保護対象アカウントに設定した制限やルールが競合した場合の優先順位
UserLockの制限やルールは、Active Directoryの「ユーザー」「グループ」「Organizational Unit」のアカウント単位で設定します。
たとえば、Aliceというユーザーがいて、Aliceが「Dev1」「Team1」という2つのグループに所属していたとします。
ここで、下記のようなことが起こった場合のことを考えていきます。
ケース1:「Alice」というユーザーアカウントに対する制限と、「Dev1」グループアカウントに対する制限で、同じ項目に対して異なる制限がかけられている(※)。
ケース2:「Dev1」「Team1」のそれぞれのグループアカウントで、同じ項目に対して異なる制限がかけられている(※)。
「同じ項目に対して異なる制限がかけられている」の意味
同じ項目の設定値が、両者とも「Not configure」以外の値であり、かつ両者の設定値が違うということを意味しています。
同じ項目の設定値に関し、片方あるいは両方のアカウントの設定値がNot configureの場合、そのアカウントのその項目には制限がかかっていないことを意味しますので、競合していることにはなりません。
UserLockの優先順位
競合が発生した場合のUserLockの基本的な優先順位の考え方は、下記のようになっています。
優先度1:ユーザー単位の一時的な保護対象アカウント。
優先度2: グループまたは組織単位の一時的な保護対象アカウント。
優先度3: ユーザー単位の永続的な保護対象アカウント。
優先度4: グループまたは組織単位の永続的な保護対象アカウント。
「ケース1」を上記に照らし合わせると、「Alice」は永続の個人アカウントなので優先度3に相当し、「Dev1」は永続のグループアカウントなのでは優先度4に相当します。
そのため、「Alice」という個人アカウントに対して設定されているルールや制限のほうが、「Dev1」のそれよりも上位とみなされ、優先されます。
「ケース2」に上記を照らし合わせると、「Dev1」「Team1」はどちらも永続のグループアカウントであるため、同レベルの扱いとなります。
この場合は、UserLockの「Server Properties」で設定したポリシー(後述)に従います。
UserLockのポリシー設定
UserLockコンソールの「Server Properties」>「General」で、ポリシー設定を行うことができます。
選択肢は下記のいずれかです:
- The most restrictive as possible(可能な限り厳しくする)
- The least restrictive as possible(可能な限り緩くする)
この設定値に応じて、より厳しいほうの制限を適用するか、より緩い方の制限を適用するかが決まります。
注意
このポリシーを用いた判断は、制限項目毎に行われるという点に注意が必要です。
「Dev1」「Team1」の例だと、具体的には下記のようになります:
「Dev1」「Team1」の例だと、具体的には下記のようになります:
・「Dev1」「Team1」の片方にのみ制限が設定されている項目については、ポリシーに関わらずその制限項目はAliceに適用される
・「Dev1」「Team1」で同一項目に対し異なる内容の制限が設定されている場合、ポリシーに基づいて判断される