Delegation and Configuration Console (委任および環境設定コンソール)のAccount and Resource Managementノードは、DRAのアシスタント管理者が行うタスクのほとんどに対応します。基本的なシステム管理から高度なヘルプデスクでの問題まで企業の管理ニーズを満たします。Account and Resource Managementを使用し、アカウントおよびリソースの管理タスクを実行したり、Microsoft Exchangeのメールボックスを管理することができます。
Account and Resource Managementには、次のノードが含まれています。
ユーザアカウント、グループ、連絡先、リソース、ダイナミックグループ、ダイナミック配布グループ、リソースのメールボックス、パブリックフォルダなど、操作権限のあるドメインの中のオブジェクトが管理できます。
特定の期間だけグループメンバーシップを必要とするユーザのためのグループメンバーシップが管理できます。
管理サーバで使用可能な高度なクエリが管理できます。
ごみ箱が有効になっているすべてのMicrosoft Windowsドメインに関し、削除されたユーザアカウント、グループ、連絡先、およびリソースが管理できます。
Account and Resource Managementノードにアクセスするには、NetIQ管理者プログラムフォルダの[Delegation and Configuration]をクリックし、コンソールのDelegation and Configurationノードを展開します。
Delegation and Configuration console (委任および環境設定コンソール)を起動すると、ローカルドメイン内で利用できる最善な管理サーバに初期接続します。利用できる最善なAdministrationサーバは最も近くにあるサーバです。一般的にそれはネットワークサイト内のサーバです。DRAは、利用できる最善な管理サーバを探すことで、接続スピードとパフォーマンスを向上させています。
Account and Resource Managementの操作の詳細については、次のトピックを参照してください。
デフォルトでDRAは、管理対象のドメインまたはコンピュータの管理サーバのうち、利用できる最善なものに接続します。利用できる最善なAdministrationサーバは最も近くにあるサーバです。一般的にそれはネットワークサイト内のサーバです。サイト内に管理サーバがない場合、DRAはその次に最も利用可能なサーバを管理対象ドメインまたは管理対象サブツリー内から探して接続します。また、接続先の管理サーバまたはドメインを指定することもできます。
ユーザインタフェースを最初に起動すると、DRAはまず、その起動に使用されたログオンアカウントのドメインに接続します。管理サーバの管理していないドメインにログオンしている場合や、DRAがそのドメインの管理サーバに接続できない場合は、DRAがエラーメッセージを表示することがあります。管理サーバが利用可能であることを確認して、再試行します。
管理サーバに接続には:
[ファイル]メニューから[Connect to DRA server (DRAサーバに接続する★)]をクリックします。
[Connect to this DRA server (このDRAサーバに接続する★)]をクリックします。
管理サーバの名前を入力します。入力形式: computername
[OK]をクリックします。
管理対象のドメインまたはコンピュータに接続するには:
[ファイル]メニューから[Connect to DRA server (DRAサーバに接続する★)]をクリックします。
適切なオプションを選択してから、管理対象のドメインまたはコンピュータの名前を入力します。
たとえば、HOULABというドメインに接続するには、[Connect to a DRA server that manages this domain (このドメインを管理するDRAサーバに接続する★)]をクリックしてから、「HOULAB」と入力します。
管理対象のドメインまたはコンピュータの管理サーバを指定するには、[Advanced(詳細設定★)]をクリックしてから、適切なオプションを選択します。
[OK]をクリックします。
Delegation and Configuration console (委任および環境設定コンソール)のタイトルバーは、そこに表示される情報を変更することができます。便利さと明確さを向上させるために、コンソール起動時のユーザ名や、コンソール接続先の管理サーバを追加することができます。また、複数の管理サーバに異なる資格情報を使用して接続する必要のある複雑な環境では、この機能を応用することで、今どのコンソールを使用すべきかがすぐに判別できるようになります。
コンソールのタイトルバーを変更するには:
Delegation and Configuration console (委任および環境設定コンソール)を起動します。
[表示]>[オプション]の順にクリックします。
[Window Title (ウィンドウタイトル★)]タブを選択します。
適切なオプションを指定してから、[OK]をクリックします。
どのオブジェクトプロパティをDRAのリストカラムに表示させるかを選択することができます。この柔軟性のある機能により、検索結果のリスト表示などのユーザインタフェースをカスタマイズでき、企業のシステム管理における特定のニーズを満たすことができます。たとえば、カラムにユーザのログオン名またはグループの種類を表示されるよう設定できます。これにより、必要なデータを迅速かつ効率的に特定しソートすることができます。
リストカラムをカスタマイズするには:
適切なノードを選択します。たとえば、管理対象オブジェクトに関する検索結果を表示する場合に、結果を表示させるカラムを選択するには、[すべての管理対象オブジェクト]を選択します。
[表示]メニューから[Choose Columns (カラムを選択★)]をクリックします。
このノードで使用可能なプロパティのリストから、表示するオブジェクトプロパティを選択します。
カラムの順序を変更するには、カラムを選択し、[上に移動]または[下に移動]をクリックします。
カラムの幅を指定するには、カラムを選択し、所定のフィールドに適切なピクセル数を入力します。
[OK]をクリックします。
Account and Resource Managementのオブジェクトを管理するには、ディレクトリツリー内の[すべての管理対象オブジェクト]またはサブノードを選択します。ここから、ドメイン、コンテナ、およびOU内のオブジェクトをオブジェクトタイプで検索できます。
検索結果リストでオブジェクトを選択すると、そのオブジェクトに対して実行できるすべての該当するアクションがツールバーの[タスク]メニューまたは右クリックメニューから使用できるようになります。使用可能なオプションは、選択されたオブジェクトタイプ、現在DRA用に設定されているコンポーネント、および割り当てられた管理者特権に基づいています。
オブジェクトのプロパティを編集するには、オブジェクトを選択し、[タスク]メニューで[プロパティ]をクリックします。ここから、左のナビゲーションペインにあるページのリンクをクリックすることによって、すべてのオブジェクトのプロパティページにアクセスすることができます。
重要:オブジェクトが誤って削除されないように保護するには、オブジェクトを選択し、[プロパティ」を開き、ナビゲーションペインで[全般]を選択します。チェックボックスをオンにしてこの機能を有効にし、変更内容を[適用]します。
オブジェクトに対して実行できるアクションの詳細については、次のトピックを参照してください。
高度なクエリを使用すると、ユーザ、連絡先、グループ、コンピュータ、プリンタ、OUはもとより、DRAがサポートするオブジェクトならすべて検索することができます。「Execute Saved Advanced Querie」という権限があれば、Account and Resource Managementのノード内のどのコンテナに対しても[Saved Queries (保存済みクエリ★)]リストで利用可能な高度なクエリを実行できます。自分に割り当てられた権限の詳細については、「割り当てられた権限と役割の表示」を参照してください。
保存済みの高度なクエリを実行するには:
[Account and Resource Management]>[すべての管理対象オブジェクト]の順に開きます。
適切なコンテナを選択します。たとえば、DRAにユーザアカウント情報を検索させたい場合、[ユーザ]を選択します。
詳細検索の表示枠を表示するには、[Advanced Search (詳細検索★)]をクリックします。
詳細検索の表示枠内の[Saved Queries (保存済みクエリ)]リストから詳細検索クエリを1つ選択します。
[Load Query (クエリをロード★)]をクリックして、[Find Now (今すぐ検索★)]をクリックします。
DRAでは、ウィンドウサイズの変更とウィンドウサイズの保持が可能です。この他にもDRAは、前回接続した管理サーバ、リスト結果から追加または削除されたカラム、カラムの幅など、多くの設定を保持します。これらの設定をDRAインストール直後の設定に戻す必要が生じた場合、[Restore Default Settings (デフォルトの設定に復元★)]というオプションを使用すれば戻すことができます。
デフォルトのコンソール設定に復元するには:
[表示]>[オプション]の順にクリックします。
