絡先、コンピュータ、およびOUに関連付けることができます。仮想属性を使用すると、Active Directoryスキーマを拡張しなくても新しいプロパティが作成できます。
仮想属性を使用して、Active Directory内のオブジェクトに新しいプロパティを追加できます。仮想属性の作成、有効化、無効化、関連付け、および関連付けの解除は、プライマリ管理サーバでしかできません。DRAは、作成された仮想属性をAD LDSに保存します。仮想属性は、MMS同期プロセス中にDRAによってプライマリ管理サーバからセカンダリ管理サーバへと複製されます。
適切な権限があれば、仮想属性を管理することができます。Manage Virtual Attributesという役割は、仮想属性を作成、有効化、関連付け、関連付け解除、無効化、および表示する権限を付与します。
仮想属性を作成するにはCreate Virtual Attributesという権限が、仮想属性を表示するにはView Virtual Attributesという権限が必要です。
仮想属性を作成するには、[Configuration Management]>[仮想属性]>[Managed Attributes (管理対象の属性)]ノードの順に選択し、[タスク]メニューの[New Virtual Attribute (新しい仮想属性)]をクリックします。
Active Directoryオブジェクトと関連付けることができるのは、有効になっている仮想属性だけです。仮想属性をオブジェクトと関連付けると、その仮想属性をオブジェクトのプロパティの一部として使用できるようになります。
DRAのユーザインタフェースから仮想属性を表示させるには、カスタムプロパティページを作成する必要があります。
オブジェクトと仮想属性を関連付けるには、[Configuration Management]>[仮想属性]>[Managed Attributes (管理対象の属性)]ノードの順に選択し、使用したい仮想属性を右クリックし、[Associate (関連付ける)]> (オブジェクト タイプ)を選択します。
メモ:
仮想属性を関連付けることができるのは、ユーザ、グループ、ダイナミック配布グループ、コンピュータ、連絡先、およびOUだけです。
仮想属性をオブジェクトと関連付けると、DRAがデフォルトのカスタム権限を自動的に2つ作成します。アシスタント管理者がその仮想属性を管理するためには、これらのカスタム権限が必要です。
仮想属性とActive Directoryオブジェクトとの関連付けは解除できます。関連付けを解除した仮想属性は、その後新規に作成するオブジェクトではオブジェクトプロパティの一部として表示されなくなります。
Active Directoryオブジェクトから仮想属性の関連付けを解除するためには、[Configuration Management ]>[仮想属性]>[Managed Classes (管理対象のクラス)]>[(オブジェクト タイプ)]ノードの順に選択します。仮想属性を右クリックし、[解除]を選択します。
Active Directoryオブジェクトに関連付けられていない仮想属性は、無効にできます。仮想属性を無効にすると、管理者がその仮想属性を表示したりオブジェクトと関連付けることはできなくなります。
仮想属性を無効にするには、[Configuration Management]>[Managed Attributes (管理対象の属性)]の順に選択します。リストのペインで該当する属性を右クリックして[無効]を選択します。
管理サーバはアカウントキャッシュを構築および維持し、そこに管理対象ドメインのActive Directoryの一部が収められます。DRAはアカウントキャッシュを使用して、ユーザアカウント、グループ、連絡先、およびコンピュータアカウントを管理する際のパフォーマンスを向上させています。
キャッシュの更新をスケジュールするか、キャッシュステータスを表示するには、Configure Servers and Domainsという組み込みの役割に含まれる権限など、適切な権限が必要です。
メモ:管理対象サブツリーが含まれているドメインでアカウントキャッシュの増分更新を実行するには、サービスアカウントが削除オブジェクトコンテナと当該サブツリーのドメイン内の全オブジェクトに対する読み込みアクセス権を持っている必要があります。削除オブジェクトユーティリティを使用すれば、権限をチェックして適切な権限を委任することができます。
アカウントキャッシュの増分更新では、直近の更新以降に変更されたデータだけが更新されます。増分更新は、Active Directoryの変化に対応してキャッシュを最新の状態に保つための能率的な手段を提供します。増分更新を使用すると、会社への影響を最小限に抑えつつ、アカウントキャッシュをすばやく更新できます。
重要:Microsoft Serverでは、WinRM/WinRSのセッションに同時に接続できるユーザ数を5に、ユーザごとのシェル数を5に制限しています。このため、同じユーザアカウントがDRAのセカンダリサーバで5シェルに限定されるようにしてください。
増分更新では、以下のデータが更新されます。
新規のオブジェクトとクローンとして作成されたオブジェクト
削除されたオブジェクトと移動したオブジェクト
グループメンバーシップ
変更されたオブジェクトに関するキャッシュされたすべてのオブジェクトプロパティ
アカウントキャッシュの完全更新では、指定されたドメインに関してDRAのアカウントキャッシュが再構築されます。
メモ:アカウントキャッシュ完全更新の実行中、DRAユーザはドメインを使用できません。
アカウントキャッシュを更新するには、Configure Servers and Domains
という組み込みの役割に含まれている権限など、適切な権限が必要です。
アカウントキャッシュの完全更新を即時実行するには、以下の手順を実行します。
[Configuration Management]>[Managed Domains (管理対象のドメイン)]の順に選択します。
目的のドメインを右クリックして、[プロパティ]を選択します。
[Full refresh (完全更新)]タブの[今すぐ更新]をクリックします。
アカウントキャッシュを更新するべき頻度は、企業が変化する頻度によって決まります。増分更新を使用してアカウントキャッシュを頻繁に更新し、DRAがActive Directoryについて最新の情報を持つようにしてください。
デフォルトでは、管理サーバが次に示す時刻にアカウントキャッシュの増分更新を実行します。
ドメインタイプ |
デフォルトでスケジュールされた更新時刻 |
---|---|
管理対象ドメイン |
5分ごと |
信頼されたドメイン |
1時間おき |
FACRをスケジュールすることはできません。ただし、次のような状況ではDRAが自動FACRを実行します。
初めて管理対象ドメインを設定した後。
以前のバージョンから新しい完全バージョンにDRA をアップグレードした後。
DRAサービスパックをインストールした後。
アカウントキャッシュの完全更新には数分かかることがあります。
DRAに常に最新情報があるようにするために、アカウントキャッシュは定期的に更新する必要があります。アカウントキャッシュの更新を実行またはスケジュールする前に、以下の留意点を確認してください。
アカウントキャッシュの増分更新を実行するには、管理サーバサービスアカウントまたはアクセスアカウントが管理対象ドメインまたは信頼関係があるドメインのActive Directory内にある削除されたオブジェクトにアクセスする権限を持っている必要があります。
DRAがアカウントキャッシュの更新を実行するとき、管理サーバは信頼関係があるドメインからのドメインローカルセキュリティグループを対象に含めません。キャッシュがこれらのグループを含んでいないため、信頼関係があるドメインからのドメインローカルセキュリティグループを管理対象メンバーサーバ上のローカルグループに追加することはできません。
信頼関係のあるドメインをアカウントキャッシュの更新から除外した場合は、そのドメインがドメイン構成の更新からも除外されます。
以前は除外した信頼関係のあるドメインをアカウントキャッシュの更新に含める場合は、管理対象ドメインに対してアカウントキャッシュの完全更新を実行してください。これにより、管理対象ドメインに関する管理対象サーバ上のアカウントキャッシュが、管理対象ドメインおよび信頼関係のあるドメイン内のグループメンバーシップを正確に反映するようになります。
アカウントキャッシュの増分更新の間隔を[なし]に設定すると、アカウントキャッシュの完全更新だけが実行されるようになります。アカウントキャッシュの完全更新には時間がかかる場合があり、その間はそのドメイン内のオブジェクトを管理できません。
Microsoft Directory Services など、他のツールから変更が行われた場合、それをDRAで自動的に判断することはできません。DRAの外で実行される操作が、キャッシュされた情報の正確さに影響する場合があります。たとえば、別のツールを使ってメールボックスをユーザアカウントに追加した場合、アカウントキャッシュを自分で更新するまでExchangeでそのメールボックスを管理することができません。
アカウントキャッシュの完全更新を実行すると、キャッシュ内に保持されていた直近のログオン統計情報が削除されます。その後、管理サーバがすべてのドメインコントローラから最新のログオン情報を収集します。
ADのプリンタコレクションはデフォルトで無効になっています。これを有効にするには、[Configuration Management]>[Update Administration Server Options (管理サーバオプションを更新)]>[全般]タブの順に選択し、[Collect Printers (プリンタを収集)]チェックボックスをオンにします。
スケジュールに従って特定のドメインに対してAD LDSのクリーンアップ更新が実行されるように設定できます。デフォルトでは、更新「しない」に設定されています。クリーンアップのステータスも、AD LDS (ADAM)の設定に関連した特定の情報も表示することができます。
スケジュールを設定するには、またはAD LDSクリーンアップのステータスを表示するには、[Account and Resource Management]>[すべての管理対象オブジェクト]ノードで目的のドメインを右クリックし、[プロパティ]>[Adlds Cleanup Refresh Schedule (AD LDSクリーンアップ更新スケジュール)](または[Adlds Cleanup status (AD LDSクリーンアップステータス)])の順に選択します。
