eDirectoryオブジェクトの各タイプの定義を、オブジェクトクラスといいます。たとえば、「ユーザ」や「組織」は、オブジェクトクラスです。オブジェクトの各クラスには、それぞれ特定のプロパティがあります。たとえば、ユーザオブジェクトには、ログイン名、パスワード、姓、および他の多くのプロパティがあります。
スキーマでは、オブジェクトクラスとプロパティ、および保管規則(どのコンテナにどのオブジェクトを保管するか)が定義されます。eDirectoryにはベーススキーマが付属しています。このベーススキーマは、ユーザまたはユーザが使用するアプリケーションによる拡張が可能です。スキーマの詳細については、スキーマを参照してください。
コンテナオブジェクトは、他のオブジェクトを格納し、ツリーをさまざまな分岐に分割するために使用されます。一方、リーフオブジェクトはネットワークリソースを表します。
次の表に、eDirectoryのオブジェクトクラスを示します。サービスを追加した場合は、表内のオブジェクトクラス以外のオブジェクトクラスがeDirectory内に新たに作成されることがあります。また、eDirectoryのホストとなるすべてのサーバオペレーティングシステムで、すべてのクラスが使用できるわけではありません。
iManagerアイコン | コンテナオブジェクト(略語) | 説明 |
---|---|---|
ツリー |
ツリーの開始点を表します。詳細については、ツリーを参照してください。 |
|
国(C) |
ネットワークが存在する国を表します。その下には、国内の他のディレクトリオブジェクトが編成されます。詳細については、国を参照してください。 |
|
ライセンスコンテナ(LC) |
NLS(Novell Licensing Services)技術を使用して、ライセンス許可証をインストールした場合や課金許可証を作成した場合に自動的に作成されます。NLS対応のアプリケーションをインストールすると、LCコンテナオブジェクトがツリーに追加され、ライセンス許可証リーフオブジェクトがそのコンテナに追加されます。 |
|
組織(O) |
ディレクトリ内の他のオブジェクトの編成に使用されます。組織オブジェクトは、国オブジェクトの直下に配置されます(国オブジェクトを作成している場合)。詳細については、組織を参照してください。 |
|
部門(OU) |
ディレクトリ内の他のオブジェクトをさらに細かく編成するために使用されます。部門オブジェクトは、組織オブジェクトの直下に配置されます。詳細については、部門を参照してください。 |
|
ドメイン(DC) |
ディレクトリ内の他のオブジェクトをさらに細かく編成するために使用されます。ドメインオブジェクトは、ツリーオブジェクトの下、または組織、部門、国、および地域オブジェクトの下に作成されます。詳細については、ドメインを参照してください。 |
iManagerアイコン | リーフオブジェクト | 説明 |
---|---|---|
AFPサーバ |
eDirectoryネットワーク内のノードとして機能する、AppleTalk*ファイリングプロトコルサーバを表します。通常、複数のMacintosh*コンピュータに対するNetWareルータおよびAppleTalkサーバとしても機能します。 |
|
別名 |
ディレクトリ内にあるオブジェクトの実際の位置を指します。別名を使用することによって、ディレクトリ内のディレクトリオブジェクトを、実際の場所とは異なる場所に存在するように表示できます。詳細については、別名を参照してください。 |
|
アプリケーション |
ネットワークアプリケーションを表します。アプリケーションオブジェクトによって、権利の割り当て、ログインスクリプトのカスタマイズ、およびアプリケーションの起動のような、管理作業を簡素化できます。 |
|
コンピュータ |
ネットワーク内のコンピュータを表します。 |
|
ディレクトリマップ |
ファイルシステム内のディレクトリを表します。詳細については、ディレクトリマップを参照してください。 |
|
グループ |
ディレクトリ内のユーザオブジェクトのリストに名前を割り当てます。各ユーザに権利を割り当てる代わりに、グループに権利を割り当てることによって、グループ内の各ユーザに権利を与えることができます。詳細については、グループを参照してください。 |
|
ライセンス許可証 |
