Active Directory からのセキュリティグループのインポート - Security Center 5.8

Security Center 管理者ガイド 5.8

series
Security Center 5.8
revised_modified
2019-09-17

一元化されたスタッフ管理システムを実現するために、AD セキュリティグループをユーザーグループまたはカード所有者グラフとして Security Center にインポートできます。

始める前に

グローバルカタログからユニバーサルグループをインポートする場合、「ユニバーサルグループとグローバルカタログについて」をお読みください。

このタスクについて

  • AD セキュリティグループをインポートする際、そのグループのサブグループを含むすべてのメンバーをインポートする必要があります。そのメンバーのサブセットのみをインポートする場合 (たとえば Security Center ユーザーのみなど)、インポートするメンバーのみを含む、新しい AD セキュリティグループを定義する必要があります。
  • 複数の AD を Security Center に統合する場合、それぞれが異なるドメインに属する必要があります。
  • システムに以前のバージョンの Security Center を実行しているサーバーがある場合、それらを使用して新しい Active Directory ロールをホストする前に、最新バージョンにアップグレードする必要があります。
  • AD セキュリティグループは、ユーザーグループまたはカード所有者グループのどちらかまたは両方としてインポートできます。

手順

  1. [システム] タスクを開き、[ロール] ビューをクリックします。
  2. [エンティティの追加] () をクリックし、[Active Directory] を選択します。
  3. [具体的な情報] ページで、次の操作を実行します。
    1. (システム内に複数のサーバーがある場合) [サーバー] ドロップダウンリストから、ロールがホストされるサーバーを選択します。
    2. [Active Directory] フィールドに、AD サーバーの AD 完全修飾ドメイン名 (FQDN)、ホスト名、または IP アドレスを入力します。
      デフォルトのポートを使用していない場合、使用しているポート番号を、AD サーバー名の後にコロンで区切って追加する必要があります。たとえば、ADServer.Genetec.com:123 のようにします。デフォルトのポートは次のとおりです。
      • Active Directory (SSL なし): 389
      • Active Directory (SSL あり): 636
      • グローバルカタログ (SSL なし): 3268
      • グローバルカタログ (SSL あり): 3269
    3. ロールが AD サーバーに接続する方法を指定します。
      選択した AD サービスへの読み取りアクセス権限が必要です。
      • Active Directory ロールをホストしているサーバー上で実行中の Genetec™ Server サービスに割り当てられた Windows 認証情報を使用します。
      • 異なるセットの Windows 認証情報 (ユーザー名、パスワード) を指定します。
  4. [基本情報] ページで、Active Directory ロールの名前、説明、作成先パーティションを入力します。
  5. [次へ]、[作成]、[閉じる] の順にクリックします。
    新しい Active Directory ロール () が作成されます。このロールが AD サーバーに接続するまでしばらく待ちます。
  6. (オプション) グローバルカタログに接続するユニバーサルグループをインポートする場合、[グローバルカタログを使用] オプションをオンにします。
  7. [プロパティ] タブで、インポートする AD セキュリティグループを選択します。
    注: Windows Active Directory には、配布グループセキュリティグループという 2 種類のグループがあります。Security Center が同期できるのはセキュリティグループのみです。
    1. [アイテムの追加] () をクリックします。
    2. Active Directory ロールに追加するセキュリティグループを選択します。
      次のいずれかの方法を使用します。
      • (推奨) [Active Directory グループの検索] にグループの名前を入力し、[] をクリックします。

        入力したテキストが単一のグループに一致する場合、自動的に [選択済みグループ] リストに追加されます。

        入力したテキストが複数のグループ名に一致する場合、2 番目のダイアログボックスが開き、入力したテキストに一致するすべてのグループ名が表示されます。

        必要なグループを選択し、[OK] をクリックして、[選択済みグループ] リストに追加します。

      • [選択済みグループ] リストから、[] をクリックします。

        [Active Directory メンバー] ダイアログボックスが表示されます。

        セキュリティグループを選択し、[OK] をクリックします。セキュリティグループのみを同期できます。セキュリティグループではないアイテムを選択した場合、[OK] ボタンは無効なままです。

      注: ダイアログボックスに表示される名前は表示名です。Security Center はアカウント名のみを同期できます。これは一意であることが保証されているからです。通常、表示名とアカウント名は同じです。区別するただ 1 つの方法は、表示名にスペースが含まれていることです。
    3. AD と同期するすべてのセキュリティグループが [選択済みグループ] に表示されるまで、必要な数だけ前述のステップを繰り返し、[OK] をクリックします。
      選択されたグループは、[プロパティ] タブの [同期済みグループ] の下に表示されます。
  8. 同期済みの各グループに対して、インポート方法を指定します。
    次のオプションを使用できます。
    ユーザーグループ
    このオプションを選択して、同期済みグループをユーザーグループとして、また、グループメンバーをユーザーとしてインポートします。
    最初のログオンでユーザーを作成
    これはデフォルトのオプションで、空のユーザーグループを作成します。ユーザーエンティティは、誰かが初めてログオンしようとしたときに作成されます。このオプションにより、すべてのユーザーエンティティを同時に作成する必要がなくなり、システムフリーズの可能性を回避できます。
    このオプションをクリアすると、すべてのユーザーエンティティがユーザーグループとして同時に作成されます。
    カード所有者グループ
    このオプションを選択して、同期済みグループをカード所有者グループとして、また、グループメンバーをカード所有者としてインポートします。すべての同期済みカード所有者が同時に作成されます。
    認証情報をインポート
    このオプションを選択して、同期済みカード所有者の認証情報をインポートします。
  9. AD セキュリティグループをカード所有者グループとしてインポートする場合、AD と同期するカード所有者フィールドを選択します。
  10. (オプション) AD と同期するカスタムフィールドをマップします。
  11. [適用] をクリックし、[今すぐ同期] () をクリックします。

タスクの結果

すべての同期済みグループとそれらのメンバーが指定通りに Security Center エンティティとしてインポートされ、アイコンの上に黄色の矢印 () が重なって表示されます。

次のタスク

次に示すように、AD との同期内容に応じて、追加の構成が必要になる場合があります。

スケジュール済みタスクを作成すると、[プロパティ] タブから、[このロールを同期するためのスケジュール済みタスクがありません] という警告メッセージが消えます。