ドメイン設定
- ADSelfService PlusでActive Directoryドメインを設定すると、ADSelfService Plusは、ユーザー、コンピューター、OU、グループ、およびドメインポリシーに関する情報をドメインから定期的に取得します。この情報は、ADSelfService Plusのユーザー情報を最新の状態に更新する際や、レポートの生成、通知の送信、自動パスワードリセット、アカウントのロック解除などの実行に使用されます。
- ドメインから取得した情報は、製品のデータベース(ビルトインのPostgreSQL、または外部に構成されたその他のデータベース)に保存されます。ドメイン設定で入力する認証情報には、Domain Admin権限、またはこちらのガイドに記載されている個別の権限が付与されている必要があります。
[ドメイン設定] オプションを使用すると、新規ドメインを設定したり、設定済みのドメインの各種設定を変更したりすることができます。ドメインを設定後に限り、管理者はそのドメイン内のユーザーに対して ADSelfService Plusの機能を有効にできます。ADSelfService Plusは起動中に、ネットワーク内で検出できるすべてのドメインを自動的に追加します。必要なその他のドメインを手動で追加したい場合は、次の手順を実施します。
新規ドメインを設定する手順
- (ADSelfService Plusの画面右上にある)[ドメイン設定] ボタンをクリックします。
- [構成されたドメイン] セクションが表示されます。[新規ドメインの追加]をクリックします。
- [新規ドメインの追加] セクションでドメイン名を指定し、次の手順に従ってドメインコントローラーを追加します。
- ドメインコントローラーを追加するには、[ドメインコントローラを追加する]フィールドの横にある [検索]ボタンをクリックします。
- [ドメインコントローラーを追加する]のポップアップで、DNSから検出された使用可能なドメインコントローラーの一覧からドメインコントローラーを選択します。ドメインコントローラーが見つからない場合は、メッセージが表示されます。表示されたフィールドにDNSホスト名を指定して(IPアドレスを指定しても機能しません)、ドメインコントローラーを手動で追加する必要があります。
- ADSelfService Plusは、この一覧の最初のドメインコントローラーから必要なデータを取得します。ドメインコントローラーの順序は、ADSelfService Plusとの直接通信に使用したいドメインコントローラーに応じて変更できます。
- [追加] をクリックして、指定したドメインコントローラーを追加します。
- [認証] のチェックボックスを選択し、ドメインユーザーネームとドメインパスワードを入力します。チェックボックスが選択されていない場合は、現在ログインしているユーザーアカウントの権限が、ドメインの設定に使用されます。
- [追加]をクリックしてドメインを設定します。
注意:ドメイン設定で指定した認証情報が、Active DirectoryのDomain Adminsグループ内のサービスアカウントである場合、ドメインが設定されます。その後、ADSelfService Plusとオブジェクトの情報を交換し、すべての機能を使用できるようになります。セキュリティ上の理由から、Domain Adminsグループが持つすべての権限をサービスアカウントに付与したくない場合は、このガイドの手順で、必要な権限のみをサービスアカウントに委任できます。
構成されたドメイン情報
[構成されたドメイン]セクションには、構成済みドメインの全一覧と以下の情報が表示されます。
- ドメイン名
- ドメイン配下のドメインコントローラー
- ドメイン設定で指定したユーザー名
- ドメイン表示名 - ドメイン表示名は管理者が定義でき、ドメインの選択が必要なフィールドで、ドメインを表示する際に使用されます。これにより、ユーザーや管理者がドメインを識別しやすくなります。ドメイン表示名は、[ドメイン表示名]列にある編集アイコンをクリックすることで編集できます。
- 構成されたドメインのステータス - ドメイン設定に使用されているサービスアカウントに、Active Directoryで必要な権限が委任されていることを示すために使用されます。ステータスが成功の場合は、必要な権限が委任されていることを意味します。ステータスが失敗の場合は、アカウントに必要な権限がないことを意味します。また、ドメイン内のいずれかのドメインコントローラーが動作しなくなった場合も表示されます。
構成されたドメインに対して実行できるアクション
上記の情報を表示する以外に、[構成されたドメイン] セクションでは、構成されたドメインに対して特定のアクションを実行することもできます。以下で詳細をご説明します。アクションの実行には[アクション]列のアイコンを使用します。
- デフォルトドメインの選択
[デフォルトドメイン]アイコンをクリックすると、そのドメインがADSelfService Plusのデフォルトドメインとなります。ポリシーを設定したり、機能を有効化する毎に、デフォルトドメインが自動的に選択されます。必要に応じて、他のドメインに変更できます。
- ドメイン情報の編集 / ドメインコントローラーの追加、削除
既存のドメイン情報の変更や、ドメインコントローラーの追加、削除を行う際は、[ドメイン情報の編集]アイコンをクリックします。
- 表示される[ドメイン設定を編集]セクションで必要な変更を行うことができます。
- [ドメインコントローラを追加する] セクションでプラスアイコン [
] をクリックすると、ドメインコントローラーを追加できます。
- [ドメインコントローラを追加する] セクションで各ドメインコントローラーにカーソルを合わせ、削除(×)アイコンをクリックすると、ドメインコントローラーを削除できます。
注意:ドメイン情報を編集しても、AD同期やドメイン情報の更新は行われません。ADとの同期は、AD同期設定で設定された頻度に従って、またはドメインオブジェクト情報を手動で更新することによってのみ行われます。
-
ドメインオブジェクトの更新
[ドメインオブジェクトの更新] アイコンは、ドメインの最新のドメインオブジェクト情報を ADSelfService Plusに反映するために使用されます。ADSelfService PlusとActive Directoryの間にラグが存在する場合、この更新アクションにより同期が行われます。[ドメインオブジェクトの更新]アイコンをクリックすると、[<domainname> の詳細を更新してください]ダイアログボックスが開きます。ここでは、ADSelfService Plusで情報を更新する必要があるドメインオブジェクトの種類を以下から選択できます。
- ユーザー
- PC
- 組織単位(OU)
- グループ
- ドメインポリシー
該当のドメインオブジェクトを選択後、[OK] をクリックして情報を更新します。
- ドメインの削除:
構成されたドメインを削除するには、[ドメインの削除]アイコンをクリックします。ドメインが削除されると、ドメインのオブジェクト、ポリシー設定、登録情報を含むすべての情報がADSelfService Plusから消去されます。ドメインを再度構成する場合は、ポリシーを構成し、機能をもう一度有効化する必要があります。
-
表示名のカスタマイズ:
ドメイン名をどのように表示するかを自身で指定します。実際のドメイン名とは関係ありません。ユーザーのログイン画面に、ユーザーが分かりやすい名前でドメインを表示することのみが目的です。
-
ステータス:
- ステータス機能は、ドメインのユーザーに関連付けられた権限を明らかにします。
- 成功ステータスは、ドメイン内に管理者権限を持つユーザーがいることを示します。
- 管理者権限が付与されているドメインユーザーがいない場合は、[ユーザー/システムに管理者権限がありません]ステータスが表示されます。