プロファイルを同期するために Active Directory ドメイン サービスのアクセス許可を付与する (SharePoint Server 2010)
適用先: SharePoint Server 2010
トピックの最終更新日: 2011-06-15
ここでは、Active Directory ドメイン サービス (AD DS) の管理者が、Microsoft SharePoint Server 2010 とプロファイル情報を同期するときに必要なアクセス許可を構成するための手順を説明します。「プロファイルの同期を計画する」の「権限の計画」セクションでは、状況に応じて必要な権限について記載されています。
この記事の手順では、権限を付与する先のアカウントのことを "同期アカウント" という語句で表します。同期アカウントは、SharePoint Server がプロファイルを同期する際、AD DS に接続するために使用するアカウントです。
この記事の内容
ドメインに対するディレクトリの変更のレプリケート アクセス許可を付与する
アカウントを Pre-Windows 2000 Compatible Access グループに追加する
cn=configuration コンテナーに対するディレクトリの変更のレプリケート アクセス許可を付与する
子オブジェクトの作成と書き込みのアクセス許可を付与する
ドメインに対するディレクトリの変更のレプリケート アクセス許可を付与する
ドメインに対するディレクトリの変更のレプリケート アクセス許可をアカウントに付与するには、次の手順を実行します。
ディレクトリの変更のレプリケート アクセス許可を与えると、同期アカウントはドメインで変更のあった AD DS オブジェクトを読み込んだり、探索したりできますが、ディレクトリの変更のレプリケート アクセス許可では、アカウントは AD DS オブジェクトを作成、変更、または削除することはできません。
ドメインに対するディレクトリの変更のレプリケート アクセス許可を付与するには
ドメイン コントローラーで [スタート] ボタン、[管理ツール]、[Active Directory ユーザーとコンピューター] の順にクリックします。
[Active Directory ユーザーとコンピューター] で、ドメインを右クリックして [制御の委任] をクリックします。
オブジェクト制御の委任ウィザードの最初のページで、[次へ] をクリックします。
[ユーザーまたはグループ] ページで、[追加] をクリックします。
同期アカウントの名前を入力し、[OK] をクリックします。
[次へ] をクリックします。
[委任するタスク] ページで、[委任するカスタム タスクを作成する] を選択し、[次へ] をクリックします。
[Active Directory オブジェクトの種類] ページで、[このフォルダー、このフォルダー内の既存のオブジェクト、およびこのフォルダー内の新しいオブジェクトの作成] を選択し、[次へ] をクリックします。
[アクセス許可] ページの [アクセス許可] ボックスで、[ディレクトリの変更のレプリケート] (Windows Server 2003 の場合は、[ディレクトリの変更のレプリケート]) を選択し、[次へ] をクリックします。
[完了] をクリックします。
アカウントを Pre-Windows 2000 Compatible Access グループに追加する
アカウントを Pre-Windows 2000 Compatible Access グループに追加するには、次の手順を実行します。
アカウントを Pre-Windows 2000 Compatible Access グループに追加するには
ドメイン コントローラーで [スタート] ボタン、[管理ツール]、[Active Directory ユーザーとコンピューター] の順にクリックします。
[Active Directory ユーザーとコンピューター] で、ドメインを展開し、[Builtin] を展開し、[Pre-Windows 2000 Compatible Access] を右クリックして [プロパティ] をクリックします。
[プロパティ] ダイアログ ボックスで、[メンバー] タブをクリックし、[追加] をクリックします。
同期アカウントの名前を入力し、[OK] をクリックします。
[OK] をクリックします。
cn=configuration コンテナーに対するディレクトリの変更のレプリケート アクセス許可を付与する
cn=configuration コンテナーに対するディレクトリの変更のレプリケート アクセス許可をアカウントに付与するには、次の手順を実行します。
cn=configuration コンテナーに対するディレクトリの変更のレプリケート アクセス許可を付与するには
ドメイン コントローラーで [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「adsiedit.msc」と入力して [OK] をクリックします。
[構成] ノードがない場合は、次の手順を実行します。
ナビゲーション ウィンドウで、[ADSI エディター] をクリックします。
[操作] メニューで、[接続先] をクリックします。
[接続の設定] ダイアログ ボックスの [接続ポイント] 領域で、[既知の名前付けコンテキストを選択する] をクリックし、ドロップダウン リストから [構成] を選択し、[OK] をクリックします。
[構成] ノードを展開し、[CN=Configuration...] ノードを右クリックして [プロパティ] をクリックします。
[プロパティ] ダイアログ ボックスで [セキュリティ] タブをクリックします。
[グループ名またはユーザー名] セクションで、[追加] をクリックします。
同期アカウントの名前を入力し、[OK] をクリックします。
[グループ名またはユーザー名] セクションで、同期アカウントを選択します。
[アクセス許可] セクションで、[ディレクトリの変更のレプリケート] (Windows Server 2003 の場合は、[ディレクトリの変更のレプリケート]) の横の [許可] チェック ボックスをオンにして、[OK] をクリックします。
子オブジェクトの作成と書き込みのアクセス許可を付与する
子オブジェクトの作成と書き込みのアクセス許可をアカウントに付与するには、次の手順を実行します。
子オブジェクトの作成と書き込みのアクセス許可を付与するには
ドメイン コントローラーで [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「adsiedit.msc」と入力して [OK] をクリックします。
[既定の名前付けコンテキスト] ノードがない場合は、次の手順を実行します。
ナビゲーション ウィンドウで、[ADSI エディター] をクリックします。
[操作] メニューで、[接続先] をクリックします。
[接続の設定] ダイアログ ボックスの [接続ポイント] 領域で、[既知の名前付けコンテキストを選択する] をクリックし、ドロップダウン リストから [既定の名前付けコンテキスト] を選択し、[OK] をクリックします。
[ADSI エディター] ウィンドウのナビゲーション ウィンドウで、ドメインを展開し、[DC=...] ノードを展開し、アクセス許可を付与する OU を右クリックして [プロパティ] をクリックします。
[プロパティ] ダイアログ ボックスの [セキュリティ] タブで、[詳細設定] をクリックします。
[セキュリティの詳細設定] ダイアログ ボックスで、[名前] 列の値が同期アカウントで、[継承元] 列の値が [<継承なし>] である行を選択し、[編集] をクリックします。行がない場合は、[追加]、[場所] の順にクリックし、[ディレクトリ全体] を選択して [OK] をクリックし、同期アカウントを入力して [OK] をクリックします。この操作によって該当する行が追加されるので、選択できるようになります。
注意
別の場所から継承されている同期アカウントの行は選択しないでください。選択した場合、OU のコンテンツではなく、OU に対してのみアクセス許可を適用できます。
[アクセス許可エントリ] ダイアログ ボックスで、[適用先] ボックスから [このオブジェクトとすべての子オブジェクト] (Windows Server 2003 の場合は、[このオブジェクトとすべての子オブジェクト]) を選択し、[すべてのプロパティの書き込み] と [すべての子オブジェクトの作成] プロパティの行の [許可] チェック ボックスをオンにして、[OK] をクリックします。
[OK] をクリックして、[セキュリティの詳細設定] ダイアログ ボックスを閉じます。
[OK] をクリックして、[プロパティ] ダイアログ ボックスを閉じます。
手順 3. ~ 8. を繰り返して、他の OU にアクセス許可を付与します。
See Also
Concepts
プロファイルの同期を計画する (SharePoint Server 2010)
プロファイルの同期を構成する (SharePoint Server 2010)