プロダクトライセンス許可証をデータベースのオブジェクトとしてインストールするために、NLS技術とともに使用されます。NLS対応アプリケーションをインストールすると、ライセンス許可証オブジェクトがライセンスプロダクトコンテナに追加されます。 |
|
職種 |
組織内での地位や職種を定義します。 |
|
プリントキュー |
ネットワークのプリントキューを表します。 |
|
プリントサーバ |
ネットワークのプリントサーバを表します。 |
|
プリンタ |
ネットワークのプリンタを表します。 |
|
プロファイル |
共通のログインスクリプトコマンドを共有するユーザグループが使用するログインスクリプトを表します。これらのユーザは同じコンテナに属する必要はありません。詳細については、プロファイルを参照してください。 |
|
サーバ |
任意のオペレーティングシステムが動作するサーバを表します。詳細については、サーバを参照してください。 |
|
テンプレート |
新しいユーザオブジェクトに適用する標準のユーザオブジェクトプロパティを表します。 |
|
不明 |
iManagerにカスタムアイコンが存在しないオブジェクトを表します。 |
|
ユーザ |
ネットワークを使用する人を表します。詳細については、ユーザを参照してください。 |
|
ボリューム |
ネットワーク上の物理的なボリュームを表します。詳細については、ボリュームを参照してください。 |
ネットワーク内のサーバにeDirectoryを初めてインストールすると、ツリーコンテナ(以前の[Root]コンテナ)が作成されます。最上位のコンテナであるツリーコンテナには、通常、組織オブジェクト、国オブジェクト、または別名オブジェクトが格納されます。
ツリーコンテナはツリーの最上部を表します。
ツリーは、包括的な権利の割り当てに使用します。ツリーに対して行った権利の割り当ては、継承機能によって、ツリー内のすべてのオブジェクトに適用されます。eDirectoryでの権利を参照してください。デフォルトで、トラスティ[Public]はツリーに対するブラウズ権を所有し、Adminはツリーに対するスーパバイザ権を所有します。
ツリーオブジェクトは名前プロパティを持っています。名前プロパティは、最初のサーバのインストール時に指定されたツリー名を表します。ツリー名はiManagerの階層に表示されます。
ネットワークのサーバにeDirectoryをインストールすると、組織コンテナオブジェクトが作成されます。通常、組織コンテナは最上部のツリーコンテナの直下に作成され、コンテナ内には部門オブジェクトとリーフオブジェクトが格納されます。
デフォルトでは、最初の組織コンテナに、Adminという名のユーザオブジェクトが作成されます。
通常、組織オブジェクトは会社を表しますが、ツリーの下に組織オブジェクトを追加作成することもできます。一般的に、組織オブジェクトの追加作成は、さまざまな地区で構成されるネットワークや、独立した複数のeDirectoryツリーがマージされているネットワークで行われます。
ツリーでの組織オブジェクトの運用方法は、ネットワークのサイズと構造により異なります。小規模のネットワークでは、1つの組織オブジェクトの下にすべてのリーフオブジェクトを配置します。
大規模なネットワークでは、組織オブジェクトの下に部門オブジェクトを作成します。これにより、リソースの検索と管理を容易にできます。たとえば、社内の各部署や事業部ごとに部門オブジェクトを作成できます。
複数のサイトがあるネットワークでは、組織オブジェクトの下に各サイトを表す部門オブジェクトを作成します。ディレクトリを分割するためのサーバ数が十分にあれば、このようにサイトの境界で論理的にパーティションを区切ることができます。
プリンタ、ボリューム、アプリケーションといった、社内全体で使用するリソースを共有しやすくするために、組織の直下に、対応するプリンタ、ボリューム、アプリケーションのオブジェクトを作成します。
組織オブジェクトの最も有用なプロパティを次に示します。名前プロパティは必須です。すべてのプロパティの一覧を表示するには、iManagerで組織オブジェクトを選択します。プロパティの各ページの説明を表示するには、[ヘルプ]をクリックします。
通常、名前プロパティは会社名と同じです。もちろん、簡略化するために短くすることもできます。たとえば、会社名がYour Shoe Companyの場合、YourCoとすることができます。
