承認マネージャーを使用してリソースへのアクセスを制御する前に、承認ストアを作成する必要があります。
この手順を完了するために最低限必要なグループ メンバーシップは、Administrators です。詳細については、このトピックの「その他の考慮事項」を参照してください。
承認ストアを作成するには |
承認マネージャーを開きます。
必要な場合は、承認マネージャーのオプションを変更して開発者モードに切り替えます。
コンソール ツリーで、[承認マネージャー] を右クリックし、[新しい承認ストア] をクリックします。
[新しい承認ストア] ダイアログ ボックスで、[Active Directory]、[XML ファイル]、または [Microsoft SQL] をクリックします。
[ストア名] に承認ストア名を入力するか、[場所] をクリックして承認ストアを参照します。[場所] を使用して Microsoft SQL Server を実行しているコンピューターを参照することはできません。SQL Server 内にストアを作成するには、使用する場所を知っている必要があります。
(省略可能) [説明] に新しい承認ストアの説明を入力します。
[OK] をクリックします。
その他の考慮事項
-
この手順を実行するには、開発者モードで作業する必要があります。
-
Active Directory ドメイン サービス (AD DS) に保存される承認ストアを作成するには、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 名を使用します (たとえば、CN=myStore,CN=Program Data,DN=nwtraders,DN=com)。ストアは Active Directory ドメイン サービス (AD DS) パーティションまたは Active Directory ライトウェイト ディレクトリ サービス (AD LDS) パーティションに作成できます。AD LDS は以前は Active Directory/Application Mode (ADAM) と呼ばれていました。
-
AD LDS パーティションに格納される承認マネージャー ストアに対して、Policy Administrator、Policy Reader、または Policy Delegated User ロールに割り当てられるすべてのユーザーまたはグループは、レベル (ストア、アプリケーション、またはスコープ) に関係なく、その AD LDS パーティションの AD LDS の Reader ロールにも追加される必要があります。
-
XML ベースの承認ストアを作成するには、実行時に有効なパスとファイル名を使用します (たとえば、C:\AuthStores\MyStore.xml)。
-
SQL ベースの承認ストアを作成するには、プロトコルのプレフィックスが MSSQL:// で始まる URL を入力します。SQL 接続文字列を URL 形式で記述する方法の詳細については、「その他の参照情報」を参照してください。
-
既定では、ローカル グループ Administrators のメンバーは、このタスクを完了するための十分な権利と特権を持っています。実際の環境で、管理者以外のユーザーが追加の権利を持つようにセキュリティが管理されていることがあります。
-
ユーザー アカウント制御が有効な場合、管理者以外のユーザーが、Administrators グループのメンバーでなくても管理者の資格情報を入力して、管理タスクを完了できるように構成されている可能性があります。
-
別のコンピューターにストアを作成しようとしている場合は、そのコンピューターで適切な種類のリソースへのアクセスと作成を行うために、十分なアクセス許可を持っていることを確認する必要があります。
その他の参照情報