Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Synchronisieren einer Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einer Active Directory Domäne Anpassen der Synchronisationskonfiguration für Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Active Directory Benutzerkonten und Identitäten
Kontendefinitionen für Active Directory Benutzerkonten und Active Directory Kontakte Automatische Zuordnung von Identitäten zu Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Löschverzögerung für Active Directory Benutzerkonten und Active Directory Kontakte festlegen
Managen von Mitgliedschaften in Active Directory Gruppen Bereitstellen von Anmeldeinformationen für Active Directory Benutzerkonten Abbildung von Active Directory Objekten im One Identity Manager
Active Directory Domänen Active Directory Containerstrukturen Active Directory Benutzerkonten Active Directory Kontakte Active Directory Gruppen Active Directory Computer Active Directory Sicherheits-IDs Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte
Behandeln von Active Directory Objekten im Web Portal Basisdaten für die Verwaltung einer Active Directory-Umgebung Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für Active Directory Verarbeitungsmethoden von Active Directory Systemobjekten Einstellungen des Active Directory Konnektors

Active Directory Gruppen in den IT Shop aufnehmen

Mit der Zuweisung einer Gruppe an ein IT Shop Regal kann sie von den Kunden des Shops bestellt werden. Für die Bestellbarkeit sind weitere Voraussetzungen zu gewährleisten.

  • Die Gruppe muss mit der Option IT Shop gekennzeichnet sein.

  • Der Gruppe muss eine Leistungsposition zugeordnet sein.

    TIPP: Im Web Portal werden alle bestellbaren Produkte nach Servicekategorien zusammengestellt. Damit die Gruppe im Web Portal leichter gefunden werden kann, weisen Sie der Leistungsposition eine Servicekategorie zu.

  • Soll die Gruppe nur über IT Shop-Bestellungen an Identitäten zugewiesen werden können, muss die Gruppe zusätzlich mit der Option Verwendung nur im IT Shop gekennzeichnet sein. Eine direkte Zuweisung an hierarchische Rollen oder Benutzerkonten ist dann nicht mehr zulässig.

HINWEIS: Bei rollenbasierter Anmeldung können die IT Shop Administratoren Gruppen an IT Shop Regale zuweisen. Zielsystemadministratoren sind nicht berechtigt Gruppen in den IT Shop aufzunehmen.

Um eine Gruppe in den IT Shop aufzunehmen

  1. Wählen Sie im Manager die Kategorie Active Directory > Gruppen (bei nicht-rollenbasierter Anmeldung).

    - ODER -

    Wählen Sie im Manager die Kategorie Berechtigungen > Active Directory Gruppen (bei rollenbasierter Anmeldung).

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe In IT Shop aufnehmen.

  4. Wählen Sie den Tabreiter IT Shop Strukturen.

  5. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppe an die IT Shop Regale zu.

  6. Speichern Sie die Änderungen.

Um eine Gruppe aus einzelnen Regalen des IT Shops zu entfernen

  1. Wählen Sie im Manager die Kategorie Active Directory > Gruppen (bei nicht-rollenbasierter Anmeldung).

    - ODER -

    Wählen Sie im Manager die Kategorie Berechtigungen > Active Directory Gruppen (bei rollenbasierter Anmeldung).

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe In IT Shop aufnehmen.

  4. Wählen Sie den Tabreiter IT Shop Strukturen.

  5. Entfernen Sie im Bereich Zuordnungen entfernen die Gruppe aus den IT Shop Regalen.

  6. Speichern Sie die Änderungen.

Um eine Gruppe aus allen Regalen des IT Shops zu entfernen

  1. Wählen Sie im Manager die Kategorie Active Directory > Gruppen (bei nicht-rollenbasierter Anmeldung).

    - ODER -

    Wählen Sie im Manager die Kategorie Berechtigungen > Active Directory Gruppen (bei rollenbasierter Anmeldung).

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe Entfernen aus allen Regalen (IT Shop).

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

  5. Klicken Sie OK.

    Die Gruppe wird durch den One Identity Manager Service aus allen Regalen entfernt. Dabei werden sämtliche Bestellungen und Zuweisungsbestellungen mit dieser Gruppe abbestellt.

Ausführliche Informationen zur Bestellung von Unternehmensressourcen über den IT Shop finden Sie im One Identity Manager Administrationshandbuch für IT Shop.

Verwandte Themen

Active Directory Gruppen automatisch in den IT Shop aufnehmen

Um Gruppen automatisch in den IT Shop aufzunehmen

  1. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup.

  2. Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup | ExcludeList und legen Sie die Active Directory Gruppen fest, die nicht automatisch in den IT Shop übernommen werden sollen.

    Beispiel:

    .*Administrator.*|Exchange.*|.*Admins|.*Operators|IIS_IUSRS

  3. (Optional) Aktivieren Sie im Designer den Konfigurationsparameter QER | ITShop | AutoPublish | ADSGroup | AutoFillDisplayName.

    Ist der Konfigurationsparameter aktiviert, wird für Active Directory Gruppen ein Anzeigename gebildet, sofern noch kein Anzeigename vorhanden ist. Der Anzeigename wird beispielsweise für die Anzeige der Gruppe im Web Portal benötigt.

  4. Kompilieren Sie die Datenbank.

Die Systemberechtigungen werden ab diesem Zeitpunkt automatisch in den IT Shop aufgenommen.

Folgende Schritte werden bei der Aufnahme einer Gruppe in den IT Shop automatisch ausgeführt.

  1. Es wird eine Leistungsposition für die Systemberechtigung ermittelt.

    Für jede Systemberechtigung wird die Leistungsposition geprüft und bei Bedarf angepasst. Die Bezeichnung der Leistungsposition entspricht der Bezeichnung der Systemberechtigung.

    • Für Systemberechtigungen mit Leistungsposition wird die Leistungsposition angepasst.

    • Systemberechtigungen ohne Leitungsposition erhalten eine neue Leistungsposition.

  2. Die Leistungsposition wird einer der Standard-Servicekategorien zugeordnet.

  3. Es wird eine Anwendungsrolle für Produkteigner ermittelt und der Leistungsposition zugeordnet.

    Die Produkteigner können Bestellungen von Mitgliedschaften in diesen Systemberechtigungen genehmigen. Standardmäßig wird der Kontomanager einer Systemberechtigung als Produkteigner ermittelt.

    HINWEIS: Die Anwendungsrolle für Produkteigner muss der Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner untergeordnet sein.

    • Ist der Kontomanager der Systemberechtigung bereits Mitglied einer Anwendungsrolle für Produkteigner, dann wird diese Anwendungsrolle der Leistungsposition zugewiesen. Alle Mitglieder dieser Anwendungsrolle werden dadurch Produkteigner der Systemberechtigung.

    • Ist der Kontomanager der Systemberechtigung noch kein Mitglied einer Anwendungsrolle für Produkteigner, dann wird eine neue Anwendungsrolle erzeugt. Die Bezeichnung der Anwendungsrolle entspricht der Bezeichnung des Kontomanagers.

      • Handelt es sich beim Kontomanager um ein Benutzerkonto oder einen Kontakt, wird die Identität des Benutzerkontos oder des Kontaktes in die Anwendungsrolle aufgenommen.

      • Handelt es sich um eine Gruppe von Kontomanagern, werden die Identitäten aller Benutzerkonten dieser Gruppe in die Anwendungsrolle aufgenommen.

    • Besitzt die Systemberechtigung keine Kontomanager wird die Standard-Anwendungsrolle Request & Fulfillment | IT Shop | Produkteigner | Ohne Eigentümer im AD verwendet.

  4. Die Systemberechtigung wird mit der Option IT Shop gekennzeichnet und dem IT Shop Regal Active Directory Gruppen im Shop Identity & Access Lifecycle zugewiesen.

Anschließend können die Kunden des Shops Mitgliedschaften in Systemberechtigungen über das Web Portal bestellen.

HINWEIS: Wenn eine Systemberechtigung endgültig aus der One Identity Manager-Datenbank gelöscht wird, wird auch die zugehörige Leistungsposition gelöscht.

Verwandte Themen

Active Directory Benutzerkonten direkt an Active Directory Gruppen zuweisen

Um auf Sonderanforderungen schnell zu reagieren, können Sie die Gruppen direkt an Benutzerkonten zuweisen. Gruppen, die mit der Option Verwendung nur im IT Shop gekennzeichnet sind, können nicht direkt zugewiesen werden.

Um Benutzerkonten direkt an eine Gruppe zuzuweisen

  1. Wählen Sie im Manager die Kategorie Active Directory > Gruppen.

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe Benutzerkonten zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Benutzerkonten zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Benutzerkonten entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie das Benutzerkonto und doppelklicken Sie .

  5. Speichern Sie die Änderungen.
HINWEIS: Die primäre Gruppe eines Benutzerkontos ist bereits zugewiesen und wird als Noch nicht wirksam gekennzeichnet. Um die primäre Gruppe eines Benutzerkontos zu ändern, bearbeiten Sie die Stammdaten des Benutzerkontos.
Verwandte Themen

Active Directory Gruppen direkt an Active Directory Benutzerkonten zuweisen

Gruppen können einem Benutzerkonto direkt oder indirekt zugewiesen werden. Die indirekte Zuweisung erfolgt über die Einordnung der Identität und der Gruppen in hierarchische Rollen, wie Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen. Besitzt die Identität ein Benutzerkonto im Active Directory, werden die Gruppen der Rollen an dieses Benutzerkonto vererbt.

Um auf Sonderanforderungen schnell zu reagieren, können Sie die Gruppen direkt an Benutzerkonten zuweisen. Gruppen, die mit der Option Verwendung nur im IT Shop gekennzeichnet sind, können nicht direkt zugewiesen werden.

Um Gruppen direkt an ein Benutzerkonto zuzuweisen

  1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Gruppen zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Gruppen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Gruppe und doppelklicken Sie .

  5. Speichern Sie die Änderungen.

HINWEIS: Die primäre Gruppe eines Benutzerkontos ist bereits zugewiesen und wird als Noch nicht wirksam gekennzeichnet. Um die primäre Gruppe eines Benutzerkontos zu ändern, bearbeiten Sie die Stammdaten des Benutzerkontos.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen