ユーザー、グループおよびグループ・メンバーシップを同期するためのアクセス許可の設定
Microsoft Active DirectoryとIAM間でユーザー、グループまたはOUを同期できるように、ADブリッジ・サービス・アカウントのアクセス許可を設定します。
- ドメイン管理者の資格証明を使用して、Microsoft Active Directoryサーバーを含むマシンにサインインします。
- コマンド・ウィンドウを開きます。
-
アイデンティティ・ドメインにインポートするMicrosoft Active Directoryドメイン内のユーザー、グループおよび組織単位(OU)に対する汎用読取り権限を設定します:
dsacls <AD_Domain_Name> /I:T /g "<AD_Domain_Name>\<User/Group_Name>:GR"ノート
<AD_Domain_Name>はIAMに関連付けるドメインの名前、<User/Group_Name>はドメイン管理者アカウントのユーザー名です。/I:T: このパラメータは、アクセス許可を適用するオブジェクトを指定します。Tがデフォルトです。つまり、継承可能なアクセス許可を、このオブジェクトと1レベル下の子オブジェクトにのみ伝播できます。/g: このパラメータは、指定したアクセス許可をユーザーまたはグループに付与します。たとえば、/g {<user> | <group>}:<permissions>です。<permissions>: このパラメータは、適用するアクセス許可のタイプを指定します。GR: 汎用読取りGW: 汎用書込みLC: オブジェクトの子オブジェクトのリストRP: プロパティの読取り
-
継承のあるcn=Deleted Objectsコンテナに対して子の一覧表示および読取りプロパティを設定します。このコンテナは、IAMに関連付けるMicrosoft Active Directoryドメインにもあります。
dsacls "cn=deleted objects,<AD_Domain_Name>" /takeOwnershipdsacls "cn=deleted objects,<AD_Domain_Name>" /I:T /g "<AD_Domain_Name>\<User/Group_Name>:LCRP"ノート
これらのアクセス許可がない場合、ADブリッジは、削除されたユーザー、グループまたはOUをMicrosoft Active DirectoryとIAM間で同期できません。これにより、Microsoft Active DirectoryとIAMの間で不整合が発生します。