2.4.3 Active Directoryとの連携
Active Directoryと連携すると、Active Directoryで管理している機器をJP1/IT Desktop Management 2に登録したり、各機器の情報を取得したりできます。ユーザー名、電話番号、メールアドレスなどのJP1/IT Desktop Management 2では自動収集できない情報も取得できます。
また、「部署」と「設置場所」の情報をActive Directoryから取得することで、Active Directoryで管理している組織単位(OU)とJP1/IT Desktop Management 2で管理している機器と資産情報のグループ構成を同期できます。
取得できる機器情報
Active Directoryと連携すると、次の表に示すような機能が利用できます。
機能 |
説明 |
---|---|
機器の登録 |
Active Directoryで管理されているコンピュータを発見し、JP1/IT Desktop Management 2の管理対象として登録できます。また、システム情報をActive Directory上の情報で更新できます。 |
情報の取り込み |
機器情報とハードウェア資産情報の共通管理項目、およびハードウェア資産情報の追加管理項目の情報をActive Directoryで管理されている情報から取り込めます。項目の取得方法を「Active Directoryから取得」に設定する必要があります。 |
組織階層の取り込み |
Active Directoryで管理している組織単位(OU)の階層をJP1/IT Desktop Management 2のグループ構成に取り込めます。 |
Active Directoryから取得できる機器情報の種別を次の表に示します。
機器情報の種別 |
Active Directoryとの連携 |
||
---|---|---|---|
機器の登録 |
情報の取り込み |
||
機器種別 |
PC(Windows) |
○ |
○ |
サーバ(Windows) |
○ |
○ |
|
システム情報 |
コンピュータ情報 |
○ |
× |
OS情報 |
○ |
× |
|
ネットワーク情報 |
○ |
× |
|
共通管理項目 |
○ |
○ |
|
追加管理項目 |
○ |
○ |
(凡例)○:取得できる ×:取得できない
取得できる機器情報の詳細については、「(3) Active Directoryから取得できる機器情報」を参照してください。
機器情報の取得時刻
Active Directoryとの連携が設定されている場合、毎日23:00にActive Directoryの探索が実施されて、機器情報が取得されます。取得時刻や間隔を変更したい場合は、設定画面の[機器の探索]−[探索条件の設定]−[Active Directory の探索]画面で、探索スケジュールを設定してください。
- 〈この項の構成〉
(1) Active Directoryに登録されている機器の探索
Active DirectoryのドメインおよびルートOUで管理されているコンピュータを探索して、管理対象に登録できます。すでにActive Directoryを利用してコンピュータを管理している場合にお勧めします。
Active Directoryを利用した機器の探索の流れを次の図に示します。
機器情報の探索方法
Active Directoryに登録されている機器を探索する方法について次に示します。
- 即時実行
-
Active Directoryに接続して、機器を探索します。発見した機器からは、機器情報が取得されます。初期導入時やActive Directoryの情報の変更をすぐにJP1/IT Desktop Management 2に反映したいときは、この方法をお勧めします。設定画面の[機器の探索]−[探索条件の設定]−[Active Directoryの探索]画面で実行できます。
- ヒント
-
探索を途中で中止した場合は、すでに取得したコンピュータ情報およびグループ情報は、取り込んだ時点の状態になります。
- 定期実行
-
Active Directoryの探索の設定に従って、機器を定期的に探索します。発見した機器からは、機器情報が取得されます。探索スケジュールは、設定画面で[開始時刻]、[繰り返し単位](日、週、月)、[繰り返しの方法]を設定できます。デフォルトは、毎日23:00です。
- ヒント
-
サービスの停止やシステムのシャットダウンで探索が実行できなかったり、途中で中止されたりした場合は、次回のサービス起動時に実行されます。
探索が中止された場合は、次回のサービス起動時にすべてのコンピュータを対象に再度探索が実行されます。複数回探索が実行できなかった場合は、最新の1回分だけ探索が実行されます。
探索の実行状況を知りたい場合は、設定画面の[機器の探索]−[探索履歴の確認]を確認してください。なお、機器の探索で「完了通知」を設定しておくと、探索が完了次第、管理者にメールが通知されます。
