Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Synchronisieren einer Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einer Active Directory Domäne Anpassen der Synchronisationskonfiguration für Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Active Directory Benutzerkonten und Identitäten
Kontendefinitionen für Active Directory Benutzerkonten und Active Directory Kontakte Automatische Zuordnung von Identitäten zu Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Löschverzögerung für Active Directory Benutzerkonten und Active Directory Kontakte festlegen
Managen von Mitgliedschaften in Active Directory Gruppen Bereitstellen von Anmeldeinformationen für Active Directory Benutzerkonten Abbildung von Active Directory Objekten im One Identity Manager
Active Directory Domänen Active Directory Containerstrukturen Active Directory Benutzerkonten Active Directory Kontakte Active Directory Gruppen Active Directory Computer Active Directory Sicherheits-IDs Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte
Behandeln von Active Directory Objekten im Web Portal Basisdaten für die Verwaltung einer Active Directory-Umgebung Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für Active Directory Verarbeitungsmethoden von Active Directory Systemobjekten Einstellungen des Active Directory Konnektors

Active Directory Gruppen

Zur Erläuterung des Gruppenkonzeptes unter Active Directory lesen Sie die Dokumentation zum eingesetzten Windows Server.

In Active Directory können Benutzerkonten, Kontakte, Computer und Gruppen in Gruppen zusammengefasst werden, mit denen sowohl innerhalb einer Domäne als auch domänenübergreifend der Zugriff auf Ressourcen geregelt werden kann.

Es wird unterschieden zwischen zwei Gruppentypen:

  • Sicherheitsgruppen

    Über Sicherheitsgruppen werden Berechtigungen erteilt. In Sicherheitsgruppen werden Benutzerkonten, Computer und andere Gruppen aufgenommen und somit die Administration erleichtert. Sicherheitsgruppen werden außerdem als E-Mail Verteilergruppen eingesetzt.

  • Verteilergruppen

    Verteilergruppen können als E-Mail-aktivierte Verteilergruppen eingesetzt werden. Verteilergruppen haben keine Sicherheitsfunktion.

Weiterhin wird für jeden Gruppentyp ein Gruppenbereich definiert. Als Gruppenbereiche sind zulässig:

  • Universal

    Gruppen mit diesem Bereich werden als universale Gruppen bezeichnet. Universale Gruppen können eingesetzt werden, um domänenübergreifend Berechtigungen zur Verfügung zu stellen. Mitglieder einer universalen Gruppe können Benutzerkonten und Gruppen aller Domänen einer Domänenstruktur sein.

  • Lokale Domäne

    Gruppen mit diesem Bereich werden als Gruppen der lokalen Domäne bezeichnet. Lokale Gruppen werden eingesetzt, um Berechtigungen innerhalb einer Domäne zu erteilen. Mitglieder in einer Gruppe der lokalen Domäne können Benutzerkonten, Computer und Gruppen beliebiger Domänen sein.

  • Global

    Gruppen mit diesem Bereich werden als globale Gruppen bezeichnet. Globale Gruppen können eingesetzt werden, um domänenübergreifend Berechtigungen zur Verfügung zu stellen. Mitglieder in einer globalen Gruppe sind nur Benutzerkonten, Computer und Gruppen der Domäne der globalen Gruppe.

Verwandte Themen

Active Directory Gruppen erstellen und bearbeiten

Gruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können neue Gruppen einrichten oder vorhandene Gruppen bearbeiten.

Um eine Gruppe zu erstellen

  1. Wählen Sie im Manager die Kategorie Active Directory > Gruppen.

  2. Klicken Sie in der Ergebnisliste .

  3. Auf dem Stammdatenformular bearbeiten Sie die Stammdaten der Gruppe.

  4. Speichern Sie die Änderungen.

Um die Stammdaten einer Gruppe zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Active Directory > Gruppen.

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Auf dem Stammdatenformular bearbeiten Sie die Stammdaten der Gruppe.

  5. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema

Allgemeine Stammdaten für Active Directory Gruppen

Erfassen Sie die folgenden allgemeinen Stammdaten.

Tabelle 47: Allgemeine Stammdaten
Eigenschaft Beschreibung

Bezeichnung

Bezeichnung der Gruppe. Aus der Bezeichnung der Gruppe wird der Gruppenname für die Vorgängerversionen Gruppenname (pre Win2000) gebildet.

Domäne

Domäne, in der die Gruppe angelegt werden soll.

Container

Container, in dem die Gruppe angelegt werden soll.

Definierter Name

Definierter Name der Gruppe. Der definierte Name wird per Bildungsregel aus dem Namen der Gruppe und dem Container ermittelt und kann nicht bearbeitet werden.

Anzeigename

Name zur Anzeige der Gruppe in der Benutzeroberfläche der One Identity Manager-Werkzeuge.

Gruppenname (pre Win2000)

Gruppenname für die Vorgängerversionen. Der Gruppenname wird aus der Bezeichnung der Gruppe gebildet.

Strukturelle Objektklasse

Strukturelle Objektklasse, die den Typ des Objektes repräsentiert. Möglich Werte sind:

  • GROUP: Standard-Objektklasse für Gruppen.

