• [アーティクル]

Project Server 2010 のセキュリティ グループと Active Directory との同期を管理する

 

適用先: Project Server 2010

トピックの最終更新日: 2015-03-09

Microsoft Project Server 2010 セキュリティ グループの同期では、指定した Project Server セキュリティ グループのユーザーが Active Directory ディレクトリ サービスのグループ メンバーシップに基づいて自動的に追加および削除されることで、Project Server セキュリティ グループのメンバーシップを管理します。各 Project Server セキュリティ グループは、1 つの Active Directory グループにマップすることができます。ただし、この Active Directory グループには入れ子のグループが含まれている可能性があり、その場合そのグループのメンバーも同期されます。

Project Server セキュリティ グループの同期処理中に、以下の処理を実行できます。

  • 新しい Project Server ユーザー アカウントを Active Directory アカウントに基づいて作成できます。

  • 既存の Project Server ユーザーを Project Server セキュリティ グループから削除できます。

  • 既存の Project Server ユーザーを Project Server セキュリティ グループに追加できます。

  • 既存の Project Server ユーザー アカウントのメタデータ (名前、電子メール アドレスなど) が Active Directory 内で変更された場合にはそのデータを更新できます。

  • 以前無効にした Project Server ユーザー アカウントを再度有効にすることができます。

この手順を実行する前に、次の点を確認してください。

  • Project Web Access (PWA) を介して Project Server にアクセスするアカウントでは、[Active Directory 設定の管理] と [ユーザーとグループの管理] の両方のグローバル アクセス権が有効になっている。

  • Project Server インスタンスのサービス アプリケーション サービス アカウントには、同期の対象となるすべての Active Directory グループとユーザー アカウントに対する読み取りアクセス権がある。このアカウントは、SharePoint サーバーの全体管理 Web サイトの [サービス アプリケーション] ページで確認できます。

セキュリティ グループの同期のシナリオ

以下は、セキュリティ グループの同期が行われる際の考えられるシナリオと対応する処理です。

シナリオ 処理

ユーザーは Active Directory に存在し、現在の Project Server セキュリティ グループにマップされている Active Directory グループのメンバーです。ユーザーは Project Server には存在しません。

新しい対応するユーザー アカウントが Project Server に作成され、現在の Project Server セキュリティ グループに対するメンバーシップが付与されます。

ユーザーは現在の Project Server セキュリティ グループにマップされている Active Directory グループのメンバーではありません。このユーザーは Project Server に存在しており、現在の Project Server セキュリティ グループのメンバーです。

既存の Project Server ユーザーが、現在の Project Server セキュリティ グループのメンバーから削除されます。

ユーザーは Active Directory に存在し、現在の Project Server セキュリティ グループにマップされている Active Directory グループのメンバーです。このユーザーは Project Server に存在しますが、現在の Project Server セキュリティ グループのメンバーではありません。

既存の Project Server ユーザーに、現在の Project Server セキュリティ グループへのメンバーシップが付与されています。

ユーザーは Active Directory に存在し、現在の Project Server にマップされている Active Directory グループのメンバーです。このユーザーは Project Server に存在し、現在の Project Server セキュリティ グループのメンバーです。そのユーザー情報は、Active Directory で更新されました。

対応する Project Server ユーザー情報が更新されます (該当する場合)。

ユーザーは Active Directory に存在し、現在の Project Server セキュリティ グループにマップされている Active Directory グループのメンバーです。ユーザーは Project Server にも存在しますが、そのアカウントの状態は無効です。

[現在無効になっているユーザーが同期中に Active Directory で見つかった場合、自動的に再有効化する] オプションが Project Server で選択されている場合、このアカウントは再度有効になり、現在の Project Server セキュリティ グループに追加されます。このオプションが選択されていない場合、このアカウントは Project Server で無効な状態のままです。

セキュリティ グループの同期を構成する

この手順を使用して、Project Server 2010 でセキュリティ グループと Active Directory との同期を構成できます。

セキュリティ グループの同期を構成するには

  1. Project Web App の [サーバー設定] ページの [セキュリティ] セクションで、[グループの管理] をクリックします。

  2. [グループの管理] ページの [グループ名] 列で、同期させるセキュリティ グループの名前をクリックします。

  3. 選択したグループの [追加] または [編集] ページの [グループ情報] セクションで、[同期させる Active Directory グループ] の [グループの検索] をクリックします。

  4. [Active Directory でのグループの検索] ページの [グループ名] フィールドに、セキュリティ グループと同期する Active Directory グループの名前の一部または全部を入力します。[グループ名] フィールドの横のボタンをクリックして、検索条件に基づいて Active Directory フォレストを検索します。

    リモートのフォレストからグループを選択するには、グループの完全修飾ドメイン名を入力します (例: group@corp.contoso.com)。任意のスコープ (ローカル、グローバル、またはユニバーサル) のセキュリティ グループまたは配布グループに同期できます。

    注意

    検索された Active Directory フォレストは、[Active Directory でのグループの検索] ページの上部に表示されます。フォレストは、Project Server インスタンスが実行されているサービス アプリケーションのアカウントの完全修飾ドメイン名によって定義されます。

  5. [グループ名] ボックスの一覧で、Project Server セキュリティ グループを同期するグループを選択します。[OK] をクリックします。

  6. [グループの追加] または [グループの編集] ページで、[グループ情報] セクションで選択した Active Directory グループが [同期させる Active Directory グループ] の横に表示されます。[保存] をクリックします。

  7. [グループの管理] ページの [グループ名] 列で、同期を構成したセキュリティ グループの横のチェック ボックスをオンにします。次に [Active Directory 同期オプション] をクリックします。

  8. 一定のスケジュールで同期が実行されるようにする場合は、[Project Server グループを Active Directory と同期] ページの [スケジュール] セクションで [スケジュールによる同期] を選択します。または、手動でセキュリティ グループの同期を実行することもできます。手動で実行する場合は、手順 10. に進みます。

  9. [頻度] フィールドで、Project Server セキュリティ グループと Active Directory グループの間で同期を実行する頻度を定義します。同機は一定の周期 (日、週、または月) でスケジュール設定できます。開始日時を選択します。

  10. 同期中に Active Directory グループで無効になっているユーザー アカウントが見つかった場合に、そのアカウントを再度有効にすることができます。再度有効にするには、[オプション] セクションで、[現在無効になっているユーザーが同期中に Active Directory で見つかった場合、自動的に再有効化する] を選択します (たとえば、このオプションを有効にすると、再雇用された従業員のユーザー アカウントが再度有効になります)。

  11. [保存] をクリックして設定を保存します。すぐに Project Server セキュリティ グループを同期する場合は、[保存して今すぐ同期] をクリックします。同期のスケジュールを設定しない場合は、同期する必要があるときにこのページに戻り、[保存して今すぐ同期] をクリッすると同期を手動で再実行できます。

  12. セキュリティ グループの同期の状態を確認するには、特定のセキュリティ グループの [Project Server グループを Active Directory と同期] ページに戻り、[状態] セクションの情報を確認します。このセクションには、最後に正常な同期が実行された日時などの情報が表示されます。