組織名は、その下に作成されるすべてのオブジェクトのコンテキストの一部として使用されます。
ログインスクリプトプロパティには、組織の直下にあるユーザオブジェクトが実行するコマンドが格納されます。これらのコマンドは、ユーザのログイン時に実行されます。
部門(OU)コンテナオブジェクトを作成することによって、ツリーを細分化できます。部門は、iManagerによって、組織、国、または別の部門オブジェクトの下に作成されます。
部門には、ユーザオブジェクトやアプリケーションオブジェクトといった、他の部門やリーフオブジェクトを格納できます。
通常は、部門オブジェクトは1つの部署を表し、互いにアクセスする必要がある複数のオブジェクトを格納します。部門オブジェクトの主な格納内容として、複数のユーザ、およびユーザが使用するプリンタ、ボリューム、アプリケーションなどを挙げることができます。
部門オブジェクトの最上位レベルに配置された各部門は、WANリンクごとに区切られたネットワークの各サイトを表します。
ツリーでの部門オブジェクトの運用方法は、ネットワークのサイズと構造により異なります。小規模のネットワークでは、部門オブジェクトを作成する必要がない場合もあります。
大規模なネットワークでは、組織オブジェクトの下に部門オブジェクトを作成します。これにより、リソースの検索と管理を容易にできます。たとえば、社内の各部署や事業部ごとに部門オブジェクトを作成できます。ユーザオブジェクトと、ユーザが頻繁に使用するリソースを一緒に部門オブジェクトに格納すると、管理が最も容易になります。
複数のサイトがあるネットワークでは、組織オブジェクトの下に各サイトを表わす部門オブジェクトを作成します。ディレクトリを分割するためのサーバ数が十分にあれば、このようにサイトの境界で論理的にパーティションを区切ることができます。
部門オブジェクトの最も有用なプロパティを次に示します。名前プロパティは必須です。すべてのプロパティの一覧を表示するには、iManagerで部門オブジェクトを選択します。プロパティの各ページの説明を表示するには、[ヘルプ]をクリックします。
通常、名前プロパティは部署名と同じです。もちろん、簡略化するために短くすることもできます。たとえば、部署名がAccounts Payableの場合、省略してAPとすることができます。
部門名は、その下に作成されるすべてのオブジェクトのコンテキストの一部として使用されます。
ログインスクリプトプロパティには、部門の直下にあるユーザオブジェクトが実行するコマンドが格納されます。これらのコマンドは、ユーザのログイン時に実行されます。
国オブジェクトは、iManagerを使用して、ツリーオブジェクトの直下に作成できます。国オブジェクトは、特定のX.500グローバルディレクトリに接続する場合にのみ必要です。
国オブジェクトは、ツリーの分岐先の国家名を表します。
ネットワークが複数の国に渡っている場合でも、管理者は通常、国オブジェクトを作成しません。これは、国オブジェクトがツリーに不要なレベルを追加するだけだからです。ネットワークが複数の国家で構成されている場合は、必要に応じて、ツリーオブジェクトの下に1つ以上の国オブジェクトを作成できます。国オブジェクトには、組織オブジェクトのみ格納できます。
国オブジェクトを作成していない場合でも、後で必要になった時には、随時ツリーを変更して国オブジェクトを追加できます。
国オブジェクトには、2文字の名前プロパティがあります。国オブジェクトの名前には、US、UK、またはDEといった、2文字の標準コードが使用されます。
ドメインオブジェクトは、iManagerを使用してツリーオブジェクトの直下に作成できます。また、組織、部門、国、および地域オブジェクトの下にも作成できます。
ドメインオブジェクトは、DNSのドメインコンポーネントを表します。ドメインオブジェクトを使用すると、ドメインネームシステムによって示されるサービスリソースレコードの場所(DNS SRV)に基づいて、ツリー内のサービスを検索できます。
ドメインオブジェクトを使用すると、ツリーは次のように表されます。
DS=Novell.DC=Provo.DC=USA
この例では、すべてのサブコンテナがドメインになっています。次のように、異なるツリーが混在する場合にもドメインオブジェクトを使用できます。
