Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen
Anhand der Abteilungsinformationen oder Ortsinformationen der Benutzerkonten können neue Abteilungen und Standorte im One Identity Manager erzeugt werden. Zusätzlich werden die Abteilungen und Standorte den Identitäten der Benutzerkonten als primäre Abteilung und primärer Standort zugeordnet. Bei entsprechender Konfiguration des One Identity Manager können die Identitäten über diese Zuordnungen ihre Unternehmensressourcen erhalten.
Voraussetzung für den Einsatz dieses Verfahrens
Identitäten müssen beim Anlegen und Ändern von Benutzerkonten automatisch erzeugt werden. Mindestens einer der folgenden Konfigurationsparameter muss aktiviert sein und das entsprