ADManager Plus ナレッジベース

ManageEngine > サポート > ADManager Plus ナレッジベース > 設定と操作 > 委任機能ガイド
戻る

委任機能ガイド

  • 作成日:2020年12月10日 | 更新日:2025年9月4日

本ナレッジでは、ADManager Plusの「委任」機能について紹介します。

 

 

委任機能とは?

委任機能によって、Active Directory(以下、AD)管理業務のうち、一部の作業を管理者以外の担当者(オペレーター)に委任できます。これによりAD管理者の作業負荷を軽減し、また対応スピードを高めることが可能です。

 

委任機能を使用する場合、オペレーターライセンスが必要です。厳密には、委任する対象ユーザーを「オペレーター」として製品に登録する必要があり、その際にオペレーターライセンスが消費されます。そのため、ご購入いただいたライセンスにより登録できるオペレーター数は異なります。

委任を設定した場合でも、AD上のユーザーオブジェクトの権限(ACL)は変更されません。あくまでも製品上での権限を委任する機能です。

 

活用例

  • ヘルプデスクにユーザーのパスワードリセットとアカウントロック解除の権限のみを委任する
  • 人事担当者にユーザーの管理(作成/変更/削除)のみを委任する
  • 各部署の担当者にファイルサーバーのアクセス権可視化レポートのみを委任する

 

委任設定

設定のイメージ

"オペレーター"を製品画面より登録し、当該オペレーターに"オペレーターの役割"を紐づけることで委任が可能です。

オペレーター:ADManager Plus上での操作権限を委任されたユーザー

オペレーターの役割:オペレーターが実行できる操作(役割)の定義

画像のように1つのオペレーターの役割を複数のオペレーターに紐づけることも、複数のオペレーターの役割を1人のオペレーターに紐づけることも可能です。

 

オペレーターの登録方法

委任機能を使用する場合は、下記のような流れで設定します。

1. [委任]タブ --> [オペレーターの委任]--> [オペレーター]-->[オペレーターの追加]をクリック

2. 下記項目を設定

  • ドメインの選択:委任対象のドメインを選択します
  • AD ユーザーを選択:委任するユーザーを選択します
  • オペレーターの役割を選択:紐づけるオペレーターの役割を選択します
  • OUの選択:当該オペレーターが管理できるOUを選択します
    ※特定OU内のオブジェクトだけを管理またはレポーティングさせたい場合、こちらでOUを選択することで実現できます。
    例)オペレーターAに"総務部OUのユーザーだけ"のパスワード変更を委任する など
  • 管理者として振る舞う:詳細はこちら

3. [保存]をクリック

 

オペレーターの編集方法

オペレーターの編集では、委任設定の変更ならびにより高度な委任の設定が可能です。具体的には、下記の項目を追加で設定できるようになります。

編集方法は以下のとおりです。

1. [委任]タブ > [オペレーター]に移動

2. 対象オペレーターの編集(えんぴつアイコン)をクリック

3. 必要に応じて委任するOUや役割を変更

・OUの選択:管理対象のOUを選択します。
・オペレーターの役割を選択:委任する役割を選択します。
・テンプレートの割り当て:オペレーターが使用可能なテンプレートを選択します。
・管理者として振る舞う:[ドメイン設定]で指定された権限を使用してADに対する操作を行う場合、チェックを入れます。
・ファイルサーバーの選択:必要に応じて、管理可能なファイルサーバーを選択します。
・表示可能グループ:オペレーターに対して表示/非表示にするグループを選択します。
- 含まれるグループ:オペレーターに対して表示するグループを選択します。
- 除外されたグループ:オペレーターに対して非表示にするグループを選択します。
・Microsoft 365:Microsoft 365アカウントを管理する場合は対象アカウントにチェックを入れます。

4. [変更を保存]をクリック

 

オペレーターの役割の詳細

オペレーターの役割では、オペレーターが実行できる操作(役割)の定義を管理します。

役割作成の方法

1. [委任]タブ > [オペレーターの役割]に移動

2. [役割の作成]をクリック

3. 役割の名称と役割の説明を記入

4. 委任したい操作を選択

5. [保存]をクリック

補足①:属性単位の高度な委任設定

ADManager Plusの委任では、属性単位やオプション単位での委任が可能です。

例)ユーザー作成を委任する際に必要な属性だけ委任したい場合
[ユーザー属性権限]より委任したい属性を選択可能です。当該役割を委任されたオペレーターは、こちらで選択された属性のみ入力でき、選択されていない属性はグレーアウトの状態で入力できなくなります。

選択されていない属性もグレーアウト状態のため属性項目自体は、オペレーターの画面で表示されています。もし項目自体も非表示にしたい場合は、属性項目を編集したテンプレートのみをオペレーターに割り当てることで実現可能です。

 

補足②:「ユーザーの変更」委任時の注意点

シングルユーザーの変更を委任したい場合、「当該項目の選択」に加えて「対応属性を下の項目より選択する」必要があります。

例)パスワード変更と一部オプションを委任したい場合
[シングルユーザーの変更]ならびに一般属性カテゴリー内の[パスワード変更]を選択します。

 

管理者として振る舞うオプションの詳細

オプションが有効の場合:オペレーターは[ドメイン設定]で指定された権限を使用してADに対する操作を行います。
オプションが無効の場合:オペレーターはAD上での自分自身の権限を使用してADに対して操作を行います。

そのため当該オプションを無効にした場合、オペレーターはAD上での操作権限がないためにADManager Plusからの操作を実行できない場合があります。

 

表示可能グループ項目の詳細

オペレーターの編集画面では、グループ選択時に適用される"表示可能グループ"を設定できます。

含まれるグループ:こちらに追加されたグループのみ表示されます。特定グループからのみ選択させたい場合に有効です

除外されたグループ:こちらに追加されたグループは表示されません。特定グループを一覧から除外したい場合に有効です

こちらの設定は、所属するグループ属性を設定する際の"グループの選択"画面などでのみ有効です。[すべてのグループ]レポートを生成する際などは適用されないため、すべてのグループが表示されます。

 

監査レポート

監査レポート機能の詳細は、こちらのナレッジをご参照ください。

 

このナレッジの総閲覧回数: 3,713

関連ナレッジ:

  1. OUベースの委任
  2. 委任の拡張機能
  3. デフォルトテンプレートを変更する方法
  4. アクセス許可の管理をフォルダー単位でオペレーターに委任する方法