はじめに
このドキュメントでは、LDAPグループクエリがEメールセキュリティアプライアンス(ESA)で機能しない理由について説明します。
LDAPグループクエリがActive Directoryで機能しないのはなぜですか。
指定したグループのメンバーであることが確実なユーザを使用してテストした場合、LDAPグループクエリで期待どおりの結果が生成されないのはなぜですか。
Microsoft Active Directoryを使用したグループクエリでは、グループの共通名(CN)ではなく、グループの識別名(DN)を使用する必要があります。次に、これら2つの項目の例をいくつか示します。
共通名(CN):
Administrators
フェニックス – ユーザ
識別名(DN):
CN=Administrators, DC=Example, DC=Com
CN=Phoenix-Users、OU=Phoenix、DC=Cisco、DC=Com
DNが不明な場合は、「Active Directory Users and Computers:
- [表示]メニューから[高度な機能]を選択します
- 目的のグループオブジェクトのプロパティから、[アトリビュートエディタ]をクリックします
- 'distinguishedName'属性までスクロールし、属性をダブルクリックします
- 文字列全体が強調表示されます。 右クリックしてクリップボードにコピー
グループのDNがわかれば、グループの名前を指定する際はいつでも使用できます。 これには、テストクエリ、コンテンツフィルタ、メッセージフィルタ、メールポリシーが含まれます。
もう1つの方法は、次の2つのプログラムのいずれかを使用してDNを見つけることです。
ADExplorer:
http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx
Softerra LDAPブラウザ:
http://www.ldapadministrator.com/download.htm
この目的でこれらのツールのいずれかを使用するための一般的なプロセスを次に示します。
- LDAPブラウジングツールを使用してドメインコントローラに接続します
- グループのメンバーであるユーザー・オブジェクトを検索します
- ユーザーオブジェクトの'memberOf'属性を検索します
- ターゲットにするグループに対応するDNを検索します
- この属性からターゲットグループのDNをコピーします