【FIM 2010】ID同期の自動化だけが効率化のポイントではありません

システムに複数のディレクトリ サービスが存在している場合、皆さんはどのような方法でサービス間の整合性を取りますか? 現在のID同期プロセス 有史以来、管理者を悩ませ続けている ID 管理の負荷。中でも複数システムの ID 同期ほど負荷の高い作業はありません。実はマイクロソフトにも ID 同期を実現するソフトウェアがあることをご存知でしょうか? その名も「Identity Lifecycle Manager (ILM) 2007」です。その後継製品として 2010 年Q1にリリースを予定されているのが、「Forefront Identity Manager (FIM/フィム) 2010」 です。 FIM 2010 製品サイト http://www.microsoft.com/japan/forefront/identitymanager/default.mspx FIM 2010 技術サイト http://technet.microsoft.com/ja-jp/ilm/default.aspx FIM/ILM がハブとなってIDを同期する ただし誤解しないでください! FIM 2010 は単に「ユーザーID を同期」するためだけのものではありません。新たに実装された「ワークフロー機能」「セルフ・グループ管理機能」「セルフ・パスワードリセット 機能」は、Active Directory 単体の運用においても自動化の特効薬となるのです。では、これらの新機能について具体的にお話しましょう ■ コードレス=開発不要 な ワークフロー機能 マイクロソフトのID管理製品にも、やっとワークフローが実装されることになりました。しかしただのワークフローではありません。なんと「コードレス」なのです。FIM 2010 が用意している「部品」を使っていただければ、ワークフローのためのコーディングは必要なく、インフラ担当SEまたはお客様が自らワークフローを実装することができるのです! たとえば、単純な例ですが、Active Directory に新たにユーザーを作成する場合を考えましょう。 通常は、管理者が人事部からユーザーリストを受け取り、それにしたがってバッチファイル等で作成することになるでしょう。ただし、「ITによる内部統制」という観点で考えれば、ユーザーID 作成にあたって、どのような承認を経たかを示す履歴を管理しておきたいところです。そこで必要になるのがワークフローです。 FIM 2010 では、Active…

0

【PowerShell】ユーザーIDの変更履歴を収集するスクリプト

ユーザー ID の変更履歴を収集する方法 「あるユーザー ID の属性を間違えて変更してしまった!」なんてこと、ありませんか? Windows Server 2008 からサポートされた「ある種の監査ログ」には、ユーザー ID の変更履歴がしっかりと記載されています。今回は簡単な PowerShell スクリプトを使用して、監査ログに蓄積された ID の変更履歴を取り出す方法をご紹介します。 なお、これからご紹介するスクリプトを使用するには、以下の準備が必要です。 PowerShell を有効にする ディレクトリ サービスの監査を有効にする Active Directory オブジェクトの監査設定を変更する 【準備】 1.PowerShell を有効にする 管理者権限で PowerShell コンソールを起動し、以下のコマンドを入力して PowerShell スクリプトを使えるようにしてください。 Set-ExecutionPolicy RemoteSigned 2.ディレクトリサービスの監査を有効にする ユーザーIDの変更を追跡するには、Active Directory の監査のうち、「ディレクトリサービスの監査」を有効にする必要があります。有効にする手順は以下の通りです。 「サーバーマネージャー」を起動し、[機能] – [グループポリシーの管理] – [フォレスト] – [ドメイン] – [<ドメイン名>] – [Domain Controllers] を開く。 [Default Domain Controllers Policy]…

0