Im Active Directory werden Objekte wie zum Beispiel Benutzerkonten mit einer eindeutigen Identifikationsnummer (ID) versehen, mit der auch die Berechtigungen verknüpft sind.
Für Domänen mit den Funktionsebenen kleiner als Windows Server 2008 R2 gehen beim Löschen der Benutzerkonten im Active Directory die ID und die damit verbundenen Berechtigungen irreversibel verloren. Somit sind Benutzerkonten nur schwer wiederherstellbar.
Für Domänen ab der Funktionsebene Windows Server 2008 R2 können Benutzerkonten über den Papierkorb gelöscht werden. Dabei werden die Benutzerkonten in den Papierkorb verschoben und können ohne Verlust der ID und der Berechtigungen innerhalb einer definierten Aufbewahrungszeit wiederhergestellt werden.
HINWEIS: Ob beim Wiederherstellen oder Einfügen eines Active Directory Objektes im zunächst geprüft werden soll, ob sich das Objekt im Active Directory Papierkorb befindet und von dort wiederhergestellt werden soll, legen Sie bei der Konfiguration des Synchronisationsprojektes fest.
Der One Identity Manager nutzt verschiedene Verfahren zum Löschen von Benutzerkonten.
Löschen ohne Active Directory Papierkorb
Dieses Verfahren wird für alle Domänen eingesetzt, in denen:
Nach Bestätigung der Sicherheitsabfrage wird das Benutzerkonto im One Identity Manager zunächst zum Löschen markiert. Das Benutzerkonto wird im One Identity Manager gesperrt und je nach Einstellung der Löschverzögerung endgültig aus der One Identity Manager-Datenbank und aus dem Active Directory gelöscht.
Löschen über den Active Directory Papierkorb
Dieses Verfahren wird für Domänen ab Funktionsebene Windows Server 2008 R2 eingesetzt, bei denen der Papierkorb aktiviert ist.
Nach Bestätigung der Sicherheitsabfrage wird das Benutzerkonto im One Identity Manager zunächst zum Löschen markiert. Das Benutzerkonto wird im One Identity Manager gesperrt und nach Ablauf der Löschverzögerung endgültig aus der One Identity Manager-Datenbank gelöscht. Das Benutzerkonto wird im Active Directory in den Papierkorb verschoben und nach Ablauf der Aufbewahrungszeit endgültig aus dem Active Directory gelöscht. Die Aufbewahrungszeit für Objekte im Papierkorb ist an der Domäne in der Eigenschaft Aufbewahrungsdauer eingetragen.
Verwandte Themen
Beim Löschen eines Benutzerkontos werden die Konfigurationsparameter zur Behandlung der Benutzerverzeichnisse berücksichtigt. Prüfen Sie im Designer die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.
Tabelle 42: Konfigurationsparameter für das Löschen von Benutzerkonten
QER | Person | User | DeleteOptions |
Der Konfigurationsparameter steuert das Verhaltens beim Löschen von Benutzerkonten. |
QER | Person | User | DeleteOptions | FolderAnonymPre |
Wenn in den Löschoptionen festgelegt ist, dass ein Verzeichnis oder eine Freigabe nicht gelöscht werden soll, so wird es umbenannt und erhält das angegebene Präfix. |
QER | Person | User | DeleteOptions | HomeDir |
Das Homeverzeichnis des Benutzers wird gelöscht. |
QER | Person | User | DeleteOptions | HomeShare |
Die Homefreigabe des Benutzers wird gelöscht. |
QER | Person | User | DeleteOptions | ProfileDir |
Das Profilverzeichnis des Benutzers wird gelöscht. |
QER | Person | User | DeleteOptions | ProfileShare |
Die Profilfreigabe des Benutzers wird gelöscht. |
QER | Person | User | DeleteOptions | TerminalHomeDir |
Das Terminalhomeverzeichnis des Benutzers wird gelöscht. |
QER | Person | User | DeleteOptions | TerminalHomeShare |
Die Terminalhomefreigabe des Benutzers wird gelöscht. |
QER | Person | User | DeleteOptions | TerminalProfileDir |
Das Terminalprofilverzeichnis des Benutzers wird gelöscht. |
QER | Person | User | DeleteOptions | TerminalProfileShare |
Die Terminalprofilfreigabe des Benutzers wird gelöscht. |
Nach mehrmaliger (abhängig von der Konfiguration) falscher Kennworteingabe wird das Benutzerkonto in der Active Directory-Umgebung gesperrt.
Ist das Benutzerkonto mit einer Person verbunden, wird das Benutzerkonto entsperrt, wenn ein neues zentrales Kennwort für die Person gesetzt wird. Das Verhalten wird über den Konfigurationsparameter TargetSystem | ADS | Accounts | UnlockByCentralPassword gesteuert. Ausführliche Informationen zum zentralen Kennwort einer Person finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.
Um ein Benutzerkonto manuell zu entsperren
-
Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.
-
Wählen Sie in der Ergebnisliste das Benutzerkonto.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Wählen Sie die Aufgabe Benutzerkonto entsperren.
-
Bestätigen Sie die Sicherheitsabfrage mit OK.
Das Benutzerkonto wird durch den One Identity Manager Service entsperrt.
Verwandte Themen
HINWEIS:
-
Benutzerkonten können Sie nur innerhalb einer Domäne verschieben.
-
Benutzerkonten, bei denen die Option Schutz von versehentlichem Löschen aktiviert ist, können nicht verschoben werden.
Um ein Benutzerkonto zu verschieben
-
Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.
-
Wählen Sie in der Ergebnisliste das Benutzerkonto.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
- Wählen Sie die Aufgabe Active Directory Container ändern.
- Bestätigen Sie die Sicherheitsabfrage mit Ja.
- Wählen Sie auf dem Tabreiter Allgemein in der Auswahlliste Container den neuen Container.
- Speichern Sie die Änderungen.
Verwandte Themen