クリア

グループベースの委任

このオプションを使用すると、個々のユーザーではなくグループに、任意のActive Directoryタスクの実行権限を委任できます。このオプションには以下の利点があります。

  • オペレーターの作成はより簡単かつ迅速になります。目的の役割を、複数のユーザーに順番に割り当てるのではなく、グループに割り当てることができるためです。
  • 組織内で権限に関する何らかの変更があった場合、グループ単位で権限を変更できます。つまり、グループに委任する権限を変更することで、グループメンバーに委任する権限も自動的に更新できます。
  • 個々のユーザーの権限を変更する代わりに、適切なグループにユーザーを追加するだけで、ユーザーが適切なタスクを実行できるようになります(ユーザーを削除する場合も同様のことが言えます)。

グループに属するユーザーが、無効にされたり、グループから削除されるたびに、そのグループの持つActive Directoryタスクの実行権限がユーザーから自動的に削除されます。

グループベースで委任する方法

  1. [委任]タブをクリックします。
  2. 「オペレーターの委任」配下の[オペレーター]タブをクリックします。
  3. [オペレーターの追加]をクリックします。
  4. 任意のドメインを選択します。
  5. 「ADユーザーを選択」の近くにある[+]アイコンをクリックします。
  6. 表示されたポップアップで[グループ]タブをクリックします。
  7. オペレーターの役割を委任するグループを選択し、[OK]をクリックします。
  8. 「オペレーターの役割を選択」フィールドを使用して、グループに割り当てる役割を選択します。
  9. 選択されているグループに管理者権限を割り当てる場合は、「管理者として振る舞う」オプションをオンにします。
  10. [保存]ボタンをクリックします。

注記

  • 「管理者として振る舞う」オプションが有効な場合、オペレーターが委任されたタスクを実行したときには、ドメインコントローラーのセキュリティログには、サービスアカウントの認証情報を持つActive Directoryユーザーによって実行されたものとしてタスクが表示されます。オペレーターによって実行されたものとしては表示されません。
  • グループメンバーに管理者レベルの権限を提供するには、グループ名の横にある[編集]アイコンをクリックし、「管理者として振る舞う」を有効にします。
  • オペレーターの役割が委任された各グループにおいて、配下の、有効なオペレーターを表示するには、「オペレーター」タブで右上の[グループ表示]ボタンをクリックします。
  • 「オペレーター」タブで右上の[列を追加または削除]オプションを使用すると、権限の継承列を追加できます。
  • オペレーターに関する利用可能なすべての情報を取得するには、ADManager Plusのオペレーターレポートを使用します。

考えられる委任と継承のシナリオ

以下は、グループベースの委任において役割の継承がどのように働くかを示すシナリオの一覧です。すべてのシナリオで、ユーザー1がグループ1のメンバーであり、グループ1にはオペレーターの役割が委任されていることを想定しています。

1.ユーザー1が既にオペレーターとして設定されている場合

グループ1にではなく、ユーザー1に割り当てられたオペレーターの役割が、ユーザー1の役割となります。

2.ユーザー1がグループ1から削除された場合

ユーザー1は、個別にオペレーターとして設定されている場合のみログインできます。また、グループ1のメンバーであることから受け取っていた役割と権限を失います。

3.グループ1がADManager Plusのオペレーターの一覧で無効になっている場合

ユーザー1は、個別にオペレーターとして設定されている場合のみログインできます。そうでない場合は、ログインできません。

4.グループ1がADManager Plusのオペレーターの一覧で削除された場合

ユーザー1は、個別にオペレーターとして設定されている場合のみログインできます。

5. グループ1がActive Directoryから削除された場合

ユーザー1は、個別にオペレーターとして設定されている場合のみログインできます。

グループベースの委任に関するよくある質問

1.グループAとグループBの2つのグループメンバーであるユーザーがいて、それぞれに異なる役割が委任されています。メンバーユーザーはどのような役割を実行できますか?

ユーザーは、グループAとグループBの両方の役割を持ちます。

2.グループAでは「管理者として振る舞う」を有効にし、グループBでは無効にしました。両方のグループメンバーであるユーザーはどうなりますか?

ユーザーは管理者として振る舞うことはできません。このオプションの無効化は、有効化よりも優先されます。

3.グループAではすべてのOUを、グループBでは特定のOUを選択すると、両方のグループメンバーであるユーザーはどのOUにアクセスできますか?

ユーザーは、すべてのOUではなく、グループBで選択されたOUで自分の役割を実行します。OUの選択が矛盾する場合、OUの数が最も少ない側が優先されます。

4.グループベースの委任においてはライセンスをどのように計算しますか?

ライセンスは、グループ数ではなく、グループメンバー数に基づき計算します。有効なユーザーはすべてライセンスにカウントされます。役割が委任されていないユーザーは、無効なユーザーと見なされ、ライセンスは必要ありません。

5.利用可能なライセンスの数よりも多くのユーザーをグループAに追加しました。ライセンスはどの順序でユーザーに割り当てられますか?

製品に最初にログインしたユーザーからライセンスが割り当てられます。

6.オペレーターはユーザー作成中にデフォルトのテンプレートを変更できますか?

所属するグループから役割を継承したオペレーターは、デフォルトのテンプレートを変更できません。

       概要