3.5 DRA管理サーバ、Webコンソール、およびREST拡張要件

DRAコンポーネントには、次のソフトウェアおよびアカウントが必要です。

3.5.1 ソフトウェアの必要条件

コンポーネント

前提条件

インストールターゲット

オペレーティングシステム

NetIQ管理サーバおよびオペレーティングシステム:

  • Microsoft Windows Server 2012 R2、2016、2019

    メモ:また、サーバは、サポートされるMicrosoftオンプレミスのActive Directoryドメインのメンバーでなければなりません。

DRAのインタフェース:

  • Microsoft Windows Server 2012 R2、2016、2019

  • Microsoft Windows 8.1(x86 & x64)、10(x86 & x64)

インストーラ

  • Microsoft .Net Framework 4.6.2以降

管理サーバ

Directory and Resource Administrator:

  • Microsoft .Net Framework 4.6.2以降

  • Microsoft Visual C++2013再頒布可能パッケージ(x64)およびMicrosoft Visual C++2017(Update 3)再頒布可能パッケージ(x64およびx86)

  • Microsoft Message Queuing

  • Microsoft Active Directoryライトウェイトディレクトリサービス役割

  • リモートレジストリサービスが開始済みであること

  • MicrosoftインターネットインフォメーションサービスURL Rewrite Module

  • Microsoftインターネットインフォメーションサービスアプリケーション要求のルーティング

Microsoft Office 365/Exchange Online管理:

  • Windows PowerShell用Windows Azure Active Directoryモジュール

  • Skype for Business Online、Windows PowerShellモジュール

詳細については、「サポートされているプラットフォーム」を参照してください。

ユーザインタフェース

DRAのインタフェース:

  • Microsoft .Net Framework 4.6.2

  • Microsoft Visual C++ 2017(Update 3)再頒布可能パッケージ(x64およびx86)

DRAホストサービス

  • Microsoft .Net Framework 4.6.2

  • DRA管理サーバ

DRA RESTエンドポイントおよびサービス

  • Microsoft .Net Framework 4.6.2

PowerShell拡張機能

  • Microsoft .Net Framework 4.6.2

  • PowerShell 5.1以降

DRA Webコンソール

Webサーバ:

  • Microsoft .Net Framework 4.x > WCF Services > HTTP Activation (HTTPのアクティベーション)

  • Microsoft Internet Information Server 8.0、8.5、10

  • MicrosoftインターネットインフォメーションサービスURL Rewrite Module

  • Microsoftインターネットインフォメーションサービスアプリケーション要求のルーティング

Microsoft IISコンポーネント:

  • Webサーバ

    • 一般的なHTTP機能

      • 静的なコンテンツ

      • デフォルトのドキュメント

      • ディレクトリブラウザ

      • HTTPエラー

    • アプリケーション開発

      • ASP

    • 健全性と診断

      • HTTPログ

      • 要求の監視

    • セキュリティ

      • 基本認証

    • パフォーマンス

      • 静的なコンテンツの圧縮

  • Webサーバの管理ツール

3.5.2 サーバドメイン

コンポーネント

オペレーティングシステム

DRAサーバ

  • Microsoft Windows Server 2019

  • Microsoft Windows Server 2016

  • Microsoft Windows Server 2012 R2

3.5.3 アカウント要件

アカウント

説明

権限

AD LDSグループ

AD LDSにアクセスするには、このグループにDRAサービスアカウントを追加する必要があります

  • ドメインローカルセキュリティグループ

DRAサービスアカウント

NetIQ管理サービスを実行するために必要な権限

  • 「Distributed COM Users」権限用

  • AD LDS管理者グループのメンバー

  • アカウントオペレータグループ

  • ログアーカイブグループ(OnePointOp ConfgAdms & OnePointOp)

  • STIG手法を使用してDRAをサーバにインストールする場合、DRAサービスアカウントユーザに対して次の[アカウントタブ] > [アカウントオプション]のいずれかを選択する必要があります。

    • Kerberos AES 128ビット暗号化

    • Kerberos AES 256ビット暗号化

メモ:

  • 最小特権のドメインアクセスアカウントの設定方法については、「最小特権DRAアクセスアカウント」を参照してください。

  • DRAのGroup Managed Service Account (グループ管理サービスアカウント)の設定の詳細については、「Group Managed Service Account (グループ管理サービスアカウント)のDRAサービスの構成」を参照してください。

DRA管理者

標準のDRA管理者役割にプロビジョニングされたユーザアカウントまたはグループ

  • ドメインローカルセキュリティグループまたはドメインユーザアカウント

  • 管理対象ドメインまたは信頼されたドメインのメンバー

    • 信頼されたドメインのアカウントを指定する場合は、管理サーバコンピュータがそのアカウントを認証できることを確認してください。

DRA Assistant Adminアカウント

DRAを介して権限を委任されるアカウント

  • リモートクライアントからDRAサーバに接続できるように、すべてのDRA Assistant Adminアカウントを「Distributed COM Users」グループに追加してください。これは、シッククライアントまたはDelegation and Configuration console (委任および環境設定コンソール)を使用している場合にのみ必要です。

    メモ:これを自動で実行するように、インストール時にDRAを構成することができます。

3.5.4 最小特権DRAアクセスアカウント

ここには、各アカウントに必要な権限と特権、および実行する必要がある構成コマンドを記載します。

ドメインアクセスアカウント: ADSI Editを使用して、ドメインアクセスアカウントに、次の子孫オブジェクトタイプのトップドメインレベルで次のActive Directory権限を付与します。

  • builtInDomainオブジェクトに対するフルコントロール

  • コンピュータオブジェクトに対するフルコントロール

  • 接続ポイントオブジェクトに対するフルコントロール

  • 連絡先オブジェクトに対するフルコントロール

  • コンテナオブジェクトに対するフルコントロール

  • グループオブジェクトに対するフルコントロール

  • InetOrgPersonオブジェクトに対するフルコントロール

  • MsExchDynamicDistributionListオブジェクトに対するフルコントロール

  • MsExchSystemObjectsContainerオブジェクトに対するフルコントロール

  • 部門オブジェクトに対するフルコントロール

  • プリンタオブジェクトに対するフルコントロール

  • publicFolderオブジェクトに対するフルコントロール

  • 共有フォルダオブジェクトに対するフルコントロール

  • ユーザオブジェクトに対するフルコントロール

ドメインアクセスアカウントに、このオブジェクトおよびすべての子孫オブジェクトに対して、トップドメインレベルで次のActive Directory権限を付与します。

  • コンピュータオブジェクトの作成を許可

  • 連絡先オブジェクトの作成を許可

  • コンテナオブジェクトの作成を許可

  • グループオブジェクトの作成を許可

  • MsExchDynamicDistributionListオブジェクトの作成を許可

  • 部門オブジェクトの作成を許可

  • publicFoldersオブジェクトの作成を許可

  • 共有フォルダオブジェクトの作成を許可

  • ユーザオブジェクトの作成を許可

  • コンピュータオブジェクトの削除を許可

  • 連絡先オブジェクトの削除を許可

  • コンテナの削除を許可

  • グループオブジェクトの削除を許可

  • InetOrgPersonオブジェクトの削除を許可

  • MsExchDynamicDistributionListの削除を許可

  • 部門オブジェクトの削除を許可

  • publicFoldersオブジェクトの削除を許可

  • 共有フォルダオブジェクトの削除を許可

  • ユーザオブジェクトの削除を許可

メモ:

  • デフォルトでは、Active Directory内の一部のビルトインコンテナオブジェクトは、ドメインのトップレベルから権限を継承しません。そのため、これらのオブジェクトでは、継承を有効にするか、明示的なアクセス許可を設定する必要があります。

  • RESTサーバがDRA管理サーバと同じサーバにインストールされていない場合、実行中のRESTサービスアカウントは、Active Directory内のRESTサーバに対するフルコントロールが必要です。たとえば、CN=DRARestServer,CN=System,DC=myDomain,DC=comに対してフルコントロールを設定します。

