Highlighted
tokata
2 Iron

IsilonのAD JoinでDomain Userを使用する場合について

Isilon(OneFS 8.2.0.0)においてActive Directoryに参加(Join)するために、
ユーザ/パスワードを入力する必要がありますが、
お客様環境では「Domain Users」権限のユーザしか提供できないと言われております。
(「Account Operators」権限もダメでした)

OneFS 8.2.0.0のシミュレータを使用し、Active Directory(Windows2012R2)も
デフォルト設定のままで確認してみたところ、「Domain Users」権限のみのユーザでも
Joinすることができました。

★このまま使用しても問題ないのでしょうか?


「Domain Admins」権限のユーザでもJoinを実施して比較してみたのですが、
Active Directoryのコンピューターオブジェクト(クラスタ名)のプロパティの
「オペレーティング システム」タブの表示で、
「Domain Admins」権限の場合はIsilonのOneFS情報が表示されるのですが、
「Domain Users」権限の場合はIsilonのOneFS情報が表示されませんでした。

★上記表示の違いによって何か影響がありますでしょうか?


なお、コミュニティの「Isilon ドメイン参加時の権限」のタイトルで
Administratorでなくてもドメイン参加できるとして下記の情報がありました。

333402 : OneFS: How to join an Isilon Cluster to a domain without Domain Administrator privileges

★上記はOneFS 8.2.0.0も対象になるのでしょうか?


また、手順としては、Active Directory側にコンピューターオブジェクト(クラスタ名)を作成し、
下記の権限を付与するとなっていました。

 Reset Password
 Read Account Restrictions
 Write Account Restrictions
 Validate write to DNS host name
 Write public information

★上記は何に対して付与するか判りますでしょうか?

こちらで確認した方法としては、Active Directoryのコンピューターオブジェクト(クラスタ名)の
セキュリティタブでドメイン参加に使用するユーザを追加し、
そのユーザのデフォルト権限に上記権限を追加すると、
そのユーザでドメイン参加した時は、「Domain Admins」権限のユーザと同じように
「オペレーティング システム」のタブの表示でIsilonのOneFS情報がを表示されました。
(上記でデフォルト権限をすべて削除し、指定の権限のみの付与だと表示されませんでした)

以上、ご確認を宜しくお願い致します。

ラベル(1)
タグ(1)
0 件の賞賛
2件の返信2
Go.Y
3 Argentium

Re: IsilonのAD JoinでDomain Userを使用する場合について

これはコンピュータオブジェクトに適切な権限が付与されているのであればそのまま運用しても問題はないと思いますが、 権限がないとIsilonがコンピュータオブジェクトのパスワードを変更したりできない状態になると思います。 権限の付与としてはこれはIsilonに限らず一般的なAD上でコンピュータオブジェクトを作るときの話になるかと思います。 MicrosoftのKBですが、以下のようなものもありますのでご参考まで。 https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-... また権限が足りないユーザでJoinした場合は、適切なSPNが作られていない場合もありますので、ADを参照できるWindowsクライアントで以下のコマンドを実行し、必要なSPNが登録されているかを確認しておくことをお勧めいたします。 setspn -L コンピュータ名 なお、SPNが登録されていない場合は、kerberos認証ができないということになります。
tokata
2 Iron

Re: IsilonのAD JoinでDomain Userを使用する場合について

Go.Yさん

ご確認ありがとうございます。

KB333402とMicrosoftのKBで指定する権限について、一部違うところがありました。

<KB333402>
 Write public information

<MicrosoftのKB>
 Validated write to service principal name

念のため、両方指定した方が良いかもしれませんね。

また、指定の権限の付与は、OUの「制御の委任」より設定するようですが、
コンピュータオブジェクト(クラスタ名)を作成する時に、その設定した権限が
コンピュータオブジェクト(クラスタ名)にも付与されるようで、
作成したコンピューターオブジェクト(クラスタ名)でも変更することができるようです。

なお、コンピューターオブジェクト(クラスタ名)のプロパティの
「オペレーティング システム」タブの表示は、下記の権限を付与すれば
表示することができました。

 Write Operating System
 Write Operating System Version

そうすると、表示だけの問題のようなので、上記権限は無くても影響なさそうですね。

以上、宜しくお願い致します。

0 件の賞賛