Microsoft Metadirectory Services ADMA サービス アカウントに "ディレクトリの変更のレプリケート" アクセス許可を付与する方法

  • [アーティクル]

この記事では、Microsoft Metadirectory Services ADMA サービス アカウントに対して "ディレクトリの変更のレプリケート" アクセス許可を付与する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 303972

概要

Active Directory 管理エージェント (ADMA) を使用して Active Directory 内のオブジェクトを検出する場合、Active Directory に接続するために指定されたアカウントには、ドメイン管理アクセス許可、ドメイン管理者グループに属している、またはこの管理エージェントがアクセスするフォレストのすべてのドメインに対するディレクトリ変更のレプリケートアクセス許可を明示的に付与する必要があります。 この記事では、ドメインに対するレプリケート ディレクトリの変更アクセス許可をユーザー アカウントに明示的に付与する方法について説明します。

注:

Windows Server 2003 では、このアクセス許可の名前が "ディレクトリ変更のレプリケート" に変更されました。

詳細

Windows Server 2003 のディレクトリ変更のレプリケートアクセス許可と呼ばれるレプリケート ディレクトリ変更アクセス許可は、各ドメインの名前付けコンテキストのAccess Control エントリ (ACE) です。 このアクセス許可は、Windows 2000 の ACL エディターまたは Adsiedit サポート ツールを使用して割り当てることができます。

ACL エディターを使用したアクセス許可の設定

  1. Active Directory ユーザーとコンピューター スナップインを開く
  2. [表示] メニューで、[拡張機能] をクリックします。
  3. "company.com" などのドメイン オブジェクトを右クリックし、[ プロパティ] をクリックします。
  4. [ セキュリティ ] タブで、目的のユーザー アカウントが一覧にない場合は、[ 追加] をクリックします。目的のユーザー アカウントが一覧表示されている場合は、手順 7 に進みます。
  5. [ ユーザー、コンピューター、またはグループの選択 ] ダイアログ ボックスで、目的のユーザー アカウントを選択し、[ 追加] をクリックします。
  6. [ OK] を クリックして、[ プロパティ ] ダイアログ ボックスに戻ります。
  7. 目的のユーザー アカウントをクリックします。
  8. 一覧から [ディレクトリの変更のレプリケート] チェック ボックスをクリックして選択します。
  9. [ダイヤル プラン (電話のコンテキスト)] ボックスで、[参照] をクリックして、ユーザーのダイヤル プランを見つけます。
  10. スナップインを閉じます。

Adsiedit を使用したアクセス許可の設定

警告

Adsiedit を誤って使用すると、オペレーティング システムを再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft は、Adsiedit の誤った使用に起因する問題を解決できることを保証することはできません。 Adsiedit は自己責任で使用してください。

  1. Windows 2000 サポート ツールがまだインストールされていない場合は、インストールします。
  2. ドメインの管理者として Adsiedit.msc を実行します。 [ドメインの名前付けコンテキスト (ドメイン NC)] ノードを展開します。 このノードには、"DC=" で始まり、正しいドメイン名を反映するオブジェクトが含まれています。 このオブジェクトを右クリックし、[ プロパティ] をクリックします。
  3. [セキュリティ] タブをクリックします。
  4. 目的のユーザー アカウントが一覧にない場合は、[ 追加] をクリックし、それ以外の場合は手順 8 に進みます。
  5. [ ユーザー、コンピューター、またはグループの選択 ] ダイアログ ボックスで、目的のユーザー アカウントを選択し、[ 追加] をクリックします。
  6. [ OK] を クリックして、[ プロパティ ] ダイアログ ボックスに戻ります。
  7. [ダイヤル プラン (電話のコンテキスト)] ボックスで、[参照] をクリックして、ユーザーのダイヤル プランを見つけます。
  8. 目的のユーザー アカウントを選択する
  9. [ディレクトリの変更のレプリケート] チェック ボックスをクリックして選択します。
  10. [ダイヤル プラン (電話のコンテキスト)] ボックスで、[参照] をクリックして、ユーザーのダイヤル プランを見つけます。
  11. スナップインを閉じます。

注:

どちらの方法でも、フォレスト内の各ドメインに対して [レプリケート ディレクトリの変更] アクセス許可を設定すると、Active Directory フォレスト内のドメイン内のオブジェクトを検出できます。 ただし、接続されたディレクトリの検出を有効にしても、他の操作を実行できることを意味するものではありません。

管理以外のアカウントを使用して Active Directory 内でオブジェクトを作成、変更、削除するには、必要に応じて追加のアクセス許可を追加する必要がある場合があります。 たとえば、Microsoft Metadirectory Services (MMS) で組織単位 (OU) またはコンテナーに新しいユーザー オブジェクトを作成するには、使用されているアカウントに[すべての子オブジェクトの作成] アクセス許可が明示的に付与されている必要があります。

同様に、オブジェクトを削除するには、すべての子オブジェクトの削除アクセス許可が必要です。

属性フローなどの他の操作には、問題のオブジェクトに割り当てられている特定のセキュリティ設定と、継承が要因であるかどうかに応じて制限が発生する可能性があります。