Exchangeアクセスアカウント: オンプレミスのMicrosoft Exchangeオブジェクトを管理するには、Organizational Management (組織管理)の役割をExchangeアクセスアカウントに割り当て、Exchangeアクセスアカウントをアカウントオペレータグループに割り当てます。

Skypeアクセスアカウント: このアカウントがSkype対応ユーザであり、以下の少なくとも1つのメンバーであることを確認してください。

  • CSAdministrator役割

  • CSUserAdministrator役割とCSArchiving役割

パブリックフォルダのアクセスアカウント: パブリックフォルダのアクセスアカウントには、次のActive Directory権限を割り当ててください。

  • パブリックフォルダ管理

  • メールが有効なパブリックフォルダ

Azureテナントアクセスアカウント: Azureテナントのアクセスアカウントには、次のAzure Active Directory権限を割り当ててください。

  • 配布グループ

  • メール受信者

  • メールの受信者の作成

  • セキュリティグループの作成およびメンバーシップ

  • (オプション)Skype for Business管理者

    Skype for Business Onlineを管理する場合は、Skype for Business管理者の権限をAzureテナントアクセスアカウントに割り当てます。

  • ユーザ管理者

NetIQ管理サービスアカウントの権限:

  • ローカル管理者

  • 最小特権のオーバーライドアカウントに、ホームディレクトリをプロビジョニングした共有フォルダまたはDFSフォルダに対する「フル権限」を付与します。

  • リソース管理: 管理されたActive Directoryドメイン内の公開されたリソースを管理するには、そのリソースに対するローカル管理権限をドメインアクセスアカウントに付与する必要があります。

DRAのインストール後: 必要なドメインが追加された後、またはDRAによって管理されている場合は、次のコマンドを実行します。

  • DRAインストールフォルダの「削除オブジェクトコンテナ」への権限を委任するには、次のようにします(注:このコマンドはドメイン管理者が実行する必要があります)。

    DraDelObjsUtil.exe /domain:<NetbiosDomainName> /delegate:<Account Name>

  • DRAインストールフォルダから「NetIQReceyleBin OU」に許可を委任するには、次のようにします。

    DraRecycleBinUtil.exe /domain:<NetbiosDomainName> /delegate:<AccountName>

SAMへのリモートアクセス: DRAによって管理されているドメインコントローラまたはメンバーサーバを割り当てて、次のGPO設定にリスト化されているアカウントを有効にすることで、セキュリティアカウントマネージャ(SAM)データベースにリモートクエリを実行できるようになります。この構成には、DRAサービスアカウントが含まれている必要があります。

Network access: Restrict clients allowed to make remote calls to SAM (ネットワークアクセス: SAMへのリモートコールを行うことができるクライアントを制限する)

この設定にアクセスするには、次の手順に従います。

  1. ドメインコントローラのグループポリシー管理コンソールを開きます。

  2. ノードツリー内の[ドメイン] > [ドメインコントローラ] > [グループポリシーオブジェクト]を展開します。

  3. デフォルトのドメインコントローラポリシー]を右クリックし、[編集]を選択して、このポリシーのGPOエディタを開きます。

  4. GPOエディタのノードツリーで、[コンピュータの環境設定] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] > [ローカルポリシー]の順に展開します。

  5. ポリシーペインの[Network access: Restrict clients allowed to make remote calls to SAM (ネットワークアクセス: SAMへのリモートコールを行うことができるクライアントを制限する)]をダブルクリックし、[Define this policy setting (このポリシー設定を定義する)]を選択します。

  6. Edit Security (セキュリティの編集)]をクリックし、リモートアクセスに対して[許可]を有効にします。DRAサービスアカウントがユーザまたは管理者グループの一部として含まれていない場合は、追加します。

  7. 変更を適用します。これにより、セキュリティデスクリプタであるO:BAG:BAD:(A;;RC;;;BA)がポリシー設定に追加されます。

詳細については、「Knowledge Base Article 7023292」を参照してください。