JP1/Base 運用ガイド
ユーザーマッピングは,JP1ユーザーとOSユーザーを対応づける機能です。Windowsの場合,ユーザーマッピングを設定する前に,ユーザーマッピングを設定するOSユーザー,およびユーザーマッピングされるOSユーザーそれぞれにWindows特有のユーザー権利を与える必要があります。
ユーザー権利は,OSの機能を使ってOSユーザーに与えます。なお,Active Directoryを使ったドメイン環境で運用している場合は,ドメインコントローラーのあるホストとドメイン内のホストで設定手順が異なります。OSユーザーに必要な権利と,Active Directory環境でOSユーザーにユーザー権利を与える方法について説明します。
- <この項の構成>
- (1) ユーザーマッピングを設定するOSユーザーに必要なユーザー権利
- (2) ユーザーマッピングされるOSユーザーに必要なユーザー権利
- (3) Active Directory環境でOSユーザーにユーザー権利を与える方法
(1) ユーザーマッピングを設定するOSユーザーに必要なユーザー権利
ユーザーマッピングを設定するOSユーザーとは,次に示す設定をするユーザーを指しています。
- 環境設定GUIの[ユーザーマッピング]タブでユーザーマッピングを設定するユーザー
- jbsmkpassコマンドを実行するユーザー
- jbsmkumapコマンドを実行するユーザー
- jbspassmgrコマンドを実行するユーザー
- jbssetumapコマンドを実行するユーザー
- jbsumappassコマンドを実行するユーザー
通常,上記の設定をするOSユーザーには,「オペレーティングシステムの一部として機能」というユーザー権利を与える必要があります。ただし,このマニュアルで対象製品としているWindowsの場合は,このユーザー権利を与える必要はありません。そのままユーザーマッピングの設定ができます。
- 注意事項
- ユーザーマッピングを設定するOSユーザーに「オペレーティングシステムの一部として機能」のユーザー権利を与えた場合,いったんログオフしてください。ログオフしないと,権利の変更が反映されず,ユーザーマッピングの設定が正しくできないおそれがあります。
- [ユーザーマッピング]タブの[OSユーザー設定時にWindowsに対してログオンチェックを行わない]をチェックすると,ユーザー権利を与えなくてもユーザーマッピングができるようになります。ただし,次に示すOSユーザーのマッピングにも成功するので,注意が必要です。実際にジョブやリモートコマンドを実行するときに権限エラーとなってしまいます。
・システム(Windows)に登録されていないOSユーザー
・パスワードが誤っているOSユーザー
・「ローカル ログオン」のユーザー権利がないOSユーザー
(2) ユーザーマッピングされるOSユーザーに必要なユーザー権利
ユーザーマッピングされるOSユーザーに必要なユーザー権利を次に示します。
- JP1/IM - Managerでリモートコマンドや自動アクションを実行する場合
- 「ローカル ログオン」
- 「サービスとしてログオン」
- JP1/AJS2でジョブを実行する場合
- 「ローカル ログオン」
ユーザー権利は,ローカルホストごとに[管理ツール]の[ローカル セキュリティ ポリシー]を使って与えてください。[管理ツール]はコントロールパネル上にあります。
(3) Active Directory環境でOSユーザーにユーザー権利を与える方法
Active Directory環境でOSユーザーにユーザー権利を与える方法について説明します。従来の環境では,ローカルホスト上でユーザー権利を設定するだけでしたが,Active Directory環境では,ドメインコントローラーのあるホストとドメイン内のローカルホストとで設定手順が異なります。以降で,それぞれの設定手順を示します。
- Active Directory環境では「ローカル ログオン」の権利は,デフォルトですべてのOSユーザーに与えられています。デフォルトのまま使用している場合は,改めて「ローカル ログオン」のユーザー権利を設定しないでください。
- 次に示す設定手順は,一つのドメインコントローラホストの直下に複数台のローカルホストを構成している場合の設定手順です。サイトや組織単位(OU)などを構成したり,ポリシーの継承を途中でやめるなど,複雑な設定をしている場合は,この設定手順でユーザー権利を与えられないことがあります。詳しくはActive Directoryの管理者に問い合わせてください。
- ドメインコントローラホストでユーザー権利を設定する手順
- ドメインコントローラホストでユーザー権利を設定する手順を次に示します。
- ドメインコントローラホストの[ドメインコントローラセキュリティポリシー]ダイアログボックスで,与えたい権利を選択し,ドメインユーザーを追加する。
- コマンドを使って,セキュリティポリシーの更新を反映させる。
次に示すコマンドを実行してください。
gpupdate /target:user
gpupdate /target:computer
反映されたかどうかは,イベント ビューアで確認できます。
- ドメインコントローラホストの[ローカルセキュリティポリシー]ダイアログボックスで[有効なポリシーの設定]がチェックされていることを確認する。
ポリシーの設定は,ローカルポリシー,サイトのグループポリシー,ドメインのグループポリシー,組織単位(OU)のグループポリシーの順に継承,上書きされていきます。また,継承を途中でやめるように設定することもできます。上位でユーザー権利を与えても有効にならない場合や,途中でユーザー権利を与えても最終的に無効になる場合があります。このため,必ず[有効なポリシーの設定]がチェックされていることを確認してください。
- ドメイン内のローカルホストでユーザー権利を設定する手順
- ドメイン内のローカルホストでユーザー権利を設定する手順を次に示します。
- ドメインコントローラホストの[ドメイン セキュリティ ポリシー]ダイアログボックスで,与えたいユーザー権利を選択し,ドメインユーザーやドメイングループを追加する。
ローカルホストのローカルユーザーに関しては追加できません。
- ローカルホストの[ローカル セキュリティ ポリシー]ダイアログボックスで,与えたいユーザー権利を選択し,ドメインユーザーやドメイングループを追加する(この手順は省略できます)。
- ドメインコントローラホストで,コマンドを使ってポリシーの更新を反映させる。
次に示すコマンドを実行してください。
gpupdate /target:user
gpupdate /target:computer
反映されたかどうかは,イベント ビューアで確認できます。
念のためローカルホスト上でもコマンドを実行してください。
- ローカルホストの[ローカル セキュリティ ポリシー]ダイアログボックスで[有効なポリシーの設定]がチェックされていることを確認する。
ポリシーの設定は,ローカルポリシー,サイトのグループポリシー,ドメインのグループポリシー,組織単位(OU)のグループポリシーの順に継承,上書きされていきます。また,継承を途中でやめるように設定することもできます。上位でユーザー権利を与えても有効にならない場合や,途中でユーザー権利を与えても最終的に無効になる場合があります。このため,必ず[有効なポリシーの設定]がチェックされていることを確認してください。
なお,[ローカル セキュリティ ポリシー]ダイアログボックスで[有効なポリシーの設定]がチェックされていても,実際には権限が与えられていない場合があります。DNSの設定やIPアドレスに間違いがあった場合に,このような現象が発生することがあります。詳細についてはOSのヘルプやOS関連ドキュメントなどを参照してください。
All Rights Reserved. Copyright (C) 2006, 2008, Hitachi, Ltd.