Windows Server 2003 R2 で DFS レプリケーションを委任する

  • [アーティクル]

この記事では、各レプリケーション グループの構成オブジェクトに対するアクセス許可を直接変更する方法について説明します。

適用対象: Windows Server 2003 R2
元の KB 番号: 911604

概要

分散ファイル システム (DFS) レプリケーションでは、Active Directory ディレクトリ サービスを使用して構成オブジェクトを格納します。 Active Directory を使用する場合は、ユーザー権限をより正確に委任できます。 DFS 管理機能は、高度な委任のサポートを提供します。 このサポートを使用すると、ユーザーにレプリケーション グループを作成する権限を付与できます。 このサポートにより、既に作成されているレプリケーション グループに対する管理者権限をユーザーに付与することもできます。

構成オブジェクト

各オブジェクトを詳細に表示する前に、すべてのオブジェクトの概要を確認すると便利です。 このセクションでは、DFS レプリケーションの構成に使用されるオブジェクトについて説明します。 これらのオブジェクトに対するアクセス許可によって、レプリケーション グループに対して特定の操作を実行できるユーザーが決まります。

グローバル オブジェクト

グローバル オブジェクトは、レプリカ セット全体を構成します。 たとえば、グローバル オブジェクトは、レプリケートされたフォルダーの数を構成します。 グローバル オブジェクトは、レプリケーション グループの各メンバー間の接続も構成します。

msDFSR-GlobalSettings

このオブジェクトは、次の時刻に作成されます。

  • ドメイン内の最初のレプリケーション グループが作成されたとき
  • ユーザーがドメインにレプリケーション グループを作成する権限を初めて委任された場合

このオブジェクトは、システム コンテナーに作成されます。 既定では、ドメイン管理者のみがこのオブジェクトを作成できます。

このオブジェクトに対する唯一のセキュリティ変更は、このコンテナー内に msDFSR-ReplicationGroup 子オブジェクトを作成する権限をユーザーに付与することです。 このタスクに DFS 管理を使用するには、[レプリケーション] ノードで [管理アクセス許可の委任] アクションを実行します。

msDFSR-ReplicationGroup

このオブジェクトには、1 つのレプリケーション グループに固有のすべてのグローバル設定が含まれています。 DFS Management でこのコンテナーのアクセス許可を変更するには、レプリケーション グループに対して [管理アクセス許可の委任] アクションを実行します。 レプリケーション グループに対してユーザー管理権限を付与できます。 また、msDFSR-ReplicationGroup オブジェクトと、レプリケーション グループのすべての子オブジェクトのユーザー 制御を付与することもできます。 このオブジェクトには、次の属性が格納されます。

  1. 説明
    レプリケーション グループの説明。
  2. msDFSR-Topology
    既定のスケジュール。

msDFSR-Content

このオブジェクトは、レプリケーション グループの作成時に msDFSR-ReplicationGroup オブジェクトの下に作成されます。 msDFSR-Content オブジェクトには、レプリケーション グループ内のレプリケートされた各フォルダーの msDFSR-ContentSet オブジェクトが含まれています。

注:

このオブジェクトには重要な属性は格納されません。

msDFSR-ContentSet

レプリケーション グループ内のレプリケートされた各フォルダーに対して msDFSR-ContentSet オブジェクトが作成されます。 このオブジェクトには、次の属性が格納されます。

  • 説明
    レプリケートされたフォルダーの説明。
  • msDFSR-FileFilter
    ファイルのファイル フィルターはレプリケーションから除外されます。
  • msDFSR-DirectoryFilter
    フォルダーのディレクトリ フィルターはレプリケーションから除外されます。
  • msDFSR-DfsPath
    レプリケートされたフォルダーが DFS 名前空間に発行されたときの DFS フォルダーのパス。

msDFSR-Topology

このオブジェクトは、レプリケーション グループの作成時に msDFSR-ReplicationGroup オブジェクトの下に作成されます。 msDFSR-Topology オブジェクトには、レプリケーション グループの各メンバーの msDFSR-Member オブジェクトが含まれています。

