tokata
2 Iron

IsilonのAD JoinでDomain Userを使用する場合について

Isilon(OneFS 8.2.0.0)においてActive Directoryに参加(Join)するために、
ユーザ/パスワードを入力する必要がありますが、
お客様環境では「Domain Users」権限のユーザしか提供できないと言われております。
(「Account Operators」権限もダメでした)

OneFS 8.2.0.0のシミュレータを使用し、Active Directory(Windows2012R2)も
デフォルト設定のままで確認してみたところ、「Domain Users」権限のみのユーザでも
Joinすることができました。

★このまま使用しても問題ないのでしょうか?


「Domain Admins」権限のユーザでもJoinを実施して比較してみたのですが、
Active Directoryのコンピューターオブジェクト(クラスタ名)のプロパティの
「オペレーティング システム」タブの表示で、
「Domain Admins」権限の場合はIsilonのOneFS情報が表示されるのですが、
「Domain Users」権限の場合はIsilonのOneFS情報が表示されませんでした。

★上記表示の違いによって何か影響がありますでしょうか?


なお、コミュニティの「Isilon ドメイン参加時の権限」のタイトルで
Administratorでなくてもドメイン参加できるとして下記の情報がありました。

333402 : OneFS: How to join an Isilon Cluster to a domain without Domain Administrator privileges

★上記はOneFS 8.2.0.0も対象になるのでしょうか?


また、手順としては、Active Directory側にコンピューターオブジェクト(クラスタ名)を作成し、
下記の権限を付与するとなっていました。

 Reset Password
 Read Account Restrictions
 Write Account Restrictions
 Validate write to DNS host name
 Write public information

★上記は何に対して付与するか判りますでしょうか?

こちらで確認した方法としては、Active Directoryのコンピューターオブジェクト(クラスタ名)の
セキュリティタブでドメイン参加に使用するユーザを追加し、
そのユーザのデフォルト権限に上記権限を追加すると、
そのユーザでドメイン参加した時は、「Domain Admins」権限のユーザと同じように
「オペレーティング システム」のタブの表示でIsilonのOneFS情報がを表示されました。
(上記でデフォルト権限をすべて削除し、指定の権限のみの付与だと表示されませんでした)

以上、ご確認を宜しくお願い致します。

ラベル(1)
タグ(1)
0 件の賞賛