[Saved Settings (保存済みの設定★)]タブを選択します。
ウィンドウに表示される情報を確認してから、[Restore Default Settings (デフォルトの設定に復元★)]をクリックします。
ユーザアカウント、グループ、連絡先、OU、コンピュータ、ActiveView、AAグループ、役割、ポリシー、または自動化トリガに名前を付ける場合、次に挙げる特殊文字は名前に使用できません。これらの命名制限は、オブジェクト名にも、オブジェクトを定義するルールの名前にも適用されます。
Windows 2000以前の名前を指定する場合、次に挙げる特殊文字が使用できません。
|
円記号 |
\ |
|
コロン |
: |
|
カンマ |
, |
|
二重引用符 |
" |
|
等号(=) |
= |
|
スラッシュ(/) |
/ |
|
大なり記号 |
> |
|
左角カッコ |
[ |
|
小なり記号 |
< |
|
プラス記号(+) |
+ |
|
右角カッコ |
] |
|
セミコロン |
; |
|
縦線 |
| |
重要:パブリックフォルダ管理にはバックスラッシュ(\)文字がサポートされていません。
ユーザアカウント、グループ、およびMicrosoft Windowsドメイン内のコンピュータに名前を付ける場合は、任意の特殊文字が使用できます。
連絡先やOUに名前を付ける場合、任意の特殊文字が使用できます。
ActiveViews、AAグループ、および役割に名前を付ける場合、バックスラッシュ(\)が使用できません。
ポリシーおよび自動化トリガに名前を付ける場合は、バックスラッシュ(\)が使用できません。
無効な文字を使用すると、Azure Active Directoryと企業内システムのディレクトリとの同期が失敗する原因となります。無効な文字の詳細については、Microsoft OfficeサポートのWebサイトにアクセスし、「Directory object and attribute preparation (ディレクトリオブジェクトと属性の準備)」というサブトピックを参照してください。
オンラインメールボックスのプロパティでこれらの文字が使用されないようにするには、次の操作を行います。
Delegation and Configuration console (委任および環境設定コンソール)の[Configuration Management (環境設定管理)]ノードをクリックし、[Update Administration Server Options (管理サーバオプションの更新)]を選択します。
タブメニューの[Azure Sync (Azure同期)]をクリックします。
[Enforce online mailbox policies for invalid characters and character length (無効な文字や文字数に対してオンラインメールボックスポリシーを強制する)]をクリックして、[OK]をクリックします。
DRAでは、CLIコマンドとDRAコンソールの多くのフィールドでワイルドカード文字が使用できます。ワイルドカードを使って、複数のオブジェクトを特定の条件または規格(命名規則など)に一致させるルールを定義することができます。ルールの範囲を広げたり絞り込む場合、正規表現の代わりにワイルドカードが使用できます。ワイルドカードの照合では大文字と小文字を区別しません。疑問符(?)、アスタリスク(*)、番号記号(#)といったワイルドカード文字の直前に円記号(\)を付けることで、そのワイルドカード文字を通常の文字として使用することもできます。たとえば、「abc*」を検索するには、検索文字列として「abc\*」を入力します。
DRAでは、次に示すワイルドカード文字が使用できます。ワイルドカード文字を名前に使用することはできません。
|
一致項目 |
文字 |
定義 |
|---|---|---|
|
任意の文字 |
疑問符(?) |
1文字とだけ一致する |
|
任意の桁 |
シャープ記号(#) |
1桁一致 |
|
任意の文字、0個以上の一致 |
アスタリスク(*) |
一致する文字がないか複数の文字と一致する |
次の表に、ワイルドカード文字による指定例とそれぞれで一致する例と一致しない例を示します。
|
例 |
一致する |
一致しない |
|---|---|---|
|
Den??? |
Denton and Dennis |
Denison |
|
El ????o |
El Campo and El Indio |
El Paso |
|
Houston, TX ##### |
Houston, TX 77024 |
Houston, TX USOFA |
DRAは論理演算子を含むワイルドカード指定をサポートしません。
