Workload Security では、コンピュータの検出にMicrosoft Active DirectoryなどのLDAPサーバを使用できます。Workload
Security はサーバにクエリを実行し、ディレクトリ内の構造に従ってコンピュータグループを表示します。
データセンターゲートウェイを追加する
データセンターゲートウェイを使用すると、 Workload Security とActive Directoryサーバ間の通信が可能になり、 Workload Security
がサーバからコンピュータのインベントリを取得できるようになります。
Active Directoryを追加する前に、データセンターゲートウェイを展開して実行する必要があります。Active Directoryサーバのホスト名とポートが必要です。詳細については、データセンターゲートウェイのセットアップを参照してください。
Active Directoryを追加する
手順
- Workload Securityで[コンピュータ]をクリックします。
- メインペインで、 をクリックします。
- Active Directoryサーバのホスト名またはIPアドレス、名前、説明、およびポート番号を入力します。アクセス方法と資格情報も入力します。次のガイドラインに従います。
- [サーバのアドレス]は、アクセス方法がLDAPSの場合、Active DirectoryのSSL証明書のCommon Name (CN) と同じでなければなりません。
- [名前]はActive Directoryのディレクトリ名と一致する必要はありません。
- [サーバポート]はActive DirectoryのLDAPまたはLDAPSポートです。デフォルトは389 (StartTLS) と636 (LDAPS) です。
- [ユーザ名]にはドメイン名を含める必要があります。例えば、EXAMPLE\Administrator。
- [次へ] をクリックして続行します。
- ディレクトリのスキーマを指定します。スキーマをカスタマイズしていない場合は、Microsoft Active Directoryサーバの初期設定値を使用できます。
- Workload Securityの各コンピュータの[詳細]ウィンドウには[説明]フィールドがあります。Active Directoryの
コンピュータ
オブジェクトクラスの属性を使用して[説明]フィールドを埋めるには、[コンピュータの詳細の属性]テキストボックスに属性名を入力します。 - [このディレクトリとの同期をとる予約タスクの作成]を選択すると、Workload Security内のこの構造をActive Directoryサーバと自動的に同期させることができます。ディレクトリの追加が完了すると、[予約タスク]ウィザードが表示されます。後で で[予約タスク]ウィザードを使用して設定することもできます。
- Workload Securityの各コンピュータの[詳細]ウィンドウには[説明]フィールドがあります。Active Directoryの
- [次へ] をクリックして続行します。
- Workload Securityがディレクトリをインポートすると、追加されたコンピュータのリストが表示されます。[完了]をクリックします。
ディレクトリ構造は[コンピュータ]ページに表示されます。
Active Directoryのその他のオプション
Active Directoryの構造を右クリックすると、ディレクトリ以外のコンピュータグループには使用できないオプションが表示されます。
- ディレクトリの削除
- 今すぐ同期
ディレクトリを削除
Workload Securityからディレクトリを削除する場合、次のオプションがあります。
- ディレクトリおよびすべての下位コンピュータ/グループをWorkload Securityから削除します: ディレクトリのすべての痕跡を削除します。
- ディレクトリを削除しますが、コンピュータのデータおよびコンピュータのグループ階層は維持します: インポートされたディレクトリ構造を同じように整理された通常のコンピュータグループに変換します。これらはActive Directoryサーバとはリンクされなくなります。
- ディレクトリを削除し、コンピュータのデータを維持しますが、グループの階層は削除します: Active Directoryサーバへのリンクを削除し、ディレクトリ構造を破棄し、すべてのコンピュータを同じコンピュータグループに配置します。
同期する
Workload Security を手動で起動してActive Directoryサーバと同期し、コンピュータグループの情報を更新できます。
この処理は、予約タスクを作成して自動化できます。
サーバ証明書を使用する
SSLが有効になっていない場合は、 Active DirectoryサーバでSSLを有効にします。
コンピュータの検出にはSSLまたはTLSまたは暗号化されていないクリアテキストを使用できますが、ユーザアカウント(パスワードや連絡先を含む)をインポートするには認証とSSLまたはTLSが必要です。
SSLまたはTLS接続では、Active Directoryサーバにサーバ証明書が必要です。 SSLまたはTLSハンドシェイク時に、サーバはこの証明書をクライアントに提示して、その身元を証明します。この証明書は、自己署名証明書または認証局
(CA) によって署名された証明書のいずれかです。サーバに証明書があるかどうかわからない場合は、Active Directoryサーバでインターネットインフォメーションサービス
(IIS) マネージャを開き、[サーバ証明書] を選択します。サーバに署名付きサーバ証明書がない場合は、インストールする必要があります。
Active Directoryオブジェクトの同期を維持する
一度インポートしたActive Directoryオブジェクトは、Active Directoryサーバと継続的に同期して、最新のアップデートを反映させる必要があります。これにより、たとえば、
Active Directoryで削除されたコンピュータが Workload Securityでも削除されます。 Workload Security にインポートされたActive
DirectoryオブジェクトをActive Directoryとの同期を維持するには、ディレクトリデータを同期する予約タスクを設定する必要があります。コンピュータのインポートウィザードには、これらの予約タスクを作成するためのオプションが用意されています。
Active Directoryとの同期を無効にする
Workload Security が、コンピュータグループとユーザアカウントの両方でActive Directoryと同期しないように停止できます。
Active Directory同期からコンピュータグループを削除するには:
手順
- [コンピュータ]に移動します。
- ディレクトリを右クリックし、[ディレクトリの削除]を選択します。
- Workload Security が同期を停止したときに、このディレクトリのコンピュータのリストをどのように処理するかを選択します。
- ディレクトリおよびすべての下位コンピュータ/グループをWorkload Securityから削除します: このディレクトリの構造を削除します。
- ディレクトリを削除しますが、コンピュータのデータおよびグループの階層は維持します: 既存の構造を維持し、フォルダやコンピュータへのユーザと役割のアクセスを含めます。
- ディレクトリを削除し、コンピュータのデータを維持しますが、グループの階層は削除します: ディレクトリの構造を、ディレクトリ名で名付けられたグループ内のコンピュータのフラットリストに変換します。新しいコンピュータグループは、古い構造と同じユーザと役割アクセスを持ちます。
- 確認して処理を開始します。