テスト環境では、Active Directoryドライバが正しく機能するまでは管理者アカウントを使用します。その後、適切な権限(制限された権限を含む)を持つ管理用アカウントを作成します。このアカウントは、Active Directoryを認証するためにActive Directoryドライバで排他的に使用できます。
このようにすると、Identity Manager管理用アカウントが他の管理用アカウントの変更の影響を受けないようにすることができます。この設計の長所は、次のとおりです。
このアカウント名とパスワードは、ドライバ環境設定に保存されます。したがって、アカウントパスワードが変更されるたびにこのパスワードを変更する必要があります。ドライバ環境設定を更新せずにアカウントパスワードを変更すると、次回ドライバが再起動されたときに認証は失敗します。
少なくとも、このアカウントには、操作する発行者チャネル用のドメインのルートでの読み込み権とディレクトリの変更の複製権が必要です。購読者チャネルで変更されるオブジェクトへの書き込み権も必要です。書き込み権は、購読者チャネルから書き込まれるコンテナと属性に制限することができます。
Exchangeメールボックスを装備するために、Identity Managerアカウントには、ログオンアカウントに対する「オペレーティングシステムの一部として動作する」権限が必要です。
Windows 2003では、削除されたオブジェクトを確認するためにさらに権限が必要です。Section A.0, CN=Deleted Objectsコンテナの許可の変更を参照してください。