ビジネスサポートポータルアカウントでログイン
Active DirectoryとLDAP連携を行う環境で、[Domain Users] グループをポリシー適用対象アカウントに指定する際に注意すること  

Active DirectoryとLDAP連携を行う環境で、[Domain Users] グループをポリシー適用対象アカウントに指定する際に注意すること

    • 更新日:
    • 4 Mar 2019
    • 製品/バージョン:
    • InterScan Web Security Suite 6.5
    • InterScan Web Security Virtual Appliance 6.5
    • OS:
    • Linux すべて
概要
InterScan Web Security Virtual Appliance 6.5 SP2(以下、IWSVA)、InterScan Web Security Suite 6.5(以下、IWSS)の環境で、Active Directoryサーバ(以下、ADサーバ)から取得した [Domain Users] グループを指定してポリシーを作成する際には、以下について注意をして下さい。
詳細
Public

前提情報

IWSVA/IWSSは、ADサーバとLDAP連携を行う環境で、ADサーバからのLDAPレスポンスに含まれるドメインユーザ/ドメイングループ情報を取得・使用します。

管理コンソール画面でポリシーを作成頂く際、ADサーバから取得したドメインユーザ/ドメイングループをポリシー適用対象アカウントに指定することが可能です。

ドメイングループをポリシー適用対象アカウントに指定した場合、そのドメイングループに所属するユーザに対してポリシーが適用されることとなります。

注意点

ポリシー適用対象アカウントに [Domain Users] グループを指定した場合は、[Domain Users] グループに所属するユーザに対してポリシーが適用されないことがあります。

理由は、ADサーバから取得したドメインユーザ情報の中に、そのユーザの所属グループとして [Domain Users] グループが含まれていない為です。

その為、IWSVA/IWSSとしては [Domain Users] グループが所属グループであるという情報を取得出来ていない為、[Domain Users] グループをポリシー適用対象アカウントに指定したとしても、[Domain Users] グループに所属するユーザに対してポリシーを適用することが出来ません。

※通常は、ADサーバから取得するドメインユーザ情報の中には、そのユーザが所属するグループが含まれます。しかしプライマリグループに指定されているグループは含まれないことを確認しております。また通常、ドメインユーザのプライマリグループは [Domain Users] グループが設定されていることを確認しております。

具体例

AAAユーザの所属グループが以下3グループであり、[Domain Users] グループがプライマリグループであるとします。
・Domain Users ← AAAユーザのプライマリグループ
・Domain Admins
・Administrators

IWSVA/IWSSがADサーバから取得するAAAユーザの情報は以下のようになり、プライマリグループである [Domain Users] グループは含まれません。
・ユーザ名:AAA
・所属グループ:Domain Admins、Administrators

その為、ポリシー適用対象アカウントに [Domain Users] グループを指定したポリシーを作成しても、AAAユーザにポリシーが適用されません。

回避策

ADサーバ側で、ドメインユーザが所属するプライマリグループを [Domain Users] グループから別のグループに変更してください。

次に、IWSVA/IWSSの管理コンソールより再度ADサーバとの同期を行ってください。

以上を実施いただくことにより、ADサーバから取得するドメインユーザ情報の中に、そのユーザの所属グループとして [Domain Users] グループが含まれるようになることを確認しております。

※ただしその場合、プライマリグループに指定した別のグループは、ADサーバから取得するドメインユーザ情報の中に所属グループとして含まれませんのでご注意ください。

なお上記の事象は、Windows Server 2012 R2のADサーバにおいて発生することを確認しております。他のバージョンにおける発生有無や、ADサーバからのLDAPレスポンスにプライマリグループを含める方法、その他ADサーバ側の設定方法については、Microsoft社もしくはOS保守ベンダーへご確認下さい。

Premium
Internal
Partner
評価:
カテゴリ:
動作トラブル; 操作方法/設定
Solution Id:
1122054
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド