DRAコンポーネントには、次のソフトウェアおよびアカウントが必要です。
コンポーネント |
前提条件 |
---|---|
インストールターゲット オペレーティングシステム |
NetIQ管理サーバおよびオペレーティングシステム:
DRAのインタフェース:
|
インストーラ |
|
管理サーバ |
Directory and Resource Administrator:
Microsoft Office 365/Exchange Online管理:
詳細については、「サポートされているプラットフォーム」を参照してください。 |
ユーザインタフェース |
DRAのインタフェース:
|
DRAホストサービス |
|
DRA RESTエンドポイントおよびサービス |
|
PowerShell拡張機能 |
|
DRA Webコンソール |
Webサーバ:
Microsoft IISコンポーネント:
|
コンポーネント |
オペレーティングシステム |
---|---|
DRAサーバ |
|
アカウント |
説明 |
権限 |
---|---|---|
AD LDSグループ |
AD LDSにアクセスするには、このグループにDRAサービスアカウントを追加する必要があります |
|
DRAサービスアカウント |
NetIQ管理サービスを実行するために必要な権限 |
メモ:
|
DRA管理者 |
標準のDRA管理者役割にプロビジョニングされたユーザアカウントまたはグループ |
|
DRA Assistant Adminアカウント |
DRAを介して権限を委任されるアカウント |
|
ここには、各アカウントに必要な権限と特権、および実行する必要がある構成コマンドを記載します。
ドメインアクセスアカウント: ADSI Editを使用して、ドメインアクセスアカウントに、次の子孫オブジェクトタイプのトップドメインレベルで次のActive Directory権限を付与します。
builtInDomainオブジェクトに対するフルコントロール
コンピュータオブジェクトに対するフルコントロール
接続ポイントオブジェクトに対するフルコントロール
連絡先オブジェクトに対するフルコントロール
コンテナオブジェクトに対するフルコントロール
グループオブジェクトに対するフルコントロール
InetOrgPersonオブジェクトに対するフルコントロール
MsExchDynamicDistributionListオブジェクトに対するフルコントロール
MsExchSystemObjectsContainerオブジェクトに対するフルコントロール
部門オブジェクトに対するフルコントロール
プリンタオブジェクトに対するフルコントロール
publicFolderオブジェクトに対するフルコントロール
共有フォルダオブジェクトに対するフルコントロール
ユーザオブジェクトに対するフルコントロール
ドメインアクセスアカウントに、このオブジェクトおよびすべての子孫オブジェクトに対して、トップドメインレベルで次のActive Directory権限を付与します。
コンピュータオブジェクトの作成を許可
連絡先オブジェクトの作成を許可
コンテナオブジェクトの作成を許可
グループオブジェクトの作成を許可
MsExchDynamicDistributionListオブジェクトの作成を許可
部門オブジェクトの作成を許可
publicFoldersオブジェクトの作成を許可
共有フォルダオブジェクトの作成を許可
ユーザオブジェクトの作成を許可
コンピュータオブジェクトの削除を許可
連絡先オブジェクトの削除を許可
コンテナの削除を許可
グループオブジェクトの削除を許可
InetOrgPersonオブジェクトの削除を許可
MsExchDynamicDistributionListの削除を許可
部門オブジェクトの削除を許可
publicFoldersオブジェクトの削除を許可
共有フォルダオブジェクトの削除を許可
ユーザオブジェクトの削除を許可
メモ:
デフォルトでは、Active Directory内の一部のビルトインコンテナオブジェクトは、ドメインのトップレベルから権限を継承しません。そのため、これらのオブジェクトでは、継承を有効にするか、明示的なアクセス許可を設定する必要があります。
RESTサーバがDRA管理サーバと同じサーバにインストールされていない場合、実行中のRESTサービスアカウントは、Active Directory内のRESTサーバに対するフルコントロールが必要です。たとえば、CN=DRARestServer,CN=System,DC=myDomain,DC=comに対してフルコントロールを設定します。
Exchangeアクセスアカウント: オンプレミスのMicrosoft Exchangeオブジェクトを管理するには、Organizational Management (組織管理)の役割をExchangeアクセスアカウントに割り当て、Exchangeアクセスアカウントをアカウントオペレータグループに割り当てます。
Skypeアクセスアカウント: このアカウントがSkype対応ユーザであり、以下の少なくとも1つのメンバーであることを確認してください。
CSAdministrator役割
CSUserAdministrator役割とCSArchiving役割
パブリックフォルダのアクセスアカウント: パブリックフォルダのアクセスアカウントには、次のActive Directory権限を割り当ててください。
パブリックフォルダ管理
メールが有効なパブリックフォルダ
Azureテナントアクセスアカウント: Azureテナントのアクセスアカウントには、次のAzure Active Directory権限を割り当ててください。
配布グループ
メール受信者
メールの受信者の作成
セキュリティグループの作成およびメンバーシップ
(オプション)Skype for Business管理者
Skype for Business Onlineを管理する場合は、Skype for Business管理者の権限をAzureテナントアクセスアカウントに割り当てます。
ユーザ管理者
NetIQ管理サービスアカウントの権限:
ローカル管理者
最小特権のオーバーライドアカウントに、ホームディレクトリをプロビジョニングした共有フォルダまたはDFSフォルダに対する「フル権限」を付与します。
リソース管理: 管理されたActive Directoryドメイン内の公開されたリソースを管理するには、そのリソースに対するローカル管理権限をドメインアクセスアカウントに付与する必要があります。
DRAのインストール後: 必要なドメインが追加された後、またはDRAによって管理されている場合は、次のコマンドを実行します。
DRAインストールフォルダの「削除オブジェクトコンテナ」への権限を委任するには、次のようにします(注:このコマンドはドメイン管理者が実行する必要があります)。
DraDelObjsUtil.exe /domain:<NetbiosDomainName> /delegate:<Account Name>
DRAインストールフォルダから「NetIQReceyleBin OU」に許可を委任するには、次のようにします。
DraRecycleBinUtil.exe /domain:<NetbiosDomainName> /delegate:<AccountName>
SAMへのリモートアクセス: DRAによって管理されているドメインコントローラまたはメンバーサーバを割り当てて、次のGPO設定にリスト化されているアカウントを有効にすることで、セキュリティアカウントマネージャ(SAM)データベースにリモートクエリを実行できるようになります。この構成には、DRAサービスアカウントが含まれている必要があります。
Network access: Restrict clients allowed to make remote calls to SAM (ネットワークアクセス: SAMへのリモートコールを行うことができるクライアントを制限する)
この設定にアクセスするには、次の手順に従います。
ドメインコントローラのグループポリシー管理コンソールを開きます。
ノードツリー内の[ドメイン] > [ドメインコントローラ] > [グループポリシーオブジェクト]を展開します。
[デフォルトのドメインコントローラポリシー]を右クリックし、[編集]を選択して、このポリシーのGPOエディタを開きます。
GPOエディタのノードツリーで、[コンピュータの環境設定] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] > [ローカルポリシー]の順に展開します。
ポリシーペインの[Network access: Restrict clients allowed to make remote calls to SAM (ネットワークアクセス: SAMへのリモートコールを行うことができるクライアントを制限する)]をダブルクリックし、[Define this policy setting (このポリシー設定を定義する)]を選択します。
[Edit Security (セキュリティの編集)]をクリックし、リモートアクセスに対して[許可]を有効にします。DRAサービスアカウントがユーザまたは管理者グループの一部として含まれていない場合は、追加します。
変更を適用します。これにより、セキュリティデスクリプタであるO:BAG:BAD:(A;;RC;;;BA)がポリシー設定に追加されます。
詳細については、「Knowledge Base Article 7023292」を参照してください。