AD LDS (ADAM)の設定情報を表示するには、[Configuration Management]>[Update Server Options (サーバオプションを更新)]>[ADAM Configuration (ADAMの設定)]の順に選択します。
ダイナミックグループとは、グループプロパティで設定しておいた定義済み条件セットに基づいてメンバーシップが変わるグループです。ドメインプロパティで特定のドメインに対し、スケジュールに従ってダイナミックグループの更新が実行されるように設定できます。デフォルトでは、更新「しない」に設定されています。更新のステータスを表示することもできます。
スケジュールを設定するためには、ダイナミックグループの更新のステータスを表示するには、[Account and Resource Management]>[すべての管理対象オブジェクト]ノードで目的のドメインを右クリックし、[プロパティ]>[Dynamic group refresh (ダイナミックグループの更新)](または[Dynamic group status (ダイナミックグループのステータス)])の順に選択します。
ダイナミックグループの詳細については、「DRAのダイナミックグループ」を参照してください。
ごみ箱をMicrosoft Windowsの各ドメインまたは各ドメイン内のオブジェクトに対し有効または無効に設定することができ、ごみ箱のクリーンアップの実行方法と時期も設定できます。
ごみ箱の使用の詳細については、「ごみ箱」を参照してください。
特定のMicrosoft Windowsドメイン、およびそれらのドメイン内のオブジェクトに対し、ごみ箱を有効にすることができます。デフォルトでDRAは、管理対象の各ドメインと、そのドメインのオブジェクトすべてに対し、ごみ箱を有効にします。ごみ箱を有効にするには、DRA AdminsまたはDRA Configuration Adminsというグループのメンバーである必要があります。
ご使用の環境が次に示す設定を含む場合、ごみ箱ユーティリティを使用してこの機能を有効にしてください。
DRAはこのドメインのサブツリーを管理している。
ごみ箱コンテナを作成し、このコンテナにアカウントを移動させ、このコンテナ内のアカウントを変更することのできるパーミッションが、管理サーバのサービスまたはアクセスアカウントに与えられていない。
また、ごみ箱ユーティリティを使用すれば、管理サーバのサービスの検証をしたり、ごみ箱コンテナに対するアカウントパーミッションにアクセスすることもできます。
ごみ箱を有効にするには、[ごみ箱]ノードの目的のドメインを右クリックし[Enable Recycle Bin (ごみ箱を有効にする)]を選択します。
特定のMicrosoft Windowsドメイン、およびそれらのドメイン内のオブジェクトに対し、ごみ箱を無効にすることができます。無効にしたごみ箱にアカウントが入っている場合、これらのアカウントの表示、永久削除、回復ができません。
ごみ箱を無効にするには、DRA AdminsまたはDRA Configuration Adminsというアシスタント管理者グループのメンバーである必要があります。
ごみ箱を無効にするには、[ごみ箱]ノードの目的のドメインを右クリックし[Disable Recycle Bin (ごみ箱を無効にする)]を選択します。
ごみ箱のクリーンアップはデフォルトで「毎日」に設定されています。この設定は、ドメインのごみ箱を任意の日数ごとにクリーンアップするように変更することができます。スケジュールされたクリーンアップの間ごみ箱は、オブジェクトタイプごとに、設定しておいた日数以上が経過したオブジェクトを削除します。各タイプのデフォルトの設定では、1日以上が経過したオブジェクトが削除されます。ごみ箱のクリーンアップの動作は、設定を無効にし、再度有効にして、オブジェクトの削除猶予期間をオブジェクトタイプごとに設定することでカスタマイズすることができます。
ごみ箱のクリーンアップを設定するには、Delegation and Configuration console (委任および環境設定コンソール)で目的のドメインを選択し、[タスク]>[プロパティ]>[ごみ箱]タブの順に移動します。
以下のセクションでは、DRA管理レポートと、有効にできるレポートコレクタについて概説します。コレクタが設定できるウィザードを表示するには、[Configuration Management]>[Update Reporting Service Configuration (レポーティングサービスの設定を更新)]の順に選択します。
Active DirectoryコレクタはActive Directoryから、DRA内にある管理対象ユーザ、グループ、連絡先、コンピュータ、OU、およびダイナミックグループの指定された属性セットを収集します。これらの属性は、レポーティングデータベースに保存され、Reportingコンソールでレポートを生成するために使用されます。
レポーティングデータベースにどの属性を収集および保存させるかをActive Directoryコレクタを設定することができます。コレクタの実行場所となるDRA管理サーバを設定することもできます。
DRAコレクタは、DRAの設定についての情報を収集し、その情報をレポーティングコンソールがレポート生成に使用するレポーティングデータベースに保存します。
DRAコレクタを有効にするには、コレクタを実行させるDRA管理サーバを指定する必要があります。最良の方法として、Active Directoryコレクタが正常に実行された後で、サーバの通常稼働時間帯以外の期間または負荷最小期間にDRAコレクタが実行されるようにスケジュール設定することを推奨します。
Azureテナントコレクタでは、Azure Active Directoryテナントに同期されているAzureユーザおよびグループの情報を収集し、その情報をReportingコンソールがレポート生成に使用するレポーティングデータベースに保存します。
Azureテナントコレクタを有効にするには、コレクタの実行場所となるDRA管理サーバを指定する必要があります。
メモ:Azureテナントによる収集は、対応するドメインのActive Directoryコレクタが収集を正常に実行した後でのみ、正常に実行することができます。
管理レポートコレクタは、DRAの監査情報を収集し、その情報をレポーティングコンソールがレポート生成に使用するレポーティングデータベースに保存します。コレクタを有効にすると、DRAのレポーティングツールで実行されるクエリ用のデータベースのデータ更新頻度を設定できます。
この設定をするには、DRAサービスのアカウントがレポーティングサーバに対しSQLサーバでsysadminというパーミッションを持っている必要です。設定可能なオプションは、次のように定義されます。
監査エクスポートデータの時間間隔: これは、DRAのトレースログ(LAS)から監査データがSQLサーバ内の"SMCubeDepot"データベースにエクスポートされる時間間隔です。
管理レポート概要の時間間隔: これは、監査データがSMCubeDepotデータベースから、DRAのレポーティングツールによるクエリが可能なDRAレポーティングデータベース内に、供給される時間間隔です。
管理対象ドメイン内のすべてのドメインコントローラから直近のログオン時の統計情報を収集するように、DRAを設定することができます。直近ログオン統計収集の有効化とスケジュールを行うには、Configure Servers and Domainsという組み込みの役割に含まれる権限など、適切な権限が必要です。
デフォルトでは、直近ログオン情報の収集機能は無効になっています。直近ログオン情報を収集するには、この機能を有効にする必要があります。直近ログオン情報の収集を有効にすると、特定ユーザの直近のログオン情報を表示したり、直近ログオン情報の収集状況を表示することができます。
直近ログオン統計を収集するには:
[Configuration Management]>[Managed Domains (管理対象のドメイン)]の順に選択します。
目的のドメインを右クリックして、[プロパティ]を選択します。
[Last logon schedule (直近ログオンスケジュール)]タブをクリックして、直近ログオン統計の収集を設定します。
統合された変更履歴サーバ機能を使用すると、DRAの外部で行った変更についてのレポートを生成することができます。
統合された変更履歴サーバを管理するには、Unified Change History Server Administration(統合された変更履歴サーバ管理)という役割、または次に示す権限のうち該当するものをアシスタント管理者を割り当ててください。
統合された変更履歴の設定を削除する
統合された変更履歴の情報を設定する
統合された変更履歴の設定情報を表示する
統合された変更履歴サーバの権限を委任するには、次のようにします。
Delegation Managementノードで[権限]をクリックし、オブジェクト検索機能を使用して目的のUCH権限を見つけ、それを選択します。
選択されているUCH権限のいずれかを右クリックして、[Delegate Roles and Powers (役割と権限を委任)]を選択します。
権限の委任先となる特定のユーザ、グループ、またはアシスタント管理者グループを検索します。
オブジェクトセレクタを使用して目的のオブジェクトを見つけて追加し、ウィザードで[Roles and Powers (役割と権限)]をクリックします。
[ActiveViews]をクリックし、オブジェクトセレクタを使用して必要なActiveViewを見つけて追加します。
[次へ]をクリックしてから[完了]で委任プロセスを完了します。
統合された変更履歴サーバを設定するには、次のようにします。
Delegation and Configuration Console (委任および環境設定コンソール)にログインします。
[Configuration Management (環境設定管理)] > [Integration Servers (統合サーバ)]を展開します。
[統合された変更履歴]を右クリックし、[新しい統合された変更履歴サーバ]を選択します。
変更履歴の統合の設定で、UCHサーバ名またはIPアドレス、ポート番号、サーバタイプ、アクセス用アカウントの詳細を指定します。
サーバへの接続をテストし、[完了]をクリックして設定を保存します。