管理対象の機器の削除
Active Directory上でコンピュータを削除しても、同期しません。Active Directoryから発見されたコンピュータを削除する場合、手動でJP1/IT Desktop Management 2から削除してください。
探索の競合
Active Directoryに登録されている機器を探索する場合、ほかの探索と競合することがあります。
- ほかのActive Directoryの探索と競合する場合
-
すでにActive Directoryの探索が実行されている場合は、あとから実行したActive Directoryの探索は中止されます。中止された探索は、次回のスケジュールの探索で実行されます。
- ネットワークの探索と競合する場合
-
すでにネットワークの探索が実行されている場合でも、Active Directoryの探索は実行されます。ネットワークの探索とActive Directoryの探索で同一の機器を発見した場合、管理共有、SNMPを使用した探索はネットワークの探索結果が優先され、ARP、ICMPを使用した探索はActive Directoryの探索結果が優先されます。
関連リンク
(2) Active Directoryを探索する場合の接続先の設定
Active Directoryを探索して機器を発見するためには、接続先となるActive Directoryのサーバおよび探索対象とするドメインのルートOUを設定する必要があります。
接続先は、複数設定できます。接続先の設定には、Active DirectoryのアドレスとルートOUの組み合わせを設定します。このため、接続先のActive Directoryサーバの台数や、探索対象とするルートOUの数に応じて、接続先を設定する必要があります。
Active Directoryを探索する場合の接続先の設定例を次に示します。
- 1台のActive Directoryサーバに接続して、複数のルートOUの機器を探索する場合
-
接続するActive Directoryは1台ですが、複数のルートOUを探索するので、接続先はルートOUの数だけ設定します。
- 複数台のActive Directoryサーバに接続して機器を探索する場合
-
探索対象のActive Directoryサーバが複数ある場合は、それぞれのActive Directoryサーバに対して接続先を設定します。
- 重要
-
Active Directoryを探索する場合、Active Directoryの設定画面で指定したルートOUに属するすべてのオブジェクト、およびオブジェクトが参照するすべてのオブジェクトに、Active Directoryの設定画面で指定したユーザーIDに対する読み取り権限を付与してください。読み取り権限が付与されていない場合、Active Directoryの探索で、機器の情報やグループの情報が正しく取得できない場合があります。
(3) Active Directoryから取得できる機器情報
Active Directoryから取得できる機器情報を次の表に示します。
システム情報
機器情報の項目 |
取得元 |
内容 |
||
---|---|---|---|---|
オブジェクト名(LDAP) |
属性名(LDAP) |
|||
機器種別 |
computer |
operatingSystem |
OSがクライアント系OSの場合は、「PC」が設定されます。また、OSがサーバ系OSの場合は、「サーバ」が設定されます。 |
|
コンピュータ情報 |
コンピュータ名 |
computer |
sAMAccountName |
コンピュータの「コンピュータ名」を取得します。 |
ホスト名 |
computer |
dNSHostName |
DNS名が設定されている場合は、 コンピュータの「DNS名」を取得します。 |
|
computer |
sAMAccountName |
DNS名が設定されていない場合は、コンピュータの「コンピュータ名」を取得します。 |
||
OS情報 |
OS |
computer |
operatingSystem |
OSの名称を取得します。 |
サービスパックまたはバージョン |
computer |
operatingSystemServicePack |
OSのサービスパックまたはバージョンの情報を取得します。 |
|
ネットワーク情報 |
IPアドレス |
− |
− |
DNSでホスト名称からIPアドレスを取得します。 |
MACアドレス |
− |
− |
ARPでIPアドレスからMACアドレスを取得します。 |
(凡例)−:Active Directoryから機器情報を取得できますが、取得元のActive Directoryでは表示されません。
また、ほかに次の表に示す情報も取得できます。
機器情報の項目 |
説明 |
---|---|
登録日時 |
機器情報の新規登録の場合は、発見した日時を取得します。 機器情報の更新の場合は、日時を更新しません。 |
更新日時 |
機器情報を更新した場合は、更新日時を取得します。 機器情報を更新しなかった場合は、日時を更新しません。 |
管理状態 |
[自動的に管理対象とする]のオプションがチェックされていて、製品ライセンスがある場合は、「管理」が設定されます。 [自動的に管理対象とする]のオプションがチェックされていて、製品ライセンスがない場合は、「発見」が設定されます。 [自動的に管理対象とする]のオプションがチェックされていない場合は、「発見」が設定されます。 |
管理種別 |
「エージェントレス管理(認証成功)」が設定されます。 |
接続設定 |
「不明」が設定されます。 |
機器状態 |
「不明」が設定されます。 |
管理形態 |
「エージェント未導入」が設定されます。 |
最終接続確認日時 |
Active Directoryと連携して、機器を発見したときの日時が設定されます。 |
共通管理項目
共通管理項目 |
取得元 |
内容 |
|
---|---|---|---|
オブジェクト名(LDAP) |
属性名(LDAP) |
||
部署 |
computer |
distinguishedName※1 |
対応する機器が所属している部署が取得されます。 |
設置場所 |
computer |
location |
対応する機器の設置場所が取得されます。 |
利用者名 |
ユーザーまたはInetOrgPerson※2 |
displayname |
対応する機器の利用者名が取得されます。 |
アカウント |
ユーザーまたはInetOrgPerson※2 |
userPrincipalName |
対応する機器の利用者のアカウント名が取得されます。 |
メールアドレス |
ユーザーまたはInetOrgPerson※2 |
|
対応する機器の利用者のメールアドレスが取得されます。 |
電話番号 |
ユーザーまたはInetOrgPerson※2 |
telephoneNumber |
対応する機器の利用者の電話番号が取得されます。 |
注※1 属性値の組織単位(OU)の値を変換して所属部署に登録します。例えば、属性値が「CN=PC001,OU=2U,OU=設計1G,OU=設計部,DC=domain,DC=local」の場合は、「設計部/設計1G/2U」を所属部署に登録します。
注※2 computerオブジェクトのmanagedBy属性に結び付いているユーザーまたはInetOrgPersonオブジェクトです。
追加管理項目
Active Directoryから取り込んだ情報と追加管理項目の対応づけの方法を次に示します。以降の表中では、凡例を次のとおり表記しています。
(凡例)○:テンプレートあり ×:テンプレートなし
- 項目指定
-
製品が提供するテンプレートを利用して、Active Directory上のオブジェクトの情報を指定する方法です。
(例)コンピュータのコンピュータ名
- ユーザー定義
-
Active Directory上で管理されているオブジェクト名およびLDAP属性名を、管理者が入力して指定する方法です。
取得できる追加管理項目は、文字列型のオブジェクトとして取得されます。
Active Directoryから情報を取得する際に指定できる対象と、取得対象となるオブジェクトの関係を次の表に示します。
指定できる取得対象 |
対象となるオブジェクト |
説明 |
---|---|---|
コンピュータ |
コンピュータ |
コンピュータ情報を管理するために使用します。 |
組織単位(OU) |
組織単位(OU) |
「コンピュータ」、「ユーザー」、およびほかの「組織単位」などが格納されます。部署・設置場所の情報として使用します。また、コンピュータが所属する組織単位(OU)の情報を取得するためにも使用します。 |
ユーザー |
ユーザー |
コンピュータの管理者情報を取得するために使用します。 |
InetOrgPerson※ |
ユーザー種別の一種です。コンピュータの管理者情報を取得するために使用します。 |
注※ Windows 2000で使用する場合、InetOrgPerson Kitを適用する必要があります。
「コンピュータ」のオブジェクトから取得できる情報を次の表に示します。
項目名 |
LDAP属性名 |
テンプレートの有無 |
---|---|---|
コンピュータ名 |
sAMAccountName |
○ |
DNS名 |
dNSHostName |
○ |
説明 |
description |
○ |
名前 |
operatingSystem |
× |
バージョン |
operatingSystemVersion |
× |
Service Pack |
operatingSystemServicePack |
× |
場所 |
location |
○ |
