複数のフォレスト間でアカウントを解決する (SharePoint Server 2010)

  • [アーティクル]

 

適用先: SharePoint Server 2010

トピックの最終更新日: 2016-11-30

Microsoft SharePoint Server 2010 は、Active Directory ドメイン サービスのさまざまな構成 (単一のフォレスト環境、複数のフォレスト環境など) で展開できます。

複数のフォレストにわたる SharePoint Server 2010 の展開を計画する際には、主に次の 2 つの構成があります。

  • リソース フォレストの展開 2 つ以上のフォレストが、ファイル サーバーやアプリケーション サーバーを含む 1 つ以上のリソース ドメインによって信頼されたユーザー アカウントを含む単一のログオン フォレストで構成されている場合です。

  • 複数ログオン フォレストの展開 双方向の信頼によってリソースにアクセスするユーザー アカウントを含む 2 つ以上のフォレストが存在する場合です。

注意

この記事で説明する手順を適切に実行するためには、これらのフォレスト間に少なくとも一方向の信頼が存在する必要があります。

複数のフォレストにわたるアカウントを解決する方法と、これらのフォレスト間の関係を示す図の詳細については、「Microsoft SharePoint Team Blog (英語)」(https://go.microsoft.com/fwlink/?linkid=186152&clcid=0x411) (英語) を参照してください。

リソース フォレストの展開

リソース フォレストの構成が存在するのは、すべてのユーザー アカウントが 1 つ以上のトップレベル フォレスト内に存在する場合です。すべてのユーザーはこれらのフォレストからの資格情報を使用してログオンします。リソース サーバー (Microsoft Exchange Server、SharePoint Server 2010 など) は別のリソース フォレストにインストールされ、このリソース フォレストは各アカウント フォレストに対する一方向の信頼を維持します。このリソース フォレストには、そこにアクセスする各ユーザーのシャドウされた非ログオン アカウントが含まれます。このフォレストには、ユーザー アカウントの ms-ds-Source-Object プロパティに基づいた、ユーザーに関するメタデータが含まれます。

この種類の展開では、SharePoint Server 2010 がリソース フォレストのディレクトリ内にあるコンテナーから Active Directory 情報を引き出し、ユーザー プロファイルおよび個人用サイト Web サイトの作成をこの情報に基づいたものにします。

複数ログオン フォレストの展開

複数ログオン フォレストの展開では、ユーザー アカウントが 2 つ以上のフォレストに配信されます。通常は、すべてのフォレスト間に双方向の信頼が存在します。このシナリオは多くの場合、既存のフォレストを維持して各フォレスト内のリソースへのアクセスをユーザーに提供するために決定された組織間の合併の結果として生じます。多くの既存アプリケーションは、それらが展開されるフォレストの構造に依存しているため、一部のユーザーにはアクセスが必要な各フォレスト内のアカウントが与えられます。

この種類の展開では、ユーザー アカウントがある各フォレストへのディレクトリ接続によって SharePoint Server 2010 フォレストの 1 つに展開されます。その後は、ユーザー オブジェクト内の識別名 (ms-ds-Source-Object-DN) 属性を使用して、ユーザー アカウント間の関連付けを作成する必要があります。単一のユーザーに属する複数アカウント間のこうした関係では、1 つのアカウントが標準アカウントと見なされ、他のすべてのアカウントは標準アカウントの代替と見なされます。Microsoft Forefront Identity Manager を使用すると、ユーザー アカウント オブジェクト間でこの関係を作成できます。

さまざまな機能で想定されるユーザー エクスペリエンスを以下の表に示します。

機能 ユーザー エクスペリエンス

プロファイル ページとオブジェクト モデル

SharePoint Server 2010 では、プロファイルを特定する代替アカウントのリストを保持しています。いずれかのアカウントを使用してユーザーのプロファイルを見つけると、SharePoint Server 2010 によって標準アカウント プロファイルが返されます。

個人用サイト

個人用サイト Web サイトを作成する場合、SharePoint Server 2010 ではユーザーの標準アカウントを使用してそのサイトを作成します。また、すべての代替アカウントが自動的に管理者としてそのサイトに追加されます。

人の検索

人の検索では、そのユーザーの標準アカウント情報が返されます。

対象ユーザー

SharePoint Server 2010 の対象ユーザーは、標準アカウントのみを使用します。あるユーザーの代替アカウントに含まれるすべてのルールでは、そのユーザーの標準アカウントが内部的に使用されます。標準アカウントと代替アカウントは調整されているので、管理の階層は標準アカウントと代替アカウントのとちらでも同じになります。

ビジネス データ カタログからのインポート

SharePoint Server 2010 は各ユーザーの標準アカウントの情報に依存しているので、標準ユーザー アカウントによって特定できるデータのみがインポートできます。ユーザーのリストをビジネス データ カタログで作成する際には、各ユーザーの標準アカウントを使用してください。

メンバーシップの同期

SharePoint Server 2010 では、標準アカウントと代替アカウントがすべて同じユーザー アカウントに属するかのように、ユーザーが属するサイトを双方のアカウントによって処理します。サイトのメンバーシップのより正確なリストを生成する場合、SharePoint Server 2010 では、ユーザーがメンバーになっているサイトのリストをそのユーザーのアカウントのすべてを使用して生成するために、"SELECT docs FROM member site WHERE author = domain1\user OR author = domain2\user" と同様のクエリを使用する必要があります。

プロファイルの同期

ユーザーのプロファイルに対する変更は、そのユーザーに関連付けられたすべてのユーザー アカウントにレプリケートされます。これにより、個人用サイト内のプロファイルへの画像の追加といった変更は、そのユーザーがどのアカウントをログオンに使用するかに関係なく、すべての SharePoint Server 2010 サイトとの間で同期が取られることになります。

Web フロントエンド サーバーを準備する

ユーザー選択ウィンドウでは、アプリケーション プール アカウントを使用してユーザーやグループを検索する際に、双方向に信頼されたすべてのドメインに対してクエリを自動的に発行します。ユーザー選択ウィンドウでサブ アカウントを選択すると、標準アカウントの情報が返されます。

一方向の信頼の場合は、次の情報を提示する必要があります。

  • フォレストに対してクエリを実行できる権限を持つログオン資格情報

  • ユーザー選択ウィンドウでのクエリ実行時に使用される暗号化キー

それぞれの SharePoint Server 2010 Web フロントエンド サーバーがこのアカウントを使用する場合は、以下の手順を使用して暗号化キーを準備します。

注意

このタスクの手順では、Stsadm コマンドライン ツールを使用する必要があります。Stsadm コマンドライン ツールはこのリリースで廃止予定対象になっていますが、以前の製品との互換性サポートのために含まれています。

Web フロントエンド サーバーを準備するには

  1. [スタート] ボタンをクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。

  2. 次のコマンドを入力します。

    stsadm.exe -o setapppassword -password <key>

    ここで、<key> は Web アプリケーションで設定されている暗号化キーです。

フォレスト間で資格情報を登録する

SharePoint Server 2010 では、シームレスなユーザー エクスペリエンスを提供するために、複数のフォレストからのユーザー アカウント間の関連付けを追跡できます。こうしたアカウントの関係を確立するには、以下の手順に示すように、Stsadm コマンドライン ツールを使用します。

以下の手順を実行するには、SharePoint Server 2010 を実行しているサーバーの Farm Administrators グループのメンバーである必要があります。

フォレスト間で資格情報を登録するには

  1. [スタート] ボタンをクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。

  2. 次のコマンドを入力します。

    stsadm.exe -o setproperty -url <http://server:port> -pn "peoplepicker-searchadforests" -pv "<forest:contoso.com;domain:corp.contoso.com>", <LoginName>,<Password>, <Key>

    ここで、

    • <http://server:port> はアクセス権を付与する Web アプリケーションの URL です。

    • <forest:contoso.com;domain:corp.contoso.com> はユーザー アカウントを検索するフォレストおよびドメインの修飾名です。

    • <LoginName> はユーザーのアカウント名です。

    • <Password> はユーザーのパスワードです。

    • <key> はその Web アプリケーションで設定されている暗号化キーです。