対象
Windows Server Active Directory より、HENNGE Access Control へユーザー、及びパスワード同期を行うお客様が対象です。
目的
同期対象ユーザーをセキュリティグループ [ HDE One Password Sync Group ] にまとめます。
注意事項
1. HENNGE Access Control へは [ UnixUserPassword ] 属性を同期することにより、パスワード同期を可能にします。
なお、Windows Server 2016 以降の Windows Server バージョンでは [ Unix 用 ID 管理役割サービス ([ Unix 用 Microsoft ID 管理コンポーネント ]) が Microsoft 社より提供停止となったため、別途弊社独自実装の dll を Windows Server Active Directory 全台にインストールする必要があります。
詳しくは下記の手順をご参照ください。
ドメイン コントローラー全台への HDEPasswordFilter.dll インストール
2. [ Domain Admins ] もしくは [ Enterprise Admins ] 権限を持つユーザーで実行してください。
3. 本記事は 2024 年 5 月時点で製品の内容をもとにしたものであり、以後のアップデートにより、予告なく変更される場合があります。
詳細手順・説明
同期対象のユーザー条件など、HENNGE 導入ガイドとの打ち合わせ後、お客様専用の Assign-HDEOnePasswrdSyncGroup.bat を提供します。
その上で次の手順をご実施頂き、同期対象ユーザーを セキュリティ グループ [ HDE One Password Sync Group ] への割り当てを行います。
事前確認事項
1. 本手順は Active Directory のドメイン コントローラー端末での実施を想定しています。
2. Active Directory のドメイン コントローラー端末以外の Windows Server 端末で本手順を実行する場合、予め該当の Windows Server 端末のサーバーマネージャーにて [役割と機能の追加] から Windows PowerShell の Active Directory モジュールをインストールする必要があります。
初回実行
1. バッチファイルと同時に提供する [ HDEOneDirectorySyncTool ] フォルダー内の [ HDEOne ] フォルダーを
HENNGE Directory Sync Tool をインストールする端末、もしくはいずれかのドメイン コントローラーの C ドライブ直下にコピーする
※ C ドライブ直下へのコピーが難しい場合、空白を含まないパスに配置してください。
2. PowerShellを管理者として起動
3. 以下コマンドの実行
> cd <[HDEOne] フォルダーのパス>
> .\Assign-HDEOnePasswrdSyncGroup.bat
例 :
> cd C:\HDEOne
> .\Assign-HDEOnePasswrdSyncGroup.bat
4. [ HDEOne ] フォルダーの [ logs ] フォルダーに出力された実行ログの確認
・log_assign_group.yyyy-mm-dd-hhmmss.xxxx.main.txt
・log_assign_group.yyyy-mm-dd-hhmmss.xxxx.sub.txt
[ ERROR OCCURED ] や [ command fail ] が表示されていないことを確認します。
定期実行設定
Active Directory にユーザーを追加する際、その都度 Assign-HDEOnePasswrdSyncGroup.bat の実行が必要です。
手順の実施漏れを防ぐため、Windowsタスクスケジューラーに Assign-HDEOnePasswrdSyncGroup.bat の定期実行登録の実施をおすすめします。
なお、こちらの手順は該当のドメインにおいて [ Domain Admins ] もしくは [ Enterprise Admins ] 権限を持つユーザーで実行します。
1. [ HDEOne ] フォルダーをコピーした端末にログインします。
2. [ スタート ] → [ Windows 管理ツール ] → [ タスク スケジューラ ] を開きます。
3. [ タスクの作成 ] をクリックします。
4. [ 全般 ] タブで以下のように項目を入力します。
・ [ 名前 ] : 任意のタスク名
・ [ タスクの実行時に使うユーザー アカウント ] : 管理者権限を持つユーザー
・ [ ユーザーがログオンしているかどうかにかかわらず実行する ] : チェックを入れる
・ [ 最上位の特権で実行する ] : チェックを入れる
5. [ トリガー ] タブで [ 新規 ] をクリックします。
6. 以下のように項目を入力し、[ OK ] をクリックします。
・ [ タスク実行の設定 ] : 毎日
・ [ タスクの開始日時 ] : この設定の実施日 0:00:00
・ [ タスク実行の間隔 ] : 1 日
・ [ タスクの繰り返し間隔 ] : 1 時間
・ [ タスクの継続時間 ] : 1 日間
・ [ 有効 ] : チェックを入れる
7. [ 操作 ] タブで [ 新規 ] をクリックします。
8. 以下のように項目を入力し、[ OK ] をクリックします。
・ [ プログラム / スクリプト ] : Assign-HDEOnePasswrdSyncGroup.bat のパス