Zuweisen von Active Directory Kontenrichtlinien an Active Directory Benutzerkonten und Active Directory Gruppen
Falls mehrere Kontenrichtlinien an ein Benutzerkonto zugewiesen sind, wird nach bestimmten Regeln die wirksame Kontenrichtlinie ermittelt. Gibt es keine spezielle Kontenrichtlinie wirken die Einstellungen der Domäne. Die Berechnungsregeln entnehmen Sie dem Konzept der fein abgestimmten Kennwortrichtlinien unter Active Directory in der Dokumentation zum eingesetzten Windows Server.
Um Kontenrichtlinien für ein Benutzerkonto festzulegen
- Wählen Sie die Kategorie Active Directory | Kontenrichtlinien.
- Wählen Sie in der Ergebnisliste die Kontenrichtlinie.
- Wählen Sie die Aufgabe Benutzerkonten zuweisen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Benutzerkonten zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Benutzerkonten entfernen.
Um eine Zuweisung zu entfernen
- Wählen Sie das Benutzerkonto und doppelklicken Sie
.
- Speichern Sie die Änderungen.
Um Kontenrichtlinien für ein Gruppen festzulegen
- Wählen Sie die Kategorie Active Directory | Kontenrichtlinien.
- Wählen Sie in der Ergebnisliste die Kontenrichtlinie.
- Wählen Sie die Aufgabe Gruppen zuweisen.
-
Weisen Sie im Bereich Zuordnungen hinzufügen die Gruppen zu.
TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Gruppen entfernen.
Um eine Zuweisung zu entfernen
- Wählen Sie die Gruppe und doppelklicken Sie .
- Speichern Sie die Änderungen.
Synchronisationsprojekt bearbeiten
Synchronisationsprojekte, in denen eine Domäne bereits als Basisobjekt verwendet wird, können auch über den Manager geöffnet werden. In diesem Modus können beispielsweise die Konfigurationseinstellungen überprüft oder die Synchronisationsprotokolle eingesehen werden. Der Synchronization Editor wird nicht mit seinem vollen Funktionsumfang gestartet. Verschiedene Funktionen, wie Simulieren oder Ausführen einer Synchronisation, Starten des Zielsystembrowsers und andere, können nicht ausgeführt werden.
HINWEIS: Der Manager ist währenddessen für die Bearbeitung gesperrt. Um Objekte im Manager bearbeiten zu können, schließen Sie den Synchronization Editor.
Um ein bestehendes Synchronisationsprojekt im Synchronization Editor zu öffnen
- Wählen Sie die Kategorie Active Directory | Domänen.
- Wählen Sie in der Ergebnisliste die Domäne. Wählen Sie die Aufgabe Stammdaten bearbeiten.
- Wählen Sie die Aufgabe Synchronisationsprojekt bearbeiten.
Verwandte Themen
Überwachen der Anzahl von Mitgliedschaften in Active Directory Gruppen und Active Directory Containern
Tabelle 31: Wirksame Konfigurationsparameter
|
TargetSystem | ADS | MemberShipRestriction | Container |
Der Konfigurationsparameter enthält die Anzahl von Active Directory Objekten pro Container, bei deren Überschreitung eine Warnmail gesendet werden soll. |
|
TargetSystem | ADS | MemberShipRestriction | Group |
Der Konfigurationsparameter enthält die Anzahl von Active Directory Objekten pro Gruppe, bei deren Überschreitung eine Warnmail gesendet werden soll. |
|
TargetSystem | ADS | MemberShipRestriction | MailNotification |
Der Konfigurationsparameter enthält die Standard-Mailadresse zum Versenden von Warnmails. |
Um die Anzahl von Mitgliedern in Gruppen und Containern zu limitieren, wurde ein Mechanismus zur Überwachung der Mitgliedschaften implementiert.
- Die Tabellen ADSAccountInADSGroup und ADSAccount werden hinsichtlich der Anzahl der Mitgliedschaften von Benutzerkonten in einer Gruppe und der Anzahl von Benutzerkonten in einem Container überwacht.
- Die Tabellen ADSContactInADSGroup und ADSContact werden hinsichtlich der Anzahl der Mitgliedschaften von Kontakten in einer Gruppe und der Anzahl von Kontakten in einem Container überwacht.
- Die Tabellen ADSGroupInADSGroup und ADSGroup werden hinsichtlich der Anzahl der Mitgliedschaften von Gruppen in einer Gruppe und der Anzahl von Gruppen in einem Container überwacht.
- Die Tabellen ADSMachineInADSGroup und ADSMachine werden hinsichtlich der Anzahl der Mitgliedschaften von Computern in einer Gruppe und der Anzahl von Computern in einem Container überwacht.
Hinweis: Die primären Gruppen von Active Directory Objekten werden bei der Berechnung der Mitglieder pro Gruppe nicht berücksichtigt.
Über Konfigurationsparameter werden Schwellwerte festgelegt, bei deren Überschreitung eine Warnmail an eine definierte Mailadresse gesendet wird. Die Warnmail wird nur bei erstmaligem Überschreiten des festgelegten Schwellwertes generiert. Somit wird verhindert, dass bei mehrmaligem Überschreiten eines Schwellwertes beispielsweise innerhalb einer Synchronisation eine große Anzahl von Warnmails an die angegebene Adresse geschickt wird.
Beispiel für die Überwachung
Der Schwellwert für die Anzahl der Objekte in einer Gruppe Members wurde auf zehn Mitglieder begrenzt (TargetSystem | ADS | MemberShipRestriction | Group=10). In der Gruppe Member befinden sich derzeit zehn Benutzerkonten. Beim Hinzufügen des elften Benutzerkontos wird die Warnmail an die angegebene Mailadresse versendet. Beim Hinzufügen weiterer Benutzerkonten wird jedoch keine weitere Warnmail generiert und versendet.
Active Directory Benutzerkonten
Mit dem One Identity Manager verwalten Sie die Benutzerkonten einer Active Directory-Umgebung. Im Active Directory ist ein Benutzerkonto ein Sicherheitsprinzipal. Das bedeutet ein Benutzerkonto kann sich an der Domäne anmelden. Ein Benutzerkonto erhält über seine Gruppenmitgliedschaften und Rechte Zugriff auf die Netzwerkressourcen.
Die in Windows Server 2008 R2 eingeführten verwalteten Dienstkonten und die mit Windows Server 2012 eingeführten gruppenverwalteten Dienstkonten werden im One Identity Manager nicht unterstützt.
Verwandte Themen
