---

Active Directory連携時にマルチドメイン設定を行うとセキュリティグループが参照されるしくみについて

---

AD（ActiveDirectry）連携時のメールサーバを移行するため、アカウント情報のエクスポート・インポート作業を行うとき、インポートされたデータ内にはドメイン名があるにもかかわらず、インポート後のアカウント情報を見ても、ドメイン名が空欄のままになっていることがあります。そのようなときは、「ActiveDirectryユーザーとコンピュータ」の Users の中にドメイン名のセキュリティグループができているはずですので、セキュリティグループのプロパティを開き、「メンバ」タブにユーザーを追加すると、ドメイン名が表示されるようになります。
これは、AD連携時にマルチドメイン設定を行うと、ドメイン名項目としてActive Directory側のセキュリティグループが参照されるしくみになっていることが理由です。

（解説）
・AD連携時にも仮想的とはいえ、マルチドメイン対応が取れるようになっています。ただし、AD連携時には、アカウント（ユーザー名）が一意のものとして管理されますので、アカウントが重複しなければマルチドメインの設定が可能です。

・単一ドメイン名での管理のときは、ドメイン名が空欄のままで特に問題はありませんが、AD連携時にマルチドメイン設定を行う場合、所属ドメイン名の区別をつけるため、Account Manager内でのドメイン名項目は、ADで管理されているセキュリティグループ名を参照するようにしていますので、必ずセキュリティグループ内に加えてください。

・たとえば、下記設定のとき、ADで管理されているセキュリティグループ内それぞれにユーザーが所属されていることになります。

（メールサーバ側のAccount Manager）
　　アカウント　ドメイン名（domain）
　　　user1　　　　abc.jp
　　　user2　　　　abc.jp
　　　user3　　　　def.jp
　　　user4　　　　def.jp
　　　user5　　　　ghi.jp
　　　user6　　　　ghi.jp

（Active Directory側）
　セキュリティグループ　　　所属ユーザー
　　　abc.jp　　　　　　　　　 user1,user2
　　　def.jp　　　　　　　　　　user3,user4
　　　ghi.jp　　　　　　　　　　user5,user6

・つまり、AD連携時に、メールサーバ側のAccount Managerで表示したときに、ドメイン名項目（domain）が空欄になっているものは、セキュリティグループに所属していないことになります。

・アカウントデータをエクスポートする際は、Account Managerで表示されている状態をそのまま出力します。つまり、ドメイン名項目（domain）が空欄になっているものは、そのまま空欄として出力します。