この項目では、アプリケーションに対してユーザーを RunAs 役割に割り当てる方法を説明します。
ユーザー ID とパスワードが RunAs 役割に割り当てられる際は、 現在アクティブな構成済みユーザー・レジストリーを使用して妥当性検査が実行されます。 デフォルトでは、 ローカル・オペレーティング・システム・レジストリーがアクティブ・ユーザー・レジストリーとして設定されます。 したがって、アプリケーションがインストール済みでセキュリティーをサーバー上で使用不可にしている場合は、 ローカル・オペレーティング・システム・レジストリーを使用して、RunAs 役割に割り当てられたユーザー ID とパスワードの妥当性検査を行います。 アプリケーションの対象のユーザー・レジストリーがローカル・オペレーティング・システムでない場合は、 妥当性検査は失敗します。したがって、セキュリティーをサーバー上で使用可能にする場合は、 RunAs 役割をユーザーにマップします。ただし、 アクティブ・ユーザー・レジストリーとセキュリティーを使用可能にした後の対象のレジストリーが同一であるとき、 セキュリティーを使用不可にした場合は、ユーザーを RunAs 役割に割り当てることができます。
役割に特別な対象の「全員」または「全認証者」が割り当てられている場合は、 その役割に対して妥当性検査は実行されません。
このパネルで「適用」をクリックした場合、または「Security role to user/group mapping」パネルで「OK」をクリックした場合は、常に妥当性検査が実行されます。 この検査によって、すべての RunAs 役割に属するすべてのユーザーが、 直接または (グループを介して) 間接的に、 「Security role to user/group mappings」パネル内の当該役割の中に存在することが検証されます。 役割がユーザーおよびそのユーザーの属するグループの両方に割り当てられている場合は、ユーザーまたはグループのいずれかを、 「Security role to user/group mapping」パネルから削除できます。
RunAs 役割のユーザーが何らかのグループに属しており、そのグループがその役割に割り当てられている場合、 このグループの役割への割り当ては、必ず管理コンソールを使用して実行してください。 アセンブリー・ツールやその他の方法は使用しないでください。 管理コンソールを使用している場合は、グループの絶対パス名が使用されます (例えば、Windows システムでは hostname¥groupName であり、Lightweight Directory Access Protocol (LDAP) では識別名 (DN) です)。検査中、RunAs 役割のユーザーが属するすべてのグループはレジストリーから取得されます。 ユーザー・レジストリーから取得されたグループのリストはグループの絶対パス名であるため、検査は正しく機能します。 アセンブリー・ツールを使用してグループのショート・ネームが入力されている (例えば、CN=group1, o=myCompany.com ではなく group1 のように入力されている) 場合、この検査は失敗します。
これらのステップは、アプリケーションのインストール、 および既存アプリケーションの変更の両方に共通です。 アプリケーションに RunAs 役割が含まれている場合、アプリケーションのインストール中、 およびアプリケーションの管理中に、「追加プロパティー」セクションのリンクとして、 「User RunAs roles」リンクが表示されます。
アプリケーションを管理中で、User RunAs 役割を変更した場合は、 変更が有効になるように、必ずアプリケーションを保管、停止してから再始動してください。 Java 2 Platform, Enterprise Edition (J2EE) リソースにアクセスを試みて、 新規の変更が有効になっていることを確認します。