2011年2月2日水曜日

[FIM2010]一般ユーザ権限でセキュリティグループを管理する

FIM2010の大きな特徴でもあるグループ管理機能も実はデフォルトでは殆ど無効化されているので色々と手を加えてやる必要があります。

以下が一般ユーザでFIMポータルにログインした際の初期画面です。











見ての通り、配布グループについては表示されていますが、セキュリティグループについては表示すらされていません。(実は配布グループについても画面表示はされていても実際に作成をしようとするとアクセスが拒否されてしまうので、そのままでは使えません)

この状態から一般ユーザが自身でセキュリティグループの管理ができる状態にするためには以下のステップを踏む必要があります。
・画面に操作メニューを表示する
・セキュリティグループを管理する権限を付与する

それぞれを解説していきます。

■画面に操作メニューを表示する
まず、画面のカスタマイズです。

FIMポータルの画面の中のユーザメニューに関連する部分は
・ナビゲーションバー
・ホームページ
で構成されています。












それぞれに何を表示するか、についてはAdministratorでログインした場合にポータルの右側に表示される管理メニューより対応するリソースのカスタマイズを行います。


















では、どうすればホームページやナビゲーションバーに各機能が表示されるか?ですが、これは少しわかりにくいのですが、各リソースの「使用法キーワード」に「BasicUI」という文字列を入れることで表示されます。

ナビゲーションバーリソース
















ホームページリソース

















ここまで設定をすると一般ユーザのポータルにもメニューが表示されます。(すぐに画面に反映させたい場合はiisreset等でIISを再起動してください)














次は表示されたメニューを実際に使えるようにします。

■セキュリティグループを管理する権限を付与する
先の配布グループの件もそうなのですが、一般ユーザがセキュリティグループを管理できないのは以下の2点が原因です。
・関連する管理ポリシー規則(MPR)がデフォルトでは無効化されている
・関連する管理ポリシー規則の申請元として定義(許可)されているのがAdministratorsのみである

それぞれを解消して行きます。

まず、管理ポリシー規則の有効化です。
対象となる管理ポリシー規則は「Security Group xxxx」という表示名のものです。検索ウィンドウに「Security」と入れて検索すると対象のもののみが表示できるので便利です。
それぞれの管理ポリシールールを開いて[無効化]のチェックを外して保存すればOKです。








次に、管理ポリシー規則を利用するための権限の付与です。
デフォルト状態を見てみるとセキュリティグループ管理を行うための管理ポリシー規則の申請元として定義されているのは「Security Group Users」というセットです。
このセットの定義をみるとメンバとなっているのはAdministratorsに属するユーザのみとなっているので、ここに一般ユーザも追加することで権限を与えることが可能です。


















さて、それなりに長い道のりでしたがここまで設定を行ってようやく一般ユーザでもセキュリティグループを管理することができるようになりました。
(もちろんFIMで作ったセキュリティグループをActive Directoryへ反映させるには別途管理エージェントの設定や同期規則の設定が必要です)

0 件のコメント: