お客さまのActiveDirectory(AD)と連携し、アクセス制限の管理ができます

• 本サービスはお客さま環境にActiveDirectoryが存在し、お客さまドメイン環境があることを前提としています。
• 利用申込の時にドメイン情報をいただくことで、FSが持つKDDIドメイン環境と片方向の外部信頼接続で連携します。
• お客さまドメインとの外部信頼接続はリモートデスクトップ接続で実行できるようにツールを用意しています。※詳細は利用マニュアルを参照してください。
• KDDIドメイン環境はファイルサーバーごとに用意されます。
• 認証方式は、「NTLMv2認証」「Kerberos認証」となります。
• クライアントパソコンからの接続要求に対する流れ(概要)は以下の内容となります。
  (1)　クライアントパソコンからKDDI側ファイルサーバにリクエスト
  (2)　KDDI側ADがお客さまDNSに問合せ先ADの問合せ
  (3)　KDDI側ADが受け取ったIPアドレスのADへ認証要求

お客さまサーバとの接続・AD連携

• KDDI側ドメインは1契約サーバごとに1ドメイン(フォレスト)が作成されます。
• お客さま側ドメインが複数存在する場合、ご利用者が属するドメインとKDDI側ドメイン間を直接的に信頼関係を結ぶ必要があります。

※ KDDI側ドメインはお客さまドメインと別フォレストになるため、お客さまドメイン間で信頼関係を結んでいたとしても、各お客さまドメインとKDDI側ドメイン間で信頼関係を結ぶ必要があります。
※ お客さまAD(DC)が冗長化(同一ドメイン内に複数設置)されている場合、お客さまAD(DC)の障害などにより、信頼関係がお客さまの別AD(DC)に切り替わります。切り替わりにかかる時間は、お客さまAD(DC)の構成によります。

注意事項

• 信頼関係を結んだ後、お客さまの都合により、お客さまAD(FSMO機能を有したドメインコントローラ)に変更があった場合、お客さまでリモートデスクトップ後、ツール利用で変更可能です。
• サービス提供時のドライブは共有アクセス権「Everyone/フルコントロール」で構築して提供します。共有アクセス権の変更は推奨しません。共有アクセス権の変更を行なった場合、FSRM（ファイルサーバー リソース マネージャー）機能がアクセス権を失います。共有アクセス権の変更とFSRMの利用を共存するためには、第二階層配下以降に、お客さまにてFSRM権限の設定を行なう必要があります。アクセス管理は配下のフォルダで、NTFSアクセス権によってお客さまに管理していただく必要があります。
• 開通時のアクセス権設定は以下の通り。
  • 配下への継承をOFF
  • ドライブに共有アクセス権で「Everyone/フルコントロール」「QuotaGroup/フルコントロール」「local admin/フルコントロール」を設定
• I:logs配下の各種フォルダのアクセス許可内容は変更を行わないようにお願いします。
  ※ システム上必要な許可内容を設定しており、変更された場合システムが正常に動作しない可能性があります。
• Local adminはKDDI管理とし、お客さまには開放していません。また、KCPS操作画面の接続操作およびファイルサーバへのリモートデスクトップ時のLocal admin接続操作時は「強制的にログオフ」されます。
• お客さま起因によるアクセス権復旧作業は、個別費用が発生する作業となります。