DC=Novell.O=Provo.C=USA
または
OU=Novell.DC=Provo.C=USA
通常、先頭のドメインはツリー全体を表し、サブドメインはそのツリーの下位の部分を表します。たとえばmachine1.novell.comをツリーで表すと、DC=machine1.DC=novell.DC=comとなります。ドメインは、eDirectoryツリーの設定で使用される一般的な方法です。コンテナおよびサブコンテナがすべてDCオブジェクトである場合は、オブジェクトを検索するときに、C、O、またはOUを記憶している必要はありません。
NetWare 4および5のツリーでは、ドメインオブジェクトをツリーの最上位にすることはできません。NetWare 4および5では、NCPサーバオブジェクトを組織、国、部門、または地域コンテナに配置できますが、ドメインコンテナには配置できません。ただしNetWare 6では、ドメインオブジェクトをツリーの最上位にすることができます。またNCPサーバオブジェクトをドメインコンテナに配置できます。
NetWareの以前のインストール(NetWare 4など)を使用している場合、NetWare 5以降のインストールやアップグレードに備えてツリーを設定するときに、nds500.schファイルが自動的に実行されます。最初のサーバをツリーにインストールすると、このファイルによりスキーマが拡張され、任意の場所にドメインコンテナを作成し、ほとんどのディレクトリオブジェクトを格納できます。
サーバにeDirectoryをインストールすると、そのサーバに対応するサーバオブジェクトが、ツリー内に自動作成されます。このオブジェクトクラスは、eDirectoryが動作しているいずれかのサーバを表します。
NetWare 2またはNetWare 3バインダリサーバを表すサーバオブジェクトを作成することもできます。
サーバオブジェクトは、eDirectoryが動作しているサーバ、またはバインダリベース(NetWare 2またはNetWare 3)のサーバを表します。
サーバオブジェクトはレプリケーション処理のリファレンスポイントの役目を果たします。バインダリベースのサーバを表すサーバオブジェクトでは、iManagerでそのサーバのボリュームを管理できます。
サーバオブジェクトの主なプロパティとして、ネットワークアドレスプロパティがあります。ネットワークアドレスプロパティには、そのサーバのプロトコルとアドレス番号が表示されます。これはパケットレベルでのトラブルシューティングに役立ちます。
すべてのプロパティの一覧を表示するには、iManagerでサーバオブジェクトを選択します。プロパティの各ページの説明を表示するには、[ヘルプ]をクリックします。
サーバ上に物理ボリュームを作成すると、ツリー内にボリュームオブジェクトが自動作成されます。デフォルトでは、サーバ名にアンダースコアと物理ボリューム名を追加したものが、ボリュームオブジェクトの名前になります(YOSERVER_SYSなど)。
ボリュームオブジェクトはNetWareでのみ作成できます。UNIXファイルシステムのパーティションは、ボリュームオブジェクトを使用して管理することはできません。
ボリュームオブジェクトは、サーバ上の物理ボリューム(書き込み可能ディスクやCDなどの記憶媒体)を表します。eDirectory内のボリュームオブジェクトには、そのボリューム内のファイルやディレクトリに関する情報は含まれませんが、iManagerを使用すれば、それらの情報にアクセスできます。ファイルおよびディレクトリに関する情報は、ファイルシステム自体に保存されます。
iManagerで[ボリューム]アイコンをクリックすると、そのボリュームのファイルやディレクトリを管理できます。iManagerにより、ボリュームの空きディスク容量、ディレクトリエントリ領域、および圧縮の統計に関する情報が提供されます。
ツリー内に、NetWare 2やNetWare 3ボリュームのボリュームオブジェクトを作成することもできます。
必須の名前プロパティおよびホストボリュームプロパティに加えて、ボリュームオブジェクトには他にも重要なプロパティがあります。
ツリー内のボリュームオブジェクトの名前です。デフォルトでは、この名前は物理ボリュームの名前に基づいて付けられますが、変更も可能です。
ボリュームが存在するサーバの名前です。