  • POSIXGROUP: Objektklasse für Gruppen mit zusätzlichen POSIX-Eigenschaften (Portable Operating System Interface).

Objektklasse

Liste von Klassen, die die Attribute dieses Objektes definieren. Als Objektklassen werden die Klassen angeboten, die durch die Synchronisation aus der Active Directory-Umgebung in die Datenbank eingelesen wurden. Sie können weitere Objektklassen und Hilfsklassen, die von anderen LDAP- und X.500 Verzeichnisdiensten genutzt werden, über das Eingabefeld hinzufügen.

Kontomanager

Verantwortlicher für die Gruppe.

Um einen Kontomanager festzulegen

  1. Klicken Sie auf die Schaltfläche neben dem Eingabefeld.
  2. Wählen Sie unter Tabelle die Tabelle, welche die Kontomanager abbildet.
  3. Wählen Sie unter Kontomanager den Verantwortlichen.
  4. Klicken Sie OK.

Gruppenmanager darf die Mitgliederliste aktualisieren

Gibt an, ob der Kontomanager die Mitgliedschaften für diese Gruppe ändern darf.

Schutz vor versehentlichem Löschen

Gibt an, ob die Gruppe gegen versehentliches Löschen geschützt werden soll. Ist die Option aktiviert, werden im Active Directory die Berechtigungen zum Löschen für die Gruppe entfernt. Die Gruppe kann nicht gelöscht oder verschoben werden.

E-Mail-Adresse

E-Mail-Adresse der Gruppe.

Risikoindex

Wert zur Bewertung des Risikos von Zuweisungen der Gruppe an Benutzerkonten. Stellen Sie einen Wert im Bereich von 0 bis 1 ein. Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist.

Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Kategorie

 Kategorien für die Vererbung von Gruppen. Gruppen können selektiv an Benutzerkonten und Kontakte vererbt werden. Dazu werden die Gruppen und die Benutzerkonten oder die Kontakte in Kategorien eingeteilt. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Anmerkungen

Freitextfeld für zusätzliche Erläuterungen. Die Abkürzungen für die Kombinationen von Gruppentyp und Gruppenbereich werden in die Anmerkungen übernommen und sollten nicht geändert werden.

Sicherheitsgruppe

Gruppentyp. Über Sicherheitsgruppen werden Berechtigungen erteilt. In Sicherheitsgruppen werden Benutzerkonten, Computer und andere Gruppen aufgenommen und somit die Administration erleichtert. Sicherheitsgruppen werden außerdem als E-Mail Verteilergruppen eingesetzt.

Verteilergruppe

Gruppentyp. Verteilergruppen können als E-Mail Verteilergruppen eingesetzt werden. Verteilergruppen haben keine Sicherheitsfunktion.

Universale Gruppe

Gruppenbereich. Universale Gruppen können eingesetzt werden, um domänenübergreifend Berechtigungen zur Verfügung zu stellen. Mitglieder einer universalen Gruppe können Benutzerkonten und Gruppen aller Domänen einer Domänenstruktur sein.

Lokale Gruppe

Gruppenbereich. Lokale Gruppen werden eingesetzt, um Berechtigungen innerhalb einer Domäne zu erteilen. Mitglieder in einer Gruppe der lokalen Domäne können Benutzerkonten, Computer und Gruppen beliebiger Domänen sein.

Globale Gruppe

Gruppenbereich. Globale Gruppen können eingesetzt werden, um domänenübergreifend Berechtigungen zur Verfügung zu stellen. Mitglieder in einer globalen Gruppe sind nur Benutzerkonten, Computer und Gruppen der Domäne der globalen Gruppe.

IT Shop

Gibt an, ob die Gruppe über den IT Shop bestellbar ist. Ist die Option aktiviert, kann die Gruppe über das Web Portal bestellt und über definierte Genehmigungsverfahren zugeteilt werden. Die Gruppe kann weiterhin direkt an Benutzerkonten und hierarchische Rollen zugewiesen werden.

Verwendung nur im IT Shop

Gibt an, ob die Gruppe ausschließlich über den IT Shop bestellbar ist. Ist die Option aktiviert, kann die Gruppe über das Web Portal bestellt und über definierte Genehmigungsverfahren zugeteilt werden. Eine direkte Zuweisung der Gruppe an hierarchische Rollen oder Benutzerkonten ist nicht zulässig.

Leistungsposition

Leistungsposition, um die Gruppe über den IT Shop zu bestellen.

Mitgliedschaften nur lesbar

Gibt an, ob die Mitgliedschaften nur gelesen werden können, beispielsweise für dynamische Gruppen. Die Mitgliedschaften werden über das Zielsystem geregelt. Manuelle Änderungen der Mitgliedschaften im One Identity Manager sind nicht zulässig.

Verwandte Themen

Erweiterungsdaten für Active Directory Gruppen

Erfassen Sie benutzerdefinierte Active Directory Schemaerweiterungen für die Gruppe.

Tabelle 48: Erweiterungsdaten
Eigenschaft Beschreibung

Attributerweiterung 01 - Attributerweiterung 15

Zusätzliche unternehmensspezifische Informationen. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder können Sie mit dem Designer an Ihre Anforderungen anpassen.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen