管理コンソールのロールベースのアクセス制御を使用して、どの管理者権限が、どの Active Directory ユーザー アカウントに付与されているかを判別します。

これらの役割と、関連付けられている権限によって、管理コンソールを使用してユーザーが実行できる管理アクションが決定されます。管理コンソールの機能と要素の可視性は、ユーザーの Active Directory アカウントに割り当てられる役割によって制御されます。たとえば、[ヘルプ デスク読み取り専用管理者] の役割が割り当てられている Active Directory グループ内のユーザーは、エンド ユーザーのユーザー カードに移動して情報を見ることができますが、デスクトップでの操作は実行できません。[ヘルプ デスク管理者] の役割が割り当てられている Active Directory グループ内のユーザーは、ユーザー カードに移動してトラブルシューティングの操作を実行し、情報を確認することができます。グループ内のユーザーが管理コンソールの 2 番目のログイン画面にログインし、管理アクションにアクセスできるようにする前に、組織の適切な Active Directory グループに役割を割り当てる必要があります。

前提条件

注意: 既存の Active Directory グループに役割を割り当てる前に、Active Directory グループ内のユーザー アカウントのメンバーシップを確認して、ユーザー アカウントが確実にこれらの役割を 1 つのみ受け取るようにします。必要に応じて、特定の Active Directory グループを作成します。これらの役割は Active Directory グループのレベルで割り当てられるため、ユーザーの Active Directory アカウントが 2 つの Active Directory グループに属していて、各グループに別の役割が割り当てられている場合は、予期しない結果が発生する可能性があります。管理コンソール機能は、以下の優先順位に従って表示されます。
  1. [スーパー管理者]
  2. [ヘルプ デスク管理者]
  3. [デモ管理者]
  4. [ヘルプ デスク読み取り専用管理者]

この優先順位の結果として、ADGroup1 および ADGroup2 の両方の Active Directory グループにユーザーの Active Directory アカウントが属していて、ADGroup1 に [スーパー管理者] の役割を、ADGroup2 に [ヘルプ デスク読み取り専用管理者] の役割をそれぞれ割り当てられる場合は、管理コンソールには [スーパー管理者] の役割に従って、その他の役割の機能のサブセットではなくすべての機能が表示されます。この理由は、[スーパー管理者] の役割が優先的に取り扱われるためです。

注意: スーパー管理者ロールが割り当てられた Active Directory グループが 1 つしかない場合は、そのグループを Active Directory サーバから削除しないでください。これを行うと、以降のログインで問題が発生する可能性があります。

手順

  1. [設定] > [役割と許可] を選択します。
    [役割と許可] ページが表示されます。
    次の表に示すように、デフォルトの役割が 4 個あります。
    役割 説明
    スーパー管理者 Active Directory ドメインの少なくとも 1 つのグループ、そしてオプションでその他に割り当てる必要がある必須の役割。この役割により、管理コンソールで管理アクションを実行するためのすべての権限が付与されます。
    重要:
    • 最初のノードで Active Directory ドメインを登録するときに指定したドメイン参加アカウントが、必ずスーパー管理者の役割が付与されたグループのいずれか 1 つにあることを確認します。イメージおよびドメイン参加の操作に関連する操作のエンドツーエンドの成功のために、ドメイン参加アカウントに対してこのスーパー管理者の役割が付与されている必要があります。
    • ドメイン バインド アカウントには常にスーパー管理者ロールが割り当てられます。これにより、管理コンソールで管理アクションを実行するためのすべての権限が付与されます。スーパー管理者権限を必要としないユーザーは、ドメイン バインド アカウントにアクセスできないようにする必要があります。
    ヘルプ デスク管理者 1 つ以上のグループに割り当てることができる役割。この役割の目的は、この役割がある Active Directory グループがユーザー カードの機能を使用して以下のことを行えるようにするために、管理コンソールへのアクセスを提供することです。
    • エンド ユーザー セッションのステータスを確認する。
    • セッションでのトラブルシューティングの操作を実行する。
    ヘルプ デスク読み取り専用管理者 1 つ以上のグループに割り当てることができる役割。この役割の目的は、この役割がある Active Directory グループがユーザー カードの機能を使用してエンド ユーザー セッションのステータスを確認できるようにするために、管理コンソールへのアクセスを提供することです。
    デモ管理者 1 つ以上のグループに割り当てることができる読み取り専用の役割。デモ管理者はコンソールで設定を表示し、オプションを選択して追加選択を確認することはできますが、選択によって設定が変更されることはありません。
  2. [役割] リストから役割を選択して、[編集] をクリックします。
  3. [編集] ダイアログ ボックスで、Active Directory の検索機能を使用して役割のグループを選択し、[保存] をクリックします。
    重要: これらの役割は、グループのみに割り当てることができます。管理コンソールで、役割ごとに個別の Active Directory ユーザー アカウントを選択するための方法はありません。

    この点は、ドメイン参加アカウントにとって重要です。最初のノードに対して登録したドメイン参加アカウントが Active Directory グループのいずれにもない場合、そのアカウントの Active Directory グループを作成して、そのドメイン参加アカウントにスーパー管理者の役割を確実に割り当てられるようにします。ドメイン参加アカウントには、スーパー管理者の役割を付与する必要があります。

    注: 同じグループを複数の役割に追加しないでください。追加すると、そのグループのユーザーは必要なすべての機能へのフル アクセスを取得できなくなる場合があります。