複数のフォレスト ドメインからユーザーを選択する

  • [アーティクル]

この手順を開始する前に、次の点を確認してください。

  • 複数フォレスト内のドメイン間の接続を管理する」を読み終えている。

  • 現在のフォレストまたはドメインと、対象とする各フォレストまたはドメインの間の信頼関係を知っていること。また、対象とする各フォレストまたはドメインに対するアクセス権を持つアカウントのユーザー名とパスワードを知っていること。

重要

この手順を実行するには、管理者は、共有サービス プロバイダ (SSP) 管理サイトへのアクセス権を持ち、[ユーザー プロファイルの管理] 権限を有効にしている必要があります。

ディレクトリ サービスからインポートされたユーザーに関する情報は、ユーザー選択ウィンドウ Web コントロールとも呼ばれる、SharePoint サイトの [ユーザーとグループの選択] ダイアログ ボックスから選択できます。サイト管理者およびその他のユーザーは権限を割り当てる際に、ユーザー選択ウィンドウを使用してユーザーとグループを選択します。ユーザーに関する情報が複数のフォレストにある場合、この Web コントロールからすべてのユーザーとグループを利用できるようにするための追加手順が必要です。

次の手順では、複数のフォレストのユーザーが含まれるようにユーザー選択ウィンドウを構成する方法について説明します。

  • 追加の構成手順を実行しなくても、双方向の信頼関係を持つすべてのドメインとフォレストを利用できます。

  • ファームのドメインが 1 つ以上の他のフォレストまたはドメインと一方向の信頼関係を持つ場合、Stsadm コマンドライン ツールを使用して各フォレストまたはドメインにアクセスするときに使用するアカウントを選択し、他のドメインおよびフォレストへのアクセス権を構成できます。対象の各ドメインまたはフォレストごとに異なるアカウントを使用することも、すべてのドメインおよびフォレストで同じアカウントを使用することもできます。すべてのフォレストが現在のフォレストまたはドメインから信頼されていて、現在の Web アプリケーションのアプリケーション プール ID アカウントが、対象とするすべてのフォレストへのアクセス権を持っている場合、追加の構成手順は不要です。

  • 各ドメインまたはフォレストへのアクセスに使用されるアカウントとパスワードは、ファーム内の各フロントエンド Web サーバーに保存されます。アカウントごとに、パスワードを暗号化するときに使用する暗号化文字列を構成する必要があります。この暗号化文字列はファーム内のすべてのサーバーに対して同じであること、および複数のファームで構成される展開では、サーバー ファームごとに一意であることが必要です。

また、アプリケーション プールが各フォレストへのアクセス権を持つようにフォレストを構成し、現在のフォレストおよびドメインと対象とする各フォレストとの間に、双方向の信頼関係を確立することもできます。ただし、これはすべてのシナリオで使用可能ではないため、多くの場合は Stsadm コマンドライン ツールを使用する必要があります。

複数のフォレストからユーザーとグループを選択するには

ファームと一方向の信頼関係を持つ複数のフォレストまたはドメインからのユーザーとグループの選択を有効にするには、以下の手順を使用します。

複数のフォレストからのユーザーとグループの選択を有効にする

  1. 1 つのファームのすべてのフロントエンド Web サーバーのコマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    STSADM.exe -o setapppassword -password キー

    注意

    この "*キー*" は、フォレストまたはドメインへのアクセスに使用されるアカウントのパスワードを暗号化するための暗号化文字列です。暗号化文字列はファーム内のすべてのサーバーで同じであることが必要ですが、ファームごとに一意の文字列を使用する必要があります。

  2. フロントエンド Web サーバーのコマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    STSADM.exe -o setproperty -pn peoplepicker -searchadforests -pv ドメイン:DNS 名,ユーザー,パスワード ** **-url http://**Web アプリケーション

    注意

    複数のドメインまたはフォレストを "*ドメイン:DNS 名,ユーザー,パスワード*" の形式でセミコロンで区切ってリストし、複数のフォレストを追加できます。アプリケーション プール ID がドメインまたはフォレストに対するアクセス権を既に持っている場合は、ユーザー名とパスワードは省略できます。ユーザー名とパスワードにカンマを含めることはできません。このコマンドを実行すると、ユーザーはファーム内のフロントエンド Web サーバーのリストされているフォレストとドメインからユーザーおよびグループを選択できます。

次の表に、該当のプレースホルダを示します。

プレースホルダ 説明

*キー*

ファーム内のすべてのサーバーに対して使用する一意の暗号化文字列。

*ドメイン:DNS 名*

対象とするフォレストまたはドメインと、その DNS 名。

*ユーザー,パスワード*

対象とするフォレストまたはドメインへのアクセス権を持つアカウントのユーザー名およびパスワード。

*Web アプリケーション*

現在のサーバーの Web アプリケーションの名前。

複数のフォレストに対応するユーザー選択ウィンドウの構成に使用する Stsadm コマンドライン ツールとプロパティの詳細については、「Peoplepicker : Stsadm プロパティ (Office SharePoint Server)」を参照してください。

関連項目

概念

個人用設定サービスの管理
インポート接続とユーザー プロファイルを管理する

その他のリソース

Understanding Trusts (英語)