名前 |
managedBy |
○ |
事業所 |
−※ |
× |
国/地域 |
−※ |
× |
都道府県 |
−※ |
× |
市区町村 |
−※ |
× |
番地 |
−※ |
× |
電話番号 |
−※ |
× |
FAX番号 |
−※ |
× |
オブジェクトの正規名 |
distinguishedName |
× |
注※ 「名前」に指定した値と同じ「ユーザー」または「inetOrgPerson」の属性値情報を表示します。これらの情報を取得するためのLDAP属性名については、後述の「ユーザー」のオブジェクトから取得できる情報の表、または「InetOrgPerson」のオブジェクトから取得できる情報の表を参照してください。
「組織単位(OU)」のオブジェクトから取得できる情報を次の表に示します。
プロパティ名 |
LDAP属性名 |
テンプレートの有無 |
---|---|---|
国/地域 |
co |
○ |
郵便番号 |
postalCode |
× |
都道府県 |
st |
× |
市区町村 |
l |
× |
番地 |
street |
× |
説明 |
description |
× |
名前 |
managedBy |
○ |
グループ ポリシー オブジェクトのリンク |
gPLink |
× |
「ユーザー」のオブジェクトから取得できる情報を次の表に示します。
項目名 |
LDAP属性名 |
テンプレートの有無 |
---|---|---|
姓 |
sn |
○ |
名 |
givenName |
○ |
イニシャル |
initials |
○ |
表示名 |
displayName |
○ |
説明 |
description |
○ |
事業所 |
physicalDeliveryOfficeName |
○ |
電話番号 |
telephoneNumber |
○ |
電子メール |
|
○ |
Webページ |
wWWHomePage |
○ |
国/地域 |
co |
○ |
郵便番号 |
postalCode |
○ |
都道府県 |
st |
○ |
市区町村 |
l |
○ |
私書箱 |
postOfficeBox |
○ |
番地 |
streetAddress |
○ |
ユーザーログオン名 |
userPrincipalName |
○ |
ユーザーログオン名(Windows 2000以前) |
sAMAccountName |
× |
ログオン先 |
userWorkstations |
× |
ユーザープロファイル プロファイルパス |
profilePath |
× |
ユーザープロファイル ログオンスクリプト |
scriptPath |
× |
ホームフォルダ ローカルパス |
homeDirectory |
× |
ホームフォルダ 接続ドライブ |
homeDrive |
× |
電話番号 自宅 |
homePhone |
○ |
電話番号 ポケットベル |
pager |
○ |
電話番号 携帯電話 |
mobile |
○ |
電話番号 FAX |
facsimileTelephoneNumber |
○ |
電話番号 IP電話 |
ipPhone |
○ |
メモ |
info |
○ |
会社名 |
company |
○ |
部署 |
department |
○ |
役職 |
title |
○ |
上司 名前 |
manager |
○ |
直接報告者 |
directReports |
○ |
「InetOrgPerson」のオブジェクトから取得できる情報を次の表に示します。
項目名 |
LDAP属性名 |
テンプレートの有無 |
---|---|---|
姓 |
sn |
○ |
名 |
givenName |
○ |
イニシャル |
initials |
○ |
表示名 |
displayName |
○ |
説明 |
description |
○ |
事業所 |
physicalDeliveryOfficeName |
○ |
電話番号 |
telephoneNumber |
○ |
電子メール |
|
○ |
Webページ |
wWWHomePage |
○ |
国/地域 |
co |
○ |
郵便番号 |
postalCode |
○ |
都道府県 |
st |
○ |
市区町村 |
l |
○ |
私書箱 |
postOfficeBox |
○ |
番地 |
streetAddress |
○ |
ユーザーログオン名 |
userPrincipalName |
○ |
ユーザーログオン名(Windows 2000以前) |
sAMAccountName |
× |
ログオン先 |
userWorkstations |
× |
ユーザープロファイル プロファイルパス |
profilePath |
× |
ユーザープロファイル ログオンスクリプト |
scriptPath |
× |
ホームフォルダ ローカルパス |
homeDirectory |
× |
ホームフォルダ 接続ドライブ |
homeDrive |
× |
電話番号 自宅 |
homePhone |
○ |
電話番号 ポケットベル |
pager |
○ |
電話番号 携帯電話 |
mobile |
○ |
電話番号 FAX |
facsimileTelephoneNumber |
○ |
電話番号 IP電話 |
ipPhone |
○ |
メモ |
info |
○ |
会社名 |
company |
○ |
部署 |
department |
○ |
役職 |
title |
○ |
上司 名前 |
manager |
○ |
直接報告者 |
directReports |
○ |
- 重要
-
これらの表に記載していない項目も属性を指定すれば取得できますが、動作は保証されません。
機器情報の詳細については、次を参照してください。
(4) Active Directoryからの部署のグループ構成の取り込み
Active Directoryの組織単位(OU)を取り込むことで、JP1/IT Desktop Management 2の部署のグループ構成と同期できます。Active Directoryで管理している部署のグループ構成をメンテナンスすることで、管理対象の機器の構成を一元で管理できます。
Active Directoryからの組織単位(OU)の取り込みは、機器の探索と同じ契機で行われます。
Active Directoryで、取り込みたい組織単位(ルートOU)を指定すると、配下の組織単位(OU)のグループ構成が、部署のグループの直下に自動的に作成されます。Active Directoryから部署のグループ構成を取り込む場合は、設定画面の[他システムとの接続]−[Active Directory の設定]画面で[Active Directory の組織の情報を取得して、部署の情報に反映する]をチェックしてください。チェックすると、Active Directoryの探索を行ったときに、部署のグループ構成も取り込めます。なお、Active Directoryの探索方法については、「(1) Active Directoryに登録されている機器の探索」を参照してください。
Active Directoryの組織単位(OU)とJP1/IT Desktop Management 2の部署のグループ構成の取り込み規則を次の表に示します。
Active Directoryの組織単位(OU) |
JP1/IT Desktop Management 2の部署のグループ構成 |
|
---|---|---|
存在する |
存在しない |
|
存在する |
名称が異なる場合はグループ名を更新する。 |
グループを追加する。 |
存在しない |
グループを削除する。 |
何もしない。 |
なお、JP1/IT Desktop Management 2の部署のグループ構成を変更しても、Active Directoryの組織単位(OU)は変更されません。
- 重要
-
組織単位(OU)の取り込みを行っている場合は、Active Directoryと同期している部署のグループ構成を、手動で追加、変更、および削除しないでください。手動で編集した場合は、次回の組織単位(OU)の取り込みで情報が上書きされます。
Active Directoryと同期しているグループに管理対象の機器が関連づけられている場合は、Active Directoryの組織単位(OU)にあわせて、所属するグループが変更されます。今まで所属していたグループが削除された場合は、対象の機器は「不明」のグループに所属されます。
- ヒント
-
取り込み先の「ドメイン名」に、上位のドメインとその下位のドメインを同時に指定した場合は、下位のドメインを含めて、上位のドメインの組織単位(OU)が取り込まれます。
(5) Active Directory連携時の注意事項
Active Directoryと連携する場合の注意事項を次に示します。
-
情報の取得先に指定した組織単位(OU)にコンピュータが含まれていない場合、情報は取得できません。
-
Active Directoryにコンピュータが登録されていても、そのコンピュータがJP1/IT Desktop Management 2の管理対象になっていない場合は、機器情報は取得されません。
-
Active Directoryから取得できる情報は文字列型の情報だけになります。
-
Active Directory上の組織単位(OU)の名称に、一部の半角記号およびタブ文字は使用できません。※
注※ 「!」、「"」、「%」、「'」、「*」、「/」、「:」(コロン)、「<」、「>」、「?」、「@」、「\」、「|」、「+」、「=」、「,」(コンマ)、「;」(セミコロン)は使用しないでください。これらの文字をActive Directoryの組織単位(OU)の名称に使用している場合は、連携機能が正しく動作しないおそれがあります。