注:

このオブジェクトには重要な属性は格納されません。

msDFSR-Member

レプリケーション グループのメンバーごとに msDFSR-Member オブジェクトが作成されます。 このオブジェクトは、メンバーのコンピューター オブジェクトを参照します。 このオブジェクトには、このメンバーが接続の受信メンバーである接続ごとに msDFSR-Connection オブジェクトが含まれています。 このオブジェクトには、次の属性が格納されます。

  • msDFSR-ComputerReference
    メンバーのコンピューター オブジェクトへの参照。

msDFSR-Connection

msDFSR-Connection は、そのメンバーへの受信レプリケーション接続ごとに msDFSR-Member オブジェクトの子として作成されます。 このオブジェクトには、次の属性が格納されます。

  • msDFSR-Enabled
    接続の有効な状態。
  • msDFSR-Schedule
    接続のカスタム スケジュール。
  • msDFSR-Keywords
    接続のキーワード。
  • msDFSR-RdcEnabled
    rRemote 差分圧縮の有効な状態。

サーバー ローカル オブジェクト

サーバー ローカル オブジェクトは、レプリケーションに参加する各サーバーのコンピューター アカウントに存在します。 これらのオブジェクトは、レプリケーション グループの個々のメンバーを構成します。

msDFSR-LocalSettings

このオブジェクトは、コンピューター アカウント上の DFS レプリケーション オブジェクトの最上位のコンテナーです。

msDFSR-Subscriber

msDFSR-Subscriber オブジェクトは、サーバーが属するレプリケーション グループごとに作成されます。 このオブジェクトには、msDFSR-Subscriber オブジェクトによって指定されたレプリケーション グループ内のレプリケートされた各フォルダーの msDFSR-Subscription オブジェクトが含まれています。 このオブジェクトには、次の属性が格納されます。

  • msDFSR-MemberReference
    msDFSR-Member オブジェクトへの参照。

msDFSR-Subscription

msDFSR-Subscription オブジェクトには、サーバー上のレプリケートされた各フォルダーに固有の設定が含まれています。 このオブジェクトには、次の属性が格納されます。

  • msDFSR-RootPath
    レプリケートされたフォルダーのローカル パス。
  • msDFSR-StagingPath
    レプリケートされたフォルダーのステージング パス。
  • msDFSR-StagingSizeInMb
    ステージング フォルダーのサイズ。
  • msDFSR-ConflictSizeInMb
    競合フォルダーのサイズ。
  • msDFSR-Enabled
    サブスクリプションの有効な状態。
  • msDFSR-Flags
    削除されたファイルを競合フォルダーに移動するかどうかを制御するフラグ。

詳細な委任

  • レプリケーション グループを作成するためのアクセス許可を付与する

    このアクションは、DFS 管理で使用できる 2 つの委任アクションのいずれかです。 Active Directory ユーザーとコンピューターでこのアクションを手動で実行するには、次の手順に従います。

    1. Active Directory ユーザーとコンピューターを起動します。
    2. [Domain\System\DFSR-GlobalSettings] ノードを右クリックし、[ プロパティ] をクリックします。
    3. [ セキュリティ ] タブをクリックし、[ 詳細設定] をクリックします。
    4. 目的のユーザーまたはグループに [すべての子オブジェクトの作成] アクセス許可を付与し、[適用先] 領域でのみ [このオブジェクト] を選択します。

  • レプリケーション グループに管理者権限を委任する

    これは、DFS Management で使用できる他の委任アクションです。 Active Directory ユーザーとコンピューターでこのアクションを手動で実行するには、次の手順に従います。

    1. Active Directory ユーザーとコンピューターを起動します。
    2. [Domain\System\DFSR-GlobalSettings] ノードを右クリックし、[ プロパティ] をクリックします。
    3. [ セキュリティ ] タブをクリックし、[ 詳細設定] をクリックします。
    4. 目的のユーザーまたはグループにフル コントロール権限を付与し、[このオブジェクト] と [適用先] 領域のすべての子オブジェクトを選択します。
    5. 各メンバーのローカル管理者グループにユーザーまたはグループを追加します。

