未解決
2 Intern
•
148 メッセージ
0
1466
IsilonのAD JoinでDomain Userを使用する場合について
Isilon(OneFS 8.2.0.0)においてActive Directoryに参加(Join)するために、
ユーザ/パスワードを入力する必要がありますが、
お客様環境では「Domain Users」権限のユーザしか提供できないと言われております。
(「Account Operators」権限もダメでした)
OneFS 8.2.0.0のシミュレータを使用し、Active Directory(Windows2012R2)も
デフォルト設定のままで確認してみたところ、「Domain Users」権限のみのユーザでも
Joinすることができました。
★このまま使用しても問題ないのでしょうか?
「Domain Admins」権限のユーザでもJoinを実施して比較してみたのですが、
Active Directoryのコンピューターオブジェクト(クラスタ名)のプロパティの
「オペレーティング システム」タブの表示で、
「Domain Admins」権限の場合はIsilonのOneFS情報が表示されるのですが、
「Domain Users」権限の場合はIsilonのOneFS情報が表示されませんでした。
★上記表示の違いによって何か影響がありますでしょうか?
なお、コミュニティの「Isilon ドメイン参加時の権限」のタイトルで
Administratorでなくてもドメイン参加できるとして下記の情報がありました。
333402 : OneFS: How to join an Isilon Cluster to a domain without Domain Administrator privileges
★上記はOneFS 8.2.0.0も対象になるのでしょうか?
また、手順としては、Active Directory側にコンピューターオブジェクト(クラスタ名)を作成し、
下記の権限を付与するとなっていました。
Reset Password
Read Account Restrictions
Write Account Restrictions
Validate write to DNS host name
Write public information
★上記は何に対して付与するか判りますでしょうか?
こちらで確認した方法としては、Active Directoryのコンピューターオブジェクト(クラスタ名)の
セキュリティタブでドメイン参加に使用するユーザを追加し、
そのユーザのデフォルト権限に上記権限を追加すると、
そのユーザでドメイン参加した時は、「Domain Admins」権限のユーザと同じように
「オペレーティング システム」のタブの表示でIsilonのOneFS情報がを表示されました。
(上記でデフォルト権限をすべて削除し、指定の権限のみの付与だと表示されませんでした)
以上、ご確認を宜しくお願い致します。
Go.Y
2 Intern
2 Intern
•
293 メッセージ
2
2019年8月20日 18:00
tokata
2 Intern
2 Intern
•
148 メッセージ
0
2019年8月22日 15:00
Go.Yさん
ご確認ありがとうございます。
KB333402とMicrosoftのKBで指定する権限について、一部違うところがありました。
<KB333402>
Write public information
<MicrosoftのKB>
Validated write to service principal name
念のため、両方指定した方が良いかもしれませんね。
また、指定の権限の付与は、OUの「制御の委任」より設定するようですが、
コンピュータオブジェクト(クラスタ名)を作成する時に、その設定した権限が
コンピュータオブジェクト(クラスタ名)にも付与されるようで、
作成したコンピューターオブジェクト(クラスタ名)でも変更することができるようです。
なお、コンピューターオブジェクト(クラスタ名)のプロパティの
「オペレーティング システム」タブの表示は、下記の権限を付与すれば
表示することができました。
Write Operating System
Write Operating System Version
そうすると、表示だけの問題のようなので、上記権限は無くても影響なさそうですね。
以上、宜しくお願い致します。