ボリュームの格納先であるサーバのNetWareまたはeDirectoryのバージョンです。
物理ボリューム名です。実際のボリュームオブジェクト名は物理ボリューム名を反映する必要がないため、ボリュームオブジェクトを物理ボリュームと関連付けるためにこのプロパティが必要になります。
ログインにはユーザオブジェクトが必要です。ツリーに最初のサーバがインストールされると、Adminというユーザオブジェクトが作成されます。初回ログイン時には、Adminとしてログインします。
ユーザオブジェクトの作成またはインポートには、次の機能を使用できます。
iManagerの詳細については、『Novell iManager 2.0.x Administration Guide(Novell iManager 2.0.x 管理ガイド)』を参照してください。
バッチファイルの使用の詳細については、eDirectoryツリーの設計を参照してください。
既存のバインダリサーバからのユーザのインポートなど、アップグレードユーティリティの詳細については、eDirectoryツリーの設計を参照してください。
ユーザオブジェクトはネットワークを使用するユーザを表します。
ネットワークを使用するユーザ全員に対して、ユーザオブジェクトを作成します。ユーザオブジェクトは個別に管理することもできますが、次のようにすると時間の節約になります。
ユーザオブジェクトには80を超えるプロパティがあります。すべてのプロパティの一覧を表示するには、iManagerでユーザオブジェクトを選択します。プロパティの各ページの説明を表示するには、[ヘルプ]をクリックします。
ログイン名プロパティと姓プロパティは必須です。これら必須のプロパティおよび、他の有用なプロパティを次に示します。
このプロパティが表すディレクトリは、ユーザオブジェクトの作成時に自動作成することもできます。
eDirectoryでは、各コンテナ内で固有のログイン名を使用する必要がありますが、ネットワーク内の別のコンテナ間では同じログイン名を使用できます。ただし、社内全体で固有のログイン名を使用した方が、管理を単純化できます。
一般に、ログイン名には姓と名の組み合わせが使用されます。たとえば、Steve Jonesの場合は、STEVEJやSJONESのようになります。
管理に要する時間を節約するため、ログインコマンドのほとんどの部分はコンテナのログインスクリプトに保管するようにします。ユーザログインスクリプトを編集すると、共通の必要条件に対する例外に対処できます。
グループオブジェクトを作成すると、複数のユーザオブジェクトを容易に管理できます。
グループオブジェクトは、ユーザオブジェクトのセットを表します。
コンテナオブジェクトではコンテナ内のすべてのユーザオブジェクトを管理でき、グループオブジェクトでは1つまたは複数のコンテナ内のサブセットを管理できます。
グループオブジェクトは、次の2つの主な目的に対して使用されます。
スタティックグループでは、メンバーオブジェクトを明示的に指定します。各メンバーは、グループに明示的に割り当てられます。
これらのグループでは静的なメンバーのリストが示され、また、グループのメンバーリストと、オブジェクト上で属性を持つメンバーとの間の参照整合性を提供します。グループメンバーシップは、メンバーの属性によって明示的に管理されます。
ダイナミックグループでは、LDAP URLを使用して規則のセットを定義します。この規則に従って、eDirectoryのユーザオブジェクトに一致したときに、グループのメンバーが定義されます。ダイナミックグループのメンバーは、URLに指定された検索フィルタによって定義される共通の属性を共有します。LDAP URLの形式に関する詳細は、RFC 2255を参照してください。
ダイナミックグループを使用すると、グループのメンバーシップを評価する際に使用される条件を指定できます。グループの実際のメンバーは、eDirectoryによって動的に評価されます。つまり、論理的にグループ化することでグループのメンバーを定義するため、eDirectoryはグループのメンバーを自動的に追加または削除できます。この拡張性の高いソリューションによって、管理コストを低減でき、LDAPの通常のグループに高い柔軟性を補うことができます。
eDirectoryを使用すると、任意の属性に基づいてユーザを自動的にグループ化する場合、または一致するDNを含むグループに対してACLを適用する場合に、ダイナミックグループを作成できます。たとえば、Department=Marketingという属性を持つすべてのDNを自動的に含むグループを作成できます。Department=Marketingという検索フィルタを適用すると、Department=Marketingの属性を持つすべてのDNを含むグループが検索結果として返されます。その後、このフィルタに基づく検索結果からダイナミックグループを定義できます。Department=Marketingという条件に一致するユーザがディレクトリに追加されると、このグループにも自動的に追加されます。Departmentが他の値に変更されたユーザ(またはディレクトリから削除されたユーザ)は、グループから自動的に削除されます。
eDirectoryでダイナミックグループを作成するには、objectclass=dynamicGroupというタイプのオブジェクトを作成します。スタティックグループオブジェクトをダイナミックグループに変換するには、補助クラスdynamicGroupAuxをグループオブジェクトに関連付けます。ダイナミックグループは、グループに関連付けられたmemberQueryURL属性を持ちます。
dgIdentity属性は、ダイナミックグループオブジェクト上で、グループのダイナミックメンバーを拡張するために使用される証明書と権利を持つエントリの識別名に設定することができます。
グループは、memberQueryURLを使用して管理されます。基本的なmemberQueryURLには、ベースDN、スコープ、フィルタ、およびオプション拡張があります。ベースDNは検索ベースを指定します。スコープはベース内の検索レベルを指定します。フィルタは、指定したスコープ内で選択されたエントリに基づく検索フィルタです。
注: memberQueryURLによって作成されたリストに例外を設定するため、ダイナミックグループでもユーザを明示的に含めたり、除外したりできます。
ダイナミックグループは、Novell iManagerを使用して作成および管理できます。ダイナミックグループ管理タスクには、[役割およびタスク]ページの[ダイナミックグループ]役割をクリックしてアクセスできます。
また、LDAPコマンドを使用してもグループを管理できます。ダイナミックグループに関連付けられた最も有用なプロパティは、dgIdentityおよびmemberQueryURLです。
グループオブジェクトの最も有用なプロパティは、メンバープロパティとファイル/ディレクトリへの権利プロパティです。すべてのプロパティの一覧を表示するには、iManagerでグループオブジェクトを選択します。プロパティの各ページの説明を表示するには、[ヘルプ]をクリックします。
このプロパティはDNを保持します。ダイナミックグループは、このDNの識別情報を検索時の認証用に使用します。識別情報は、ダイナミックグループと同じパーティション上に存在する必要があります。dgldentityによって指定されたオブジェクトは、memberQueryURL属性で指定された検索を実行するのに必要な権利を持つ必要があります。
たとえば、memberQueryURLが次のような値であるとします。
"ldap:///o=nov??sub?(title=*)"
この場合、dgldentityは、コンテナo=nov以下の属性タイトルの読み込み/比較権利を持っている必要があります。
このプロパティは、サーバがタイムアウトになるまでにかかるメンバーの属性の読み込みまたは比較の最大所要時間を指定します。サーバがこのdgTimeout値を超えると、-6016エラーが表示されます。
このプロパティは、グループメンバーの属性と照合する規則のセットを定義します。
memberQueryURLは、そのスキーマ定義に従って複数の値を持つ属性です。memberQueryURLは複数の値を持ちますが、eDirectory 8.6.1サーバでは、memberQueryURLの最初の値のみが使用されていました。
次に例を示します。
管理者によって作成されたダイナミックグループに、次のような2つのmemberQueryURL値があるとします。
"ldap:///o=nov??sub?cn=*"
"ldap:///o=org??sub?cn=*"
