Chat now with support
Chat mit Support

Identity Manager 9.1 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Synchronisieren einer Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einer Active Directory Domäne Anpassen der Synchronisationskonfiguration für Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Active Directory Benutzerkonten und Personen
Kontendefinitionen für Active Directory Benutzerkonten und Active Directory Kontakte Automatische Zuordnung von Personen zu Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Löschverzögerung für Active Directory Benutzerkonten und Active Directory Kontakte festlegen
Managen von Mitgliedschaften in Active Directory Gruppen Bereitstellen von Anmeldeinformationen für Active Directory Benutzerkonten Abbildung von Active Directory Objekten im One Identity Manager
Active Directory Domänen Active Directory Containerstrukturen Active Directory Benutzerkonten Active Directory Kontakte Active Directory Gruppen Active Directory Computer Active Directory Sicherheits-IDs Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte
Behandeln von Active Directory Objekten im Web Portal Basisdaten für die Verwaltung einer Active Directory-Umgebung Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für Active Directory Verarbeitungsmethoden von Active Directory Systemobjekten Einstellungen des Active Directory Konnektors

Synchronisieren einer Active Directory-Umgebung

One Identity Manager unterstützt die Synchronisation mit einem Active Directory, welches mit Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 und Windows Server 2022 ausgeliefert wird.

Für den Abgleich der Informationen zwischen der One Identity Manager-Datenbank und einem Active Directory Verzeichnis sorgt der One Identity Manager Service.

Informieren Sie sich hier:

  • wie Sie die Synchronisation einrichten, um initial Daten aus einer Active Directory Domäne in die One Identity Manager-Datenbank einzulesen,

  • wie Sie eine Synchronisationskonfiguration anpassen, beispielsweise um verschiedene Active Directory Domänen mit ein und demselben Synchronisationsprojekt zu synchronisieren,

  • wie Sie die Synchronisation starten und deaktivieren,

  • wie Sie die Synchronisationsergebnisse auswerten.

TIPP: Bevor Sie die Synchronisation mit einer Active Directory Domäne einrichten, machen Sie sich mit dem Synchronization Editor vertraut. Ausführliche Informationen über dieses Werkzeug finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema

Einrichten der Initialsynchronisation mit einer Active Directory Domäne

Der Synchronization Editor stellt eine Projektvorlage bereit, mit der die Synchronisation von Benutzerkonten und Berechtigungen der Active Directory-Umgebung eingerichtet werden kann. Nutzen Sie diese Projektvorlage, um Synchronisationsprojekte zu erstellen, mit denen Sie Daten aus einer Active Directory Domäne in Ihre One Identity Manager-Datenbank einlesen. Zusätzlich werden die notwendigen Prozesse angelegt, über die Änderungen an Zielsystemobjekten aus der One Identity Manager-Datenbank in das Zielsystem provisioniert werden.

Um die Objekte einer Active Directory-Umgebung initial in die One Identity Manager-Datenbank einzulesen

  1. Stellen Sie im Active Directory ein Benutzerkonto für die Synchronisation mit ausreichenden Berechtigungen bereit.

  2. Die One Identity Manager Bestandteile für die Verwaltung von Active Directory-Umgebungen sind verfügbar, wenn der Konfigurationsparameter TargetSystem | ADS aktiviert ist.

    • Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.

      HINWEIS:Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

    • Mit der Installation des Moduls werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.

  3. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  4. Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema

Benutzer und Berechtigungen für die Synchronisation mit dem Active Directory

Bei der Synchronisation des One Identity Manager mit einer Active Directory-Umgebung spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation
Benutzer Berechtigungen

Benutzer für den Zugriff auf das Active Directory

Für eine vollständige Synchronisation von Objekten einer Active Directory-Umgebung mit der ausgelieferten One Identity Manager Standardkonfiguration stellen Sie ein Benutzerkonto bereit, das die folgenden Berechtigungen besitzt.

