2011年1月23日日曜日

[FIM2010]有効かすべき管理ポリシー規則(MPR)のチェック

何度やってもインストールは難しい(真面目にパーミッションやトポロジを考えると)し、インストールしただけでは何にもできないFIM2010ですが、その中でももっとも判断に迷うポイントの一つが「どの管理ポリシー規則(MPR)を有効化すべきか?」だと思います。

そもそもデフォルト状態では一般ユーザではポータルアクセスもできないし、セキュリティグループへの参加もできない、という状態なのでプロジェクトを進める中で「誰に何を許可するか」を管理ポリシー規則として設定していくことになるのですが、ここでは最も一般的な操作をする際にまず有効化すべき規則の状態をチェックする方法を書いておきます。

・デフォルトではポータルにアクセスすらできない















チェック用スクリプト(PowerShell)
http://social.technet.microsoft.com/wiki/contents/articles/how-to-use-powershell-to-check-your-mpr-configuration-for-synchronization.aspx

このスクリプトは実行時に構成されているオブジェクトタイプ(ユーザのみなのか、グループも対象なのか)を判別し、その時点の管理ポリシー規則の状態と一般的に必要な状態の差分を洗い出して不足している設定を教えてくれます。

たとえば、ユーザの同期を行う様な構成をしただけの状態でスクリプトを実行すると、

FIM MPR Configuration For Synchronization Check
===============================================
MPRs that need to be enabled:
-General: Users can read non-administrative configuration resources
-User management: Users can read attributes of their own
-Synchronization: Synchronization account can read group resources it synchronizes
-Synchronization: Synchronization account controls group resources it synchronizes

という形で4つの管理ポリシー規則を有効化する必要があることを教えてくれます。

この情報をもとに管理者ポータルからポリシーを有効化します。
















修正後、再度実行すると

FIM MPR Configuration For Synchronization Check
===============================================
Your current MPR configuration meets all requirements

という形で修正は必要ない、と言われます。

この状態であればポータルへもアクセスできます。














管理対象やポリシーが変わった時は都度このスクリプトを実行して状態をチェックしてみるとよいかもしれません。

0 件のコメント:

コメントを投稿