eDirectory 8.6.xサーバは、グループのメンバーの比較のために「ldap:///o=nov??sub?cn=*」を使用します。複数のクエリが許可されますが、読み込まれるのは最初のクエリだけです。
この限界は、eDirectory 8.7.3で克服されています。eDirectory 8.7.3サーバは、すべてのmemberQueryURL値に基づいてメンバーを計算するため、そのメンバーは個々のmemberQueryURL値を使用して計算されたメンバーを統合したものになります。
上の例では、結果としてダイナミックグループのメンバーは、o=orgおよびo=novの場合にcn値を持つすべてのエントリとなります。
このプロパティは、グループ内のすべてのオブジェクトを示します。グループオブジェクトに割り当てられた権利は、そのグループのすべてのメンバーに適用されます。ダイナミックグループのmemberプロパティに値を追加すると、ダイナミックグループにスタティックメンバーが追加されます。この方法は、個別にメンバーを追加する場合に使用できます。
このプロパティは、ダイナミックグループのメンバーシップリストから特に除外されたDNを格納します。これは、ダイナミックグループの除外リストを作成するのに使用できます。
excludedMemberによって、DNをダイナミックグループのダイナミックメンバーから除外されるようにします。
これにより、memberQueryURLによって指定されたメンバーの基準で選択された場合にのみ、DNはダイナミックグループのダイナミックメンバーになり、excludedMemberとしてリストされたり、uniqueMemberやmemberに明示的に追加されたりすることはありません。
このプロパティは、ダイナミックグループのスタティックメンバーを読み込むだけではなく、DNがダイナミックグループのスタティックメンバーかどうかも判断します。また、DNが唯一のスタティックメンバーであるダイナミックグループを探し、ダイナミックメンバーを持っているが、スタティックメンバーを持たないグループを探すこともできます。
このプロパティを既存のダイナミックグループに追加するには、dgstatic.schを使用するスキーマを拡張します。
ダイナミックグループがローカルで作成されるか、同期の一部として取得されると、ダイナミックグループオブジェクトが作成されますが、ダイナミックグループの機能は、そのオブジェクトに格納されるいくつかの内部値を必要とします。
以前のサーバでもダイナミックグループを格納できますが、値を生成することはできません。これは、ダイナミックグループがeDirectory 8.6.1で導入されたためです。
eDirectory 8.6.2では、eDirectory 8.6.1データベースに適合させるために、8.6.1より以前のデータベースのダイナミックグループオブジェクトへの自動更新が導入されました。
memberQueryURL属性は、ダイナミックグループのメンバーを計算するためにeDirectoryサーバが使用する検索フィルタを格納できます。
eDirectory 8.6.1では、フィルタで使用される属性の構文は、次の基本的な文字列型にのみ制限されていました。
eDirectory 8.7.3では、次の属性構文がmemberQueryURLの値として追加でサポートされます。
eDirectory 8.6.1およびeDirectory 8.7.xの両方では、SYN_OCTET_STRINGやSYN_NET_ADDRESSのようなバイナリ構文は、memberQueryURL検索フィルタでサポートされません。
詳細については、How to Manage and Use Dynamic Groups in Novell eDirectoryを参照してください。
ツリー内の別のオブジェクトをポイントする別名オブジェクトを作成できます。別名オブジェクトによって、ユーザは自分の属するコンテナの外部にあるオブジェクトに、ローカル名を付けることができます。
コンテナの名前を変更するときには、必要に応じて、元のコンテナの位置に新しい名前をポイントする別名を作成できます。これにより、コンテナ内のオブジェクトを参照するログインスクリプトコマンドやワークステーションは、コンテナ名が更新されていなくても対象のオブジェクトにアクセスできます。
