FOPE ディレクトリ同期ツールで同期されたアカウントを制御する

ディレクトリ同期ツール (DST)  は、アカウントに対する Active Directoryへのクエリに依存しているため、アカウントを読み込むためにアクセス許可/ACL とその属性に依存しています。

  • これまで使用されてきた 1 つの方法は、DST が使用するアカウントが OU、およびそこに含まれるコンテンツにアクセスすることを妨げるような方法で、アカウントを組織から ACL に登録されている OU にこれ以上移動することがなくなったユーザーのアカウントをアーカイブすることです。DST ツールは、"ネットワーク サービス" アカウントの下で動作します。このため、AD に対するクエリは、DST が動作しているコンピューターでは "ユーザー" アカウントとして表示されます。そのコンピューター アカウントの OU に DENY ACE を挿入すると、DST はそこにあるオブジェクトを参照できず、そのアカウントを管理センターで無効にすることができなくなります。
  • 同じ原則に基づいたもう 1 つの方法は、DST が動作しているコンピューターの実際のアカウント自体を DENY ACE と共に ACL に登録することです。実際のサービス アカウント下で DST を実行することを検討することができます。また、DST ツールを別のサーバーに移動していた場合、コンピューター名が同じであることについて心配する必要はありません。サービスをそのサービス アカウントの下で動作するよう設定し直す必要があるだけです。個々のアイテムの DENY ACE は、やや面倒な処理になりますが、配布リストに対する電子メールを外部から受け取らないようにするのに役立ちます。

これらの両方の方法では、増分の同期によって既存のアカウントを無効にすることはできません。既に管理センターにあるアカウントを強制的に DST が無効にするようにするには、完全な同期を実行する必要があります。

完全な同期を強制する方法については、「FOPE ディレクトリ同期ツールが完全な同期を強制する」 を参照してください。