Active Directory ドメイン サービスからデータをインポートする

Service Manager の Service Manager データベースには、企業に関する情報が含まれており、サービス管理構造のすべての部分で使用されます。 Active Directory コネクタを使用すると、ユーザー、グループ、プリンター、コンピューター (およびこれらのオブジェクトの種類のみ) を構成項目として Service Manager データベースに追加できます。

Note

Active Directory ドメイン内の 2 つの異なる組織単位 (OU) に同じユーザー名が存在する場合、Service Manager は両方のユーザー アカウントをインポートできません。イベントは System Center Operations Manager アプリケーション ログに記録されます。

さらに、Active Directory グループからデータをインポートするために Active Directory コネクタを構成するとき、自動的に Active Directory グループからユーザーを追加するオプションを選択できます。 選択すると、Active Directory グループに追加されたすべてのユーザーが Service Manager データベースに自動的に追加されます。 これらのユーザーが Active Directory グループから削除された場合、それらのユーザーは Service Manager データベースに残ります。ただし、削除済みアイテム グループに存在します。

Active Directory コネクタを作成すると、コネクタ内の Select オブジェクト を更新できません。 代わりに、Service Manager のユーザー ロールにマップするセキュリティ グループを Active Directory に作成します。 たとえば、インシデント リゾルバーという名前のセキュリティ グループを Active Directory ドメイン Services (AD DS) に作成できます。 Service Manager では、このセキュリティ グループをインシデント リゾルバーのユーザー ロールに割り当てることができます。 Active Directory コネクタを作成し、[ このコネクタによってインポートされた AD グループのユーザーを自動的に追加しますインシデント リゾルバー セキュリティ グループのメンバーであるユーザーが Service Manager コンソールを起動すると、インシデント リゾルバーの権限とアクセス許可が付与されます。

複数の OU またはサブドメインからデータをインポートする場合は、コネクタでインポートするコンピューター、プリンター、ユーザー、またはユーザー グループを指定するライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリを作成するオプションがあります。 たとえば、ダラスまたはオースティンにあるすべてのオブジェクトのうち、John という名を持つオブジェクトを対象とする LDAP フィルターは、 (&(givenName=John) (|(l=Dallas) (l=Austin)))のようになります。 クエリをテストして、すべてのエラーを修正してから、Active Directory コネクタを構成します。 LDAP クエリの詳細については、「 Search Filter Syntax (検索フィルターの構文)」を参照してください。

後で Service Manager データベースに対してメンテナンス操作を実行する必要がある場合は、コネクタを一時的に無効にして、データのインポートを中断できます。 その後、データのインポートを再開するには、コネクタを再び有効にします。

AD DS) または Configuration Manager から多数のユーザーをインポートすると、CPU 使用率が 100% に増加する可能性があります。 これは CPU のコアの 1 つです。 たとえば、20,000 人のユーザーをインポートするときに、CPU 使用率が最長で 1 時間ほど高いままになることがあります。 この問題を軽減するには、企業に製品を展開する前にコネクタを作成し、Service Manager にユーザーをインポートし、時間外にコネクタの同期をスケジュールします。 マルチコア CPU を搭載したコンピューターに Service Manager をインストールすると、多数のユーザーをインポートする影響も最小限に抑えられます。

Active Directory コネクタを作成する

Service Manager で次の手順を使用して、Active Directory コネクタの状態を作成、検証、確認して、Active Directory ドメイン Services (AD DS) からオブジェクトをインポートできます。

Note

Active Directory (AD) コネクタは、特定のドメイン コントローラーと同期するように即興で行われています。 Active Directory コネクタの LDAP クエリでドメイン コントローラーを指定できます。

Active Directory コネクタを作成し、AD DS からオブジェクトをインポートする

1. Service Manager コンソールで、 Administration を選択します。

2. Administration ペインで、Administration を展開し、Connectors を選択します。

3. Tasks ペインの Connectors で Create Connector を選択し、Active Directory Connector を選択します。

4. Active Directory コネクタ ウィザードで、次の手順に従います。

   1. [開始する前に] ページで、 [次へ] を選択します。

   2. General ページの Name ボックスに、新しいコネクタの名前を入力します。 [このコネクタを有効にする] チェック ボックスがオンになっていることを確認し、[次へ] を選択。

   3. ドメインまたは組織単位ページで、ドメインを使用する: ドメイン名を選択します。 または ドメインまたは OU を選択を選択し、 Browse を選択して、環境内のドメインまたは組織単位 (OU) を選択します。

   4. Credentials領域で、Newを選択します。

   5. [ 実行アカウント ] ダイアログボックスの [ 表示名 ボックスに、実行アカウントの名前を入力します。 [ アカウント ] ボックスの一覧で [ Windows アカウント] をクリックします。 AD DS から読み取る権限を持つアカウントの資格情報を入力し、 OKを選択します。 ドメインまたは組織単位 ページで、[接続のテスト選択。

      Note

      ユーザー名 ボックスの特殊文字 (アンパサンド [>] など) はサポートされていません。

   6. [接続のテスト] ダイアログボックスで、サーバーへの接続が成功したことを確認が表示されていることを確認し、OK を選択します。 ドメインまたは組織単位ページで、次へを選択します。

   7. [ オブジェクトの選択] で、次のいずれかの操作を行います。

      1. すべてのアイテムをインポートする場合は、[ すべてのコンピューター、プリンター、ユーザーおよびユーザー グループを選択する ] を選択します。

      2. 選択したアイテムだけをインポートする場合は、[ コンピューター、プリンター、ユーザーおよびユーザー グループを個別に選択する ] を選択します。

      3. 独自の LDAP (ライトウェイト ディレクトリ アクセス プロトコル) クエリを作成する場合は、[ コンピューター、プリンター、ユーザー、またはユーザー グループ用の LDAP クエリ フィルターを指定する ] を選択します。

      インポートするグループに追加された新しいユーザーを Service Manager に自動的に追加する場合は、[ このコネクタによってインポートされた AD グループのユーザーを自動的に追加するを選択し、 次へを選択します。

   8. Schedule ページの Synchronize 一覧で、同期の頻度と時刻を設定し、次へを選択します。

   9. Summary ページで、設定が正しいことを確認し、Create を選択します。

   10. Completion ページで、次の確認メッセージが表示されることを確認します。

       Active Directory コネクタが正常に作成されました。

       次に、 Close を選択します。

       Note

       インポートするデータの量によっては、インポートが完了するのに時間がかかることがあります。

Active Directory コネクタの作成を検証する

1. 作成した Active Directory コネクタが、[ コネクタ ] ウィンドウに表示されることを確認します。 コネクタが表示されるまで、しばらく待たなければならない場合があります。

2. [ コネクタ ] ウィンドウの [ 状態 ] 列に、[ 正常に終了しました] と表示されていることを確認します。

3. [ 構成アイテム ] ウィンドウで [ 構成アイテム] を展開します。 [ コンピューター ]、[ すべての Windows コンピューター] の順に展開し、[ すべての Windows コンピューター ] ウィンドウに、AD DS からインポートした目的のコンピューターが表示されていることを確認します。 [ プリンター]、[ すべてのプリンター] の順に展開し、[ すべてのプリンター ] ウィンドウに、AD DS からインポートした目的のプリンターが表示されていることを確認します。

4. Service Manager コンソールで、 Configuration Items を選択します。 構成アイテム ウィンドウで Users を選択し、AD DS の目的のユーザーとユーザー グループが Users ペインに表示されることを確認します。

Active Directory コネクタの状態を確認する

• [ コネクタ ] ウィンドウで、構成アイテムのインポートの開始日時と終了日時、状態、インポートが完了したパーセントが示されている列を確認します。

Windows PowerShell コマンドを使用して、新しい Service Manager Active Directory コネクタを作成できます。 Windows PowerShell を使用して新しい Service Manager Active Directory コネクタを作成する方法については、「 New-SCADConnectorを参照してください。

Active Directory コネクタを同期する

Service Manager データベースが最新の状態になるように、Active Directory コネクタは初期同期の 1 時間後に 1 時間ごとに Active Directory ドメイン Services (AD DS) と同期します。 ただし、次の手順を使用して、コネクタを手動で同期し、同期されていることを検証できます。

Active Directory コネクタを手動で同期する

1. Service Manager コンソールで、 Administration を選択します。

2. Administration ペインで、Administration を展開し、Connectors を選択します。

3. Connectors ペインで、同期する Active Directory コネクタを選択します。

4. Tasks ウィンドウで、コネクタの名前の下にある Synchronize Now を選択します。

   Note

   インポートするデータの量によっては、インポートが完了するのに時間がかかることがあります。

Active Directory コネクタが同期されていることを検証する

1. Service Manager コンソールで、 Configuration Items を選択します。

2. Configuration Items ペインで、Printers を展開し、[すべてのプリンター] 選択します。 AD DS の新しいプリンターが中央のウィンドウに表示されることを確認します。

3. Computersを展開し、すべての Windows コンピューター選択。 AD DS の新しいコンピューターが中央のウィンドウに表示されることを確認します。

4. Service Manager コンソールで、 Configuration Items を選択します。

5. 構成項目 ペインで、Users を選択します。 AD DS の新しいユーザーとグループが中央のウィンドウに表示されることを確認します。

Active Directory コネクタを無効にして有効にする

次の手順を使用して、Service Manager で Active Directory コネクタを無効または有効にし、状態の変化を検証できます。

Active Directory コネクタを無効にする

1. Service Manager コンソールで、 Administration を選択します。

2. Administration ペインで、Administration を展開し、Connectors を選択します。

3. Connectors ペインで、無効にする Active Directory コネクタを選択します。

4. Tasks ウィンドウで、コネクタ名の下にある Disable を選択します。

5. [ Disable Connector ダイアログで、 OKを選択します。

Active Directory コネクタを有効にする

1. Service Manager コンソールで Administration を選択し、 Connectors を選択します。

2. Connectors ペインで、有効にする Active Directory コネクタを選択します。

3. Tasks ウィンドウで、コネクタ名の下にある Enable を選択します。

4. [ Enable Connector ダイアログで、 OKを選択します。

Active Directory コネクタの状態変更を検証する

1. Active Directory コネクタを有効または無効にした後、約 30 秒間待ちます。 次に、Service Manager コンソールで Administration を選択し、 Connectors を選択します。

2. 中央のウィンドウで、状態を変更したコネクタを見つけて、 Enabled 列の値を確認します。

次のように、Windows PowerShell コマンドを使用して、これらのタスクとその他の関連タスクを完了できます。

• Windows PowerShell を使用して Service Manager コネクタを起動する方法については、「 Start-SCSMConnectorを参照してください。

• Windows PowerShell を使用して Service Manager で定義されているコネクタを取得し、その状態を表示する方法については、「 Get-SCSMConnectorを参照してください。

• Windows PowerShell を使用して Service Manager コネクタのプロパティを更新する方法については、「 Update-SCSMConnectorを参照してください。

他のドメインからデータをインポートする

Service Manager が存在するドメイン以外のドメインからデータをインポートできます。 たとえば、Service Manager はドメイン A にインストールされ (完全修飾ドメイン名 [FQDN] が a.woodgrove.com)、ドメイン B (FQDN が b.woodgrovetest.net) からデータをインポートする必要があります。 この場合は、データ ソース パスと実行アカウントをどのようにして指定するかを考慮する必要があります。

ドメイン B で、既存のサービス アカウントを使用するか、この目的のために新しいアカウントを作成します。 このサービス アカウントはドメイン アカウントで、Active Directory ドメイン サービスから読み取る権限を持っていなければなりません。

次に、Service Manager で、Active Directory コネクタ ウィザードで新しい Active Directory コネクタを作成します。 [ ドメインまたは組織単位 ] ページに表示される手順に従います。

データ ソース パスと実行アカウントを指定する

1. ドメインが配置されている場所に応じて、適切な方法を使用します。

   • 2 つのドメインが同じフォレストにある場合は、Server Information 領域で ドメインまたは OU を選択しBrowse を選択してドメインと組織単位 (OU) を選択します。

   • 2 つのドメインが異なるフォレストにある場合は、 Server Information 領域で ドメインまたは OU を選択ボックスにドメインと OU を入力します。 たとえば、「 LDAP://b.woodgrovetest.net/OU=OU Name,DC=b,DC=woodgrovetest,DC=net と入力します。

2. Credentials領域で、Newを選択します。

3. [ アカウントの実行 ] ダイアログの [ ユーザー名、 Password、および Domain ボックスに、b.woodgrovetest.net ドメインのサービス アカウントの資格情報を入力します。

   Note

   2 つのドメインが異なるフォレストにある場合は、 ユーザー名 ボックスにドメイン名を入力する必要があります。 たとえば、「b.woodgrovetest.net\UserName」を入力します。

次のステップ

• Operations Manager からデータとアラートを する方法について説明。