Assign-HDEOnePasswrdSyncGroup.bat の実行

対象

Windows Server Active Directory より、HENNGE Access Control へユーザー、及びパスワード同期を行うお客様が対象です。

Windows Server 2016 のみの構成で、且つ同期対象 OU が 1 つのみの場合、本作業は不要です。

目的

Assign-HDEOnePasswrdSyncGroup.bat を Active Directory に対して実行する目的は2つあります。

1. 同期対象ユーザーをセキュリィグループ [ HDE One Password Sync Group ] にまとめる。

2. Windows Server 2008R2・2012・2012R2 の場合、
パスワード再設定時に  [ UnixUserPassword ] 属性にハッシュ化されたパスワードが入る機能の有効化。 (注意事項 1)

注意事項

1. HENNGE Access Control へは [ UnixUserPassword ] 属性を同期することにより、パスワード同期を可能にします。
なお、Windows Server 2016 では [ Unix 用 ID 管理役割サービス ([ Unix 用 Microsoft ID 管理コンポーネント ]) が
Microsoft 社より提供停止となったため、別途弊社独自実装の dll を Windows Server Active Directory 全台にインストール頂く必要があります。

ドメイン コントローラー全台への HDEPasswordFilter.dll インストール

2.  [ Domain Admins ] もしくは [ Enterprise Admins ] 権限を持つユーザーで実行してください。

3. 本記事は 2019 年 3 月時点で製品の内容をもとにしたものであり、以後のアップデートにより、予告なく変更される場合があります。

詳細手順・説明

同期対象のユーザー条件など、HENNGE 導入ガイドとの打ち合わせ後、お客様専用の Assign-HDEOnePasswrdSyncGroup.bat を提供します。
その上で次の手順をご実施頂き、同期対象ユーザーを セキュリティ グループ [ HDE One Password Sync Group ] への割り当てを行います。

事前確認事項

1. Windows Server 2008R2・2012・2012R2 の場合、 [ Unix 用 ID 管理役割サービス ([ Unix 用 Microsoft ID 管理コンポーネント ]) を追加します。

2. バッチファイルと同時に提供致します [ HDEOneDirectorySyncTool ] フォルダー内の [ HDEOne ] フォルダーを 
HENNGE Directory Sync Tool をインストールする端末、もしくはいずれかのドメイン コントローラー端末へコピーします。

初回実行

1. PowerShellを管理者として起動

2. 以下コマンドの実行

> cd <[HDEOne] フォルダーのパス>
> .\Assign-HDEOnePasswrdSyncGroup.bat

例 : 

> cd C:\work\HDEOne
> .\Assign-HDEOnePasswrdSyncGroup.bat

3. [ HDEOne ] フォルダーの [ logs ] フォルダーに出力された実行ログの確認

・log_assign_group.yyyy-mm-dd-hhmmss.xxxx.main.txt
・log_assign_group.yyyy-mm-dd-hhmmss.xxxx.sub.txt

[ ERROR OCCURED ] や [ command fail ] が表示されていないことを確認します。

定期実行設定

Active Directory にユーザーを追加する際、その都度 Assign-HDEOnePasswrdSyncGroup.bat の実行が必要です。

手順の実施漏れを防ぐため、Windowsタスクスケジューラーに Assign-HDEOnePasswrdSyncGroup.bat の定期実行登録の実施をおすすめします。

なお、こちらの手順は該当のドメインにおいて [ Domain Admins ] もしくは [ Enterprise Admins ] 権限を持つユーザーで実行します。

1. [ HDEOne ] フォルダーをコピーした端末にログインします。

2. [ スタート ] → [ Windows 管理ツール ] → [ タスク スケジューラ ] を開きます。

3. [ タスクの作成 ] をクリックします。

4. [ 全般 ] タブで以下のように項目を入力します。

・ [ 名前 ] : 任意のタスク名
・ [ タスクの実行時に使うユーザー アカウント ] : 管理者権限を持つユーザー
・ [ ユーザーがログオンしているかどうかにかかわらず実行する ] : チェックを入れる
・ [ 最上位の特権で実行する ] : チェックを入れる

5. [ トリガー ] タブで [ 新規 ] をクリックします。

6. 以下のように項目を入力し、[ OK ] をクリックします。

・ [ タスク実行の設定 ] : 毎日
・ [ タスクの開始日時 ] : この設定の実施日 0:00:00
・ [ タスク実行の間隔 ] : 1 日
・ [ タスクの繰り返し間隔 ] : 1 時間
・ [ タスクの継続時間 ] : 1 日間
・ [ 有効 ] : チェックを入れる

7.  [ 操作 ] タブで [ 新規 ] をクリックします。

8. 以下のように項目を入力し、[ OK ] をクリックします。

・ [ プログラム / スクリプト ] : Assign-HDEOnePasswrdSyncGroup.bat のパス

          
この記事は役に立ちましたか?

よくあるご質問

Powered by Zendesk