必要に応じてサーバを追加します。
ワークフローを管理するには、ワークフロー自動化サーバ管理の役割または次の該当する権限を管理者に割り当てます。
ワークフローイベントを作成しすべてのプロパティを変更する
Delete Workflow Automation Server Configuration (ワークフロー自動化サーバ設定の削除)
Set Workflow Automation Server Configuration Information (ワークフロー自動化サーバの環境設定情報の設定)
Start Workflow (ワークフローの開始)
View All Workflow Event Properties (すべてのワークフローイベントのプロパティの表示)
View All Workflow Properties (すべてのワークフロープロパティの表示)
View Workflow Automation Server Configuration Information (ワークフロー自動化サーバの環境設定情報の表示)
ワークフロー自動化サーバの設定権限を委任するには、次のようにします。
Delegation Managementノードで[権限]をクリックし、オブジェクト検索機能を使用して目的のワークフロー権限を見つけ、それを選択します。
選択されているワークフロー権限のいずれかを右クリックして、[Delegate Roles and Powers (役割と権限を委任)]を選択します。
権限の委任先となる特定のユーザ、グループ、またはアシスタント管理者グループを検索します。
オブジェクトセレクタを使用して目的のオブジェクトを見つけて追加し、ウィザードで[Roles and Powers (役割と権限)]をクリックします。
[ActiveViews]をクリックし、オブジェクトセレクタを使用して必要なActiveViewを見つけて追加します。
[次へ]をクリックしてから[完了]で委任プロセスを完了します。
DRAでワークフローの自動化を使用するには、WindowsサーバでワークフローエンジンをインストールしてからDelegation and Configuration console (委任および環境設定コンソール)を介してワークフロー自動化サーバを構成する必要があります。
ワークフロー自動化サーバを設定するには、次のようにします。
Delegation and Configuration Console (委任および環境設定コンソール)にログインします。
ワークフロー自動化権限については、「ワークフロー自動化サーバの設定権限を委任する」を参照してください。
[Configuration Management (環境設定管理)] > [Integration Servers (統合サーバ)]を展開します。
[ワークフローの自動化]を右クリックし、[新しいワークフロー自動化サーバ]を選択します。
[ワークフロー自動化サーバの追加]ウィザードで、サーバ名、ポート、プロトコル、アクセスアカウントなどの詳細を指定します。
サーバへの接続をテストし、[完了]をクリックして設定を保存します。
ワークフローエンジンのインストール情報については、『ワークフロー自動化管理者ガイド』を参照してください。
DRAでは、LDAPサーバからユーザ、連絡先、コンピュータ、グループ、およびOUなどのオンプレミスのActive Directoryドメインに含まれるLDAPオブジェクトを検索できます。DRAサーバは引き続き操作を処理し、検索が実行されるのはドメインコントローラです。検索フィルタを使用して、より効率的で効果的な検索を行うことができます。また、検索クエリを保存して後で使用することもできます。検索クエリをパブリックで共有したり、プライベートとしてマークすることで自分で使用したりできます。保存されているクエリを編集できます。[LDAP Advanced Queries (LDAP詳細クエリ)]役割は、アシスタント管理者に、LDAP検索クエリを作成および管理する権限を与えます。次に示す権限を使用して、LDAP検索クエリの作成および管理を委任します。
プライベートの詳細クエリを作成する
パブリックの詳細クエリを作成する
パブリックの詳細クエリを削除する
詳細クエリの実行
詳細クエリの保存の実行
パブリッククエリの変更
詳細クエリの表示
LDAPクエリ権限を委任するには、次のようにします。
Delegation Managementノードで[権限]をクリックし、オブジェクト検索機能を使用して目的の詳細LDAPクエリ権限を見つけ、それを選択します。
選択されているLDAP権限のいずれかを右クリックして、[Delegate Roles and Powers (役割と権限を委任)]を選択します。
権限の委任先となる特定のユーザ、グループ、またはアシスタント管理者グループを検索します。
オブジェクトセレクタを使用して目的のオブジェクトを見つけて追加し、ウィザードで[Roles and Powers (役割と権限)]をクリックします。
[ActiveViews]をクリックし、オブジェクトセレクタを使用して必要なActiveViewを見つけて追加します。
[次へ]をクリックしてから[完了]で委任プロセスを完了します。
Webコンソールの検索機能にアクセスするには、[管理] > [LDAP検索]に移動します。