Identität |
Identität, die das Benutzerkonto verwendet.
-
Wurde das Benutzerkonto über eine Kontendefinition erzeugt, ist die Identität bereits eingetragen.
-
Wenn Sie die automatische Identitätenzuordnung nutzen, wird beim Speichern des Benutzerkontos eine zugehörige Identität gesucht und in das Benutzerkonto übernommen.
-
Wenn Sie das Benutzerkonto manuell erstellen, können Sie die Identität aus der Auswahlliste wählen.
In der Auswahlliste werden im Standard aktivierte und deaktivierte Identitäten angezeigt. Um deaktivierte Identitäten nicht in der Auswahlliste anzuzeigen, aktivieren Sie den Konfigurationsparameter QER | Person| HideDeactivatedIdentities.
HINWEIS: Wenn Sie eine deaktivierte Identität an ein Benutzerkonto zuordnen, wird das Benutzerkonto, abhängig von der Konfiguration, unter Umständen gesperrt oder gelöscht.
Für ein Benutzerkonto mit einer Identität vom Typ Organisatorische Identität, Persönliche Administratoridentität, Zusatzidentität, Gruppenidentität oder Dienstidentität können Sie eine neue Identität erstellen. Klicken Sie dafür neben dem Eingabefeld und erfassen Sie die erforderlichen Identitätenstammdaten. Die Pflichteingaben sind abhängig vom gewählten Identitätstyp. |
Keine Verbindung mit einer Identität erforderlich |
Gibt an, ob dem Benutzerkonto absichtlich keine Identität zugeordnet ist. Die Option wird automatisch aktiviert, wenn ein Benutzerkonto in der Ausschlussliste für die automatische Identitätenzuordnung enthalten ist oder eine entsprechende Attestierung erfolgt ist. Sie können die Option manuell setzen. Aktivieren Sie die Option, falls das Benutzerkonto mit keiner Identität verbunden werden muss (beispielsweise, wenn mehrere Identitäten das Benutzerkonto verwenden).
Wenn durch die Attestierung diese Benutzerkonten genehmigt werden, werden diese Benutzerkonten künftig nicht mehr zur Attestierung vorgelegt. Im Web Portal können Benutzerkonten, die nicht mit einer Identität verbunden sind, nach verschiedenen Kriterien gefiltert werden. |
Nicht mit einer Identität verbunden |
Zeigt an, warum für das Benutzerkonto die Option Keine Verbindung mit einer Identität erforderlich aktiviert ist. Mögliche Werte sind:
-
durch Administrator: Die Option wurde manuell durch den Administrator aktiviert.
-
durch Attestierung: Das Benutzerkonto wurde attestiert.
-
durch Ausschlusskriterium: Das Benutzerkonto wird aufgrund eines Ausschlusskriteriums nicht mit einer Identität verbunden. Das Benutzerkonto ist beispielsweise in der Ausschlussliste für die automatische Identitätenzuordnung enthalten (Konfigurationsparameter PersonExcludeList). |
Kontendefinition |
Kontendefinition, über die das Benutzerkonto erstellt wurde.
Die Kontendefinition wird benutzt, um die Stammdaten des Benutzerkontos automatisch zu befüllen und um einen Automatisierungsgrad für das Benutzerkonto festzulegen. Der One Identity Manager ermittelt die IT Betriebsdaten der zugeordneten Identität und trägt sie in die entsprechenden Eingabefelder des Benutzerkontos ein.
HINWEIS: Die Kontendefinition darf nach dem Speichern des Benutzerkontos nicht geändert werden.
HINWEIS: Über die Aufgabe Entferne Kontendefinition am Benutzerkonto können Sie das Benutzerkonto wieder in den Zustand Linked zurücksetzen. Dabei wird die Kontendefinition vom Benutzerkonto und von der Identität entfernt. Das Benutzerkonto bleibt über diese Aufgabe erhalten, wird aber nicht mehr über die Kontendefinition verwaltet. Die Aufgabe entfernt nur Kontendefinitionen, die direkt zugewiesen sind (XOrigin=1). |
Automatisierungsgrad |
Automatisierungsgrad des Benutzerkontos. Wählen Sie einen Automatisierungsgrad aus der Auswahlliste. Den Automatisierungsgrad können Sie nur festlegen, wenn Sie auch eine Kontendefinition eingetragen haben. In der Auswahlliste werden alle Automatisierungsgrade der gewählten Kontendefinition angeboten. |
Vorname |
Vorname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt. |
Zweiter Vorname |
Zweiter Vorname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt. |
Nachname |
Nachname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt. |
Initialen |
Initialen des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt. |
Titel |
Akademischer Titel des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt. |
Bezeichnung |
Bezeichnung des Benutzerkontos. Die Bezeichnung wird aus dem Vornamen und dem Nachnamen des Benutzers gebildet. |
Definierter Name |
Definierter Name des Benutzerkontos. Der definierte Name wird aus der Bezeichnung des Benutzerkontos und dem Container gebildet und kann nicht bearbeitet werden. |
Domäne |
Domäne, in der das Benutzerkonto erzeugt werden soll. |
Container |
Container in dem das Benutzerkonto erzeugt werden soll. Haben Sie eine Kontendefinition zugeordnet, wird der Container, abhängig vom Automatisierungsgrad, aus den gültigen IT Betriebsdaten der zugeordneten Identität ermittelt. Bei der Auswahl des Containers wird per Bildungsregel der definierte Name für das Benutzerkonto ermittelt. |
Primäre Gruppe |
Primäre Gruppe des Benutzerkontos. Die Synchronisation mit der Active Directory-Umgebung weist das Benutzerkonto standardmäßig der Gruppe Domain Users zu. Als primäre Gruppen stehen dabei nur die Gruppen zur Auswahl, die dem Benutzerkonto bereits zugewiesen wurden. |
Anmeldename (pre Win2000) |
Anmeldename für die Vorgängerversion von Active Directory. Haben Sie eine Kontendefinition zugeordnet, wird, abhängig vom Automatisierungsgrad, der Anmeldename (pre Win2000) aus dem zentralen Benutzerkonto der Identität gebildet. |
Benutzeranmeldename |
Anmeldename des Benutzerkontos. Der Benutzeranmeldename entspricht dem Benutzerprinzipalnamen (User Principal Name) des Benutzers im Active Directory.