  • ローカル管理者なしでローカル システム設定を管理する

    通常、ローカル コンピューターの設定を管理するには、ユーザーが管理者である必要があります。 管理者ではないユーザーがローカル コンピューターの設定を管理できるようにするには、Active Directory で必要なオブジェクトの直接制御をユーザーに付与します。 これを行うには、次の手順を実行します。

    1. Active Directory ユーザーとコンピューターを起動します。

    2. コンピューター ノードを右クリックし、[ プロパティ] をクリックします。

      既定では、コンピューター ノードのパスは次のいずれかです。

      • メンバー サーバー
        Domain\Computer\ComputerName\DFSR-LocalSettings
      • ドメイン コントローラー
        Domain\Domain Controllers\ComputerName\DFSR-LocalSettings

    3. [ セキュリティ ] タブをクリックし、[ 詳細設定] をクリックします。

    4. 目的のユーザーまたはグループにフル コントロールのアクセス許可を付与し、クリックして [このオブジェクト] と [適用先] 領域のすべての子オブジェクトを選択します。

  • すべてのレプリケーション グループの制御

    ドメイン内のすべての既存および将来のレプリケーション グループのユーザー制御を付与するには、次の手順に従います。

    1. Active Directory ユーザーとコンピューターを起動します。
    2. [Domain\System\DFSR-GlobalSettings] ノードを右クリックし、[ プロパティ] をクリックします。
    3. [ セキュリティ ] タブをクリックし、[ 詳細設定] をクリックします。
    4. 目的のユーザーまたはグループにフル コントロールのアクセス許可を付与し、クリックして [このオブジェクト] と [適用先] 領域のすべての子オブジェクトを選択します。
    5. 各メンバーのローカル管理者グループにユーザーまたはグループを追加します。 または、レプリケーション グループ内の各サーバーのコンピューター オブジェクトに対して フル コントロール アクセス許可を付与します。

  • レプリケートされたフォルダーの追加/削除/変更

    レプリケートされたフォルダーを変更、追加、または削除する権限のみをユーザーに付与するには、次の手順に従います。

    1. Active Directory ユーザーとコンピューターを起動します。
    2. [Domain\System\DFSR-GlobalSettings\ReplicationGroup\Content] ノードを右クリックし、[ プロパティ] をクリックします。
    3. [ セキュリティ ] タブをクリックし、[ 詳細設定] をクリックします。
    4. 目的のユーザーまたはグループにフル コントロール権限を付与し、[このオブジェクト] と [適用先] 領域のすべての子オブジェクトを選択します。
    5. 各メンバーのローカル管理者グループにユーザーまたはグループを追加します。 または、レプリケーション グループ内の各サーバーのコンピューター オブジェクトに対して フル コントロール アクセス許可を付与します。

  • メンバーと接続の追加/削除/変更

    メンバーと接続を変更、追加、または削除する権限のみをユーザーに付与するには、次の手順に従います。

    1. Active Directory ユーザーとコンピューターを起動します。
    2. [Domain\System\DFSR-GlobalSettings\ReplicationGroup\Topology] ノードを右クリックし、[ プロパティ] をクリックします。
    3. [ セキュリティ ] タブをクリックし、[ 詳細設定] をクリックします。
    4. 目的のユーザーまたはグループにフル コントロール権限を付与し、[このオブジェクト] と [適用先] 領域のすべての子オブジェクトを選択します。
    5. 各メンバーのローカル管理者グループにユーザーまたはグループを追加します。 または、レプリケーション グループ内の各サーバーのコンピューター オブジェクトに対して フル コントロール アクセス許可を付与します。

  • レプリケーション グループに関するレポートを生成する

    診断レポートを生成するには、ユーザーがレポートの一部であるサーバーのローカル管理者である必要があります。