  • Mitglied der Active Directory Gruppe Domänen Administratoren

HINWEIS: In einer hierarchischen Domänenstruktur sollte das Benutzerkonto des One Identity Manager Service einer untergeordneten Domäne Mitglied in der Gruppe Enterprise Admins sein.

Es kann keine sinnvolle Minimalkonfiguration empfohlen werden, die sich bezüglich der reinen Benutzerverwaltung effektiv in ihren Berechtigungen von einem Mitglied der Gruppe Domänen Administratoren unterscheidet.

Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Benutzerrechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Verzeichnisse und Dateien anlegen und bearbeiten.

Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.

Das Benutzerkonto benötigt Berechtigungen für den internen Webservice.

HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Berechtigungen für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)

  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)

Das Setzen von Remote Access Service (RAS)-Eigenschaften erfordert Remote Procedure Calls (RPC), die im Kontext des Benutzerkontos des One Identity Manager Service ausgeführt werden. Um diese Eigenschaften zu lesen oder zu schreiben, muss das Benutzerkonto des One Identity Manager Service die entsprechenden Berechtigungen besitzen.

Benutzer für den Zugriff auf die One Identity Manager-Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt.

Erläuterungen zu den erforderlichen Berechtigungen

In der Active Directory-Umgebung werden auf das Basisobjekt der Synchronisation folgende Berechtigungen benötigt:

  • Read

  • Write

Ist das Basisobjekt das Domänenobjekt werden diese Berechtigungen benötigt, um das Lesen und Setzen von Domäneneigenschaften wie beispielsweise Kennwortrichtlinien zu ermöglichen.

Um unterhalb des gewählten Basisobjektes uneingeschränkt arbeiten zu können, werden die folgenden Berechtigungen benötigt:

  • Create All Child Objects

  • Delete All Child Objects

Um in einem Benutzerobjekt bestimmte Eigenschaften bearbeiten zu können, die eine Veränderung der Berechtigungsliste eines Active Directory-Objektes zur Folge haben (beispielsweise die Eigenschaft Kennwort kann nicht geändert werden), werden die folgenden Berechtigungen benötigt:

  • Read Permissions

  • Modify Permissions

Als weiteres Privileg wird vorausgesetzt:

  • Modify Owner

Das Privileg hat normalerweise nur die Gruppe der Administratoren. Wenn das Benutzerkonto des One Identity Manager Service nicht Mitglied dieser Gruppe oder einer äquivalenten Gruppe ist, muss es in die Lage versetzt werden, mit Konten umzugehen, auf die keine Berechtigungen mehr gesetzt sind.

Da über den One Identity Manager prinzipiell alle Werte eines Objektes änderbar sein sollen, sind die folgenden Berechtigungen notwendig:

  • Read All Properties

  • Write All Properties

  • All Extended Rights

  • DeleteSubTree

Essentielle Funktionalitäten eines Benutzerkontos sind teilweise als Eintrag in der Berechtigungsliste eines Active Directory-Objektes hinterlegt. Es ist notwendig, dass das Benutzerkonto des One Identity Manager Service diese Berechtigungsliste modifizieren kann. Beispiele für Eigenschaften, die über die Berechtigungsliste gepflegt werden, sind UserCanNotChangePassword am Benutzerkonto oder AllowWriteMembers an der Gruppe.

Die Modifikation einer Berechtigungsliste setzt sehr weitreichende Berechtigungen voraus. Wird zur Veränderung einer Berechtigungsliste ein Benutzerkonto verwendet, welches nicht die Berechtigung Full Control auf das entsprechende Active Directory-Objekt besitzt, wird die Änderung nur unter folgenden Bedingungen akzeptiert.

  • Das Benutzerkonto ist Eigentümer des Objektes.

    – ODER –

  • Das Benutzerkonto ist Mitglied in der selben primären Gruppe, wie der Eigentümer des Objektes. Das ist zumeist die Gruppe der Domänen Administratoren.

Andernfalls wird die Änderung abgelehnt.

Wenn dem Benutzerkonto die Berechtigung Take Ownership zugewiesen ist, ist es möglich einen Eigentümerwechsel zu initiieren und die Berechtigungsliste daraufhin zu ändern. Das verfälscht jedoch die Berechtigungssituation des Active Directory-Objektes und wird daher nicht empfohlen.

