対象

Windows Server Active Directory より、HENNGE Access Control へユーザー、及びパスワード同期を行うお客様が対象です。

目的

Assign-HDEOnePasswrdSyncGroup.bat を Active Directory に対して実行する目的は2つあります。

1. 同期対象ユーザーをセキュリィグループ [ HDE One Password Sync Group ] にまとめる。

2. Windows Server 2008R2・2012・2012R2 の場合、
パスワード再設定時に  [ UnixUserPassword ] 属性にハッシュ化されたパスワードが入る機能の有効化。 (注意事項 1)

注意事項

1. HENNGE Access Control へは [ UnixUserPassword ] 属性を同期することにより、パスワード同期を可能にします。
なお、Windows Server 2016 以降の Windows Server バージョンでは [ Unix 用 ID 管理役割サービス ([ Unix 用 Microsoft ID 管理コンポーネント ]) が Microsoft 社より提供停止となったため、別途弊社独自実装の dll を Windows Server Active Directory 全台にインストールする必要があります。
詳しくは下記の手順をご参照ください。

ドメイン コントローラー全台への HDEPasswordFilter.dll インストール

2.  [ Domain Admins ] もしくは [ Enterprise Admins ] 権限を持つユーザーで実行してください。

3. 本記事は 2019 年 3 月時点で製品の内容をもとにしたものであり、以後のアップデートにより、予告なく変更される場合があります。

詳細手順・説明

同期対象のユーザー条件など、HENNGE 導入ガイドとの打ち合わせ後、お客様専用の Assign-HDEOnePasswrdSyncGroup.bat を提供します。
その上で次の手順をご実施頂き、同期対象ユーザーを セキュリティ グループ [ HDE One Password Sync Group ] への割り当てを行います。

事前確認事項

1. Windows Server 2008R2・2012・2012R2 の場合、 [ Unix 用 ID 管理役割サービス ([ Unix 用 Microsoft ID 管理コンポーネント ]) を追加します。
2. 本手順は Active Directory のドメイン コントローラー端末での実施を想定しています。
3. Active Directory のドメイン コントローラー端末以外の Windows Server 端末で本手順を実行する場合、予め該当の Windows Server 端末のサーバーマネージャーにて [役割と機能の追加] から Windows PowerShell の Active Directory モジュールをインストールする必要があります。

初回実行

1. バッチファイルと同時に提供する [ HDEOneDirectorySyncTool ] フォルダー内の [ HDEOne ] フォルダーを 
HENNGE Directory Sync Tool をインストールする端末、もしくはいずれかのドメイン コントローラーの C ドライブ直下にコピーする
※ C ドライブ直下へのコピーが難しい場合、空白を含まないパスに配置してください。

2. PowerShellを管理者として起動

3. 以下コマンドの実行

> cd <[HDEOne] フォルダーのパス>
> .\Assign-HDEOnePasswrdSyncGroup.bat

例 : 

> cd C:\HDEOne
> .\Assign-HDEOnePasswrdSyncGroup.bat

4. [ HDEOne ] フォルダーの [ logs ] フォルダーに出力された実行ログの確認

・log_assign_group.yyyy-mm-dd-hhmmss.xxxx.main.txt
・log_assign_group.yyyy-mm-dd-hhmmss.xxxx.sub.txt

[ ERROR OCCURED ] や [ command fail ] が表示されていないことを確認します。

定期実行設定

Active Directory にユーザーを追加する際、その都度 Assign-HDEOnePasswrdSyncGroup.bat の実行が必要です。

手順の実施漏れを防ぐため、Windowsタスクスケジューラーに Assign-HDEOnePasswrdSyncGroup.bat の定期実行登録の実施をおすすめします。

なお、こちらの手順は該当のドメインにおいて [ Domain Admins ] もしくは [ Enterprise Admins ] 権限を持つユーザーで実行します。

1. [ HDEOne ] フォルダーをコピーした端末にログインします。

2. [ スタート ] → [ Windows 管理ツール ] → [ タスク スケジューラ ] を開きます。

3. [ タスクの作成 ] をクリックします。

4. [ 全般 ] タブで以下のように項目を入力します。

・ [ 名前 ] : 任意のタスク名
・ [ タスクの実行時に使うユーザー アカウント ] : 管理者権限を持つユーザー
・ [ ユーザーがログオンしているかどうかにかかわらず実行する ] : チェックを入れる
・ [ 最上位の特権で実行する ] : チェックを入れる

5. [ トリガー ] タブで [ 新規 ] をクリックします。

6. 以下のように項目を入力し、[ OK ] をクリックします。

・ [ タスク実行の設定 ] : 毎日
・ [ タスクの開始日時 ] : この設定の実施日 0:00:00
・ [ タスク実行の間隔 ] : 1 日
・ [ タスクの繰り返し間隔 ] : 1 時間
・ [ タスクの継続時間 ] : 1 日間
・ [ 有効 ] : チェックを入れる

7.  [ 操作 ] タブで [ 新規 ] をクリックします。

8. 以下のように項目を入力し、[ OK ] をクリックします。

・ [ プログラム / スクリプト ] : Assign-HDEOnePasswrdSyncGroup.bat のパス