Haben Sie bereits den Container festgelegt und den Anmeldenamen (pre Win2000) eingegeben, wird der Benutzeranmeldename durch eine Bildungsregel nach folgendem Schema gebildet:
<Anmeldename (pre Win2000)>@<AD Domänenname> |
E-Mail-Adresse |
E-Mail-Adresse des Benutzerkontos. Haben Sie eine Kontendefinition zugeordnet, wird, abhängig vom Automatisierungsgrad, die E-Mail-Adresse aus der Standard-E-Mail-Adresse der Identität gebildet. |
Weitere E-Mail- Adressen |
Weitere E-Mail-Adressen des Benutzerkontos. |
Kontoverfallsdatum |
Kontoverfallsdatum. Die Festlegung eines Kontoverfallsdatums bewirkt, dass die Anmeldung für dieses Benutzerkonto verweigert wird, sobald das eingegebene Datum überschritten ist. Haben Sie eine Kontendefinition zugeordnet, wird, abhängig vom Automatisierungsgrad, das Austrittsdatum der Identität als Kontoverfallsdatum übernommen. Ein bereits eingetragenes Kontoverfallsdatum des Benutzerkontos wird dabei überschrieben. |
Strukturelle Objektklasse |
Strukturelle Objektklasse, die den Typ des Objektes repräsentiert. Mögliche Werte sind:
-
USER: Standard-Objektklasse für Benutzerkonten.
-
INETORGPERSON: Objektklasse, welche von anderen LDAP- und X.500-Verzeichnisdiensten zur Abbildung von Benutzerkonten genutzt wird.
-
POSIXACCOUNT: Objektklasse für Benutzerkonten mit zusätzlichen POSIX-Eigenschaften (Portable Operating System Interface). |
Risikoindex (berechnet) |
Maximalwert der Risikoindexwerte aller zugeordneten Gruppen. Die Eigenschaft ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen. |
Kategorie |
Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien. |
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. |
Identitätstyp |
Typ der Identität des Benutzerkontos. Zulässige Werte sind:
-
Primäre Identität: Standardbenutzerkonto einer Identität.
-
Organisatorische Identität: Sekundäres Benutzerkonto, welches für unterschiedliche Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.
-
Persönliche Administratoridentität: Benutzerkonto mit administrativen Berechtigungen, welches von einer Identität genutzt wird.
-
Zusatzidentität: Benutzerkonto, das für einen spezifischen Zweck benutzt wird, beispielsweise zu Trainingszwecken.
-
Gruppenidentität: Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Identitäten genutzt wird. Weisen Sie alle Identitäten zu, die das Benutzerkonto nutzen.
-
Dienstidentität: Dienstkonto.
|
Privilegiertes Benutzerkonto |
Gibt an, ob es sich um ein privilegiertes Benutzerkonto handelt. |
Gruppen erbbar |
Gibt an, ob das Benutzerkonto Gruppen über die verbundene Identität erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen, in denen die Identität Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.
-
Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Gruppen zugewiesen haben, dann erbt das Benutzerkonto diese Gruppen.
-
Wenn eine Identität eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diese Gruppe nur, wenn die Option aktiviert ist. |
Bevorzugtes Benutzerkonto |
Bevorzugtes Benutzerkonto, wenn eine Identität mehrere Benutzerkonten im Active Directory besitzt. |
Benutzerkonto ist deaktiviert |
Gibt an, ob das Benutzerkonto deaktiviert ist. Wird ein Benutzerkonto vorübergehend nicht benötigt, können Sie das Benutzerkonto über die Option zeitweilig deaktivieren. |
Konto gesperrt |
Gibt an, ob das Benutzerkonto gesperrt ist. Abhängig von der Konfiguration wird nach mehrmaliger falscher Kennworteingabe das Benutzerkonto in der Active Directory-Umgebung gesperrt. Im Manager können Sie das Benutzerkonto über die Aufgabe Benutzerkonto entsperren wieder entsperren.
Ist das Benutzerkonto mit einer Identität verbunden, wird das Benutzerkonto entsperrt, wenn ein neues zentrales Kennwort für die Identität gesetzt wird. Das Verhalten wird über den Konfigurationsparameter TargetSystem | ADS | Accounts | UnlockByCentralPassword gesteuert. Ausführliche Informationen zum zentralen Kennwort einer Identität finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul. |
Schutz vor versehentlichem Löschen |
Gibt an, ob das Benutzerkonto gegen versehentliches Löschen geschützt werden soll. Ist die Option aktiviert, werden im Active Directory die Berechtigungen zum Löschen für das Benutzerkonto entfernt. Das Benutzerkonto kann nicht gelöscht oder verschoben werden. |