別名オブジェクトは、コンテナやユーザなど、ツリー内の別のオブジェクトを表します。別名オブジェクト自体にはトラスティ権はありません。別名オブジェクトに与えられたトラスティ権は、その別名オブジェクトが示している実際のオブジェクトに適用されます。ただし、別名をトラスティ割り当ての対象とすることもできます。
別名オブジェクトを作成すると、名前の解決が容易になります。オブジェクトの命名規則では、現在のコンテキストのオブジェクトに対する命名が最も簡単なため、現在のコンテキストに、現在のコンテキストの外部のリソースをポイントする別名オブジェクトを作成します。
たとえば、図 5に示すように、ユーザがSouthコンテナにログインし、現在のコンテキストを確立する場合に、NorthコンテナのColorQというプリントキューオブジェクトにアクセスする必要があるとします。
図 5
コンテナの例
図 6に示されるように、Southコンテナに別名オブジェクトを作成できます。
図 6
eDirectoryコンテナの別名オブジェクト
別名オブジェクトによって、元のColorQオブジェクトがポイントされるため、SouthコンテナではColorQをローカルオブジェクトとして印刷設定できます。
別名オブジェクトには別名元オブジェクトプロパティがあり、このプロパティによって、別名オブジェクトと元のオブジェクトとが関連付けられます。
ディレクトリマップオブジェクトは、サーバのファイルシステム内のパスへのポインタです。これにより、ディレクトリをより簡単に参照できます。
ネットワークにNetWareボリュームがない場合は、ディレクトリマップオブジェクトを作成することはできません。
ディレクトリマップオブジェクトは、NetWareボリューム上のディレクトリを表します(それに対し、別名オブジェクトはオブジェクトを表します)。
ディレクトリマップオブジェクトは、ログインスクリプトでのドライブマッピングを単純化するために作成します。ディレクトリマップオブジェクトを使用すると、複雑なファイルシステムパスを簡単な名前にすることができます。
また、ファイルの場所を変更した場合でも、新しい場所を参照するように、ログインスクリプトやバッチファイルを変更する必要がありません。ディレクトリマップオブジェクトを編集するだけです。たとえば、図 7に示すように、Southコンテナのログインスクリプトを編集するとします。
図 7
eDirectoryコンテナの例
ドライブをボリュームsys:上のSharedディレクトリにマッピングするコマンドは、次のようになります。
MAP N:=sys.North.:Shared
共有ディレクトリマップオブジェクトを作成した場合、マップコマンドは、次のようにさらに簡単になります。
MAP N:=Shared
ディレクトリマップオブジェクトには、次のようなプロパティがあります。
ディレクトリ内のオブジェクト(たとえば、Shared)を指定します。名前プロパティはMAPコマンドで使用されます。
Sys.North.YourCoのような、ディレクトリマップオブジェクトが参照するボリュームオブジェクトの名前が格納されます。
public\winnt\nls\englishのように、ディレクトリをボリュームのルートからのパスとして指定します。
プロファイルオブジェクトはログインスクリプトの管理に役立ちます。
プロファイルオブジェクトは、コンテナログインスクリプトの後、およびユーザログインスクリプトの前に実行されるログインスクリプトを表します。
特定のユーザのみを対象にログインスクリプトコマンドを実行したい場合は、プロファイルオブジェクトを作成します。対象のユーザには、同一コンテナ内のユーザだけでなく、異なるコンテナ内のユーザも指定できます。プロファイルオブジェクトを作成した後は、プロファイルのログインスクリプトプロパティにコマンドを指定します。続いて、該当のユーザオブジェクトをプロファイルオブジェクトのトラスティに指定し、それらのユーザオブジェクトのプロファイルメンバーシッププロパティにそのプロファイルオブジェクトを追加します。
プロファイルオブジェクトには、次の2つの重要なプロパティがあります。
そのプロファイルのユーザに対して実行するコマンドを格納します。
ログインスクリプトにINCLUDEステートメントを使用した場合は、プロファイルオブジェクトに、ファイル/ディレクトリへの権利プロパティに指定されているファイルに対する権利を与える必要があります。