役割と権限によってオブジェクトの管理方法が決まります。役割とは、特定の管理タスク(ユーザアカウントの作成や共有ディレクトリの移動など)を実行するために必要なパーミッションを提供する権限のセットです。
DRA管理者がユーザに役割を割り振り、特定のAAグループに追加し、ActiveView (管理可能なドメインオブジェクトのセット)に関連付けます。これらの割り当ては、Delegation and Configuration console (委任および環境設定コンソール)で確認することができます。自分に割り当てられた役割と権限を確認するために補助的な権限は必要ありません。
割り当てられた権限と役割を表示するには:
[ファイル]メニューから[DRA Properties (DRAプロパティ★)]をクリックします。
[権限]をクリックします。
適切なビューを選択します。たとえば、AAグループのメンバーシップ、各メンバーの権限と役割、および関連付けられたActiveViewで構成されるテーブルを表示するには、[Flat View (フラット表示★)]をクリックします。
適切な項目を開きます。たとえば、「Has Power」という列で[Roles and Powers (役割と権限★)]を開いて個々の役割と権限を表示します。
[OK]をクリックします。
製品のバージョン番号とインストール済みのホットフィックスを[DRA Properties (DRAプロパティ★)]ウィンドウに表示できます。このウィンドウには、管理サーバーとDRAのクライアントコンピュータに関するインストール済みのホットフィックスの一覧とバージョン番号が表示されます。
製品のバージョン番号とインストール済みのホットフィックスを表示するには:
[ファイル]メニューから[DRA Properties (DRAプロパティ★)]をクリックします。
[全般]をクリックします。
必要な情報を確認します。
[OK]をクリックします。
DRAにはライセンスキーファイルが必要です。製品のライセンスを任意の管理サーバのコンピュータから確認することができます。製品のライセンスの確認をするために特別な権限は必要ありません。
自分のライセンスを表示するには:
[ファイル]メニューから[DRA Properties (DRAプロパティ★)]をクリックします。
[ライセンス]をクリックします。
ライセンスのプロパティを確認したら[OK]をクリックします。
Microsoft BitLockerでは、Active Directoryに回復パスワードを格納しています。必要な権限を持つユーザなら、DRAのBitLocker回復機能を使用してエンドユーザの紛失したBitLockerパスワードを検索し回復することができます。
重要:BitLocker回復パスワードの機能を使用する前に、自分のコンピュータがドメインに割り当てられ、BitLockerがオンになっているか確認してください。
コンピュータのBitLockerパスワードが失われた場合、Active Directoryでそのコンピュータのプロパティから回復用パスワードのキーを入手し、それを使用してリセットすることができます。そのパスワードキーをコピーし、エンドユーザに渡してください。
回復用パスワードを表示しコピーするには:
Delegation and Configuration console (委任および環境設定コンソール)を起動し、[Account and Resource Management] > [すべての管理対象オブジェクト]に移動します。
ドメインを選択し、検索を実行して、ドメイン内のすべてのコンピュータのリストを表示します。
コンピュータのリストから回復が必要なコンピュータを右クリックし、[プロパティ]>[BitLocker回復パスワード]の順に選択します。
右クリックしてBitLocker回復パスワードをコピーし、テキストファイルにパスワードのテキストを貼り付けます。
コンピュータの名前が変更されていた場合、パスワードIDの最初の8文字を使用してドメイン内で回復パスワードを検索する必要があります。
パスワードIDを使用して回復用パスワードを検索するには:
Delegation and Configuration console (委任および環境設定コンソール)を起動し、[Account and Resource Management] > [すべての管理対象オブジェクト]に移動します。
右クリックし、[管理対象ドメイン]を右クリックしてから、[BitLocker回復パスワードの検索]をクリックします。
回復用パスワードの先頭から8文字を検索する方法については、「BitLocker回復パスワードの表示とコピー」を参照してください。
[BitLocker回復パスワードの検索]のページで、コピーした文字を検索フィールドに貼り付けてから[検索]クリックします。