Des Weiteren sind für die Funktionen des Active Directory Papierkorbs zum Löschen und Wiederherstellen von Benutzerkonten sowie für den Umgang mit besonders geschützten Benutzerkonten und Gruppen die Berechtigungen eines Domänen Administrators erforderlich.

HINWEIS: Grundsätzlich funktioniert der Teil der Synchronisation mit dem Active Directory, der die Active Directory-Objekte in die One Identity Manager-Datenbank einliest, auch dann, wenn auf Strukturen nur die Read-Berechtigung, jedoch keine Write-Berechtigung vergeben werden.

Folgende Probleme können jedoch auftreten:

  • Um ein Benutzerkonto, auf welches nur Read-Berechtigungen bestehen, in eine Gruppe aufzunehmen, die nicht die primäre Gruppe des Benutzerkontos ist, muss der One Identity Manager Service mindestens Write-Berechtigungen auf das Gruppenobjekt besitzen.

  • Fehlerzustände zwischen One Identity Manager-Datenbank und Active Directory Daten treten auf, wenn durch die Administrationswerkzeuge des One Identity Manager oder durch Datenbankimporte Objekte im Active Directory angelegt oder verändert werden, auf welche nur Read-Berechtigungen existieren. Diese Fälle sind durch geeignete Menüführung in den Administrationswerkzeugen, Berechtigungen im One Identity Manager und entsprechende Vorsichtsmaßnahmen bei Importen auszuschließen.

HINWEIS: Für die One Identity ManagerActive Directory Edition werden vollständige Leseberechtigungen und die Berechtigungen zum Erzeugen, Ändern und Löschen von Gruppen benötigt.

Kommunikationsports und Firewall Konfiguration

Der One Identity Manager besteht aus verschiedenen Komponenten, die in verschiedenen Netzwerksegmenten laufen können. Zusätzlich benötigt der One Identity Manager Zugriff auf verschiedene Netzwerkdienste, welche ebenfalls in verschiedenen Netzwerksegmenten installiert sein können. Abhängig davon, welche Komponenten und Dienste Sie hinter ihrer Firewall installieren möchten, müssen Sie verschiedene Ports öffnen.

Die folgenden Basisports werden benötigt.

Tabelle 3: Kommunikationsports
Standardport Beschreibung

1433

1880

Port für das HTTP-basierte Protokoll des One Identity Manager Service.

2880

Port für die Zugriffstests innerhalb des Synchronization Editor, beispielsweise im Zielsystembrowser oder zur Simulation der Synchronisation.

Standardport für das RemoteConnectPlugin.

80

Port für den Zugriff auf die Webanwendungen.

88

Kerberos-Authentifizierungssystem (wenn Kerberos Authentifizierung eingesetzt wird). Benötigt für die Authentifizierung gegen Active Directory.

135

Microsoft End Point Mapper (EPMAP) (auch DCE/RPC Locator Service).

137

NetBIOS Name Service.

139

NetBIOS Session Service.

389

Lightweight Directory Access Protocol (LDAP Standard). Kommunikationsport auf dem Zielsystemserver.

445

Microsoft-DS Active Directory, Windows-Freigaben. Benötigt für Synchronisation (TCP/UDP).

53

Domain Name System (DNS), meist über UDP. Benötigt für den Zugriff auf die Active Directory-Gesamtstruktur.

636

Lightweight Directory Access Protocol über TLS/SSL (LDAP S). Benötigt für den Zugriff auf die Active Directory-Gesamtstruktur.

3268

Globaler Katalog. Benötigt für die Suche im Globalen Katalog. Je nach Verbindungseinstellung sollte entweder Port 3268 oder Port 3269 offen sein.

3269

Globaler Katalog über SSL. Benötigt für die Suche im Globalen Katalog. Je nach Verbindungseinstellung sollte entweder Port 3268 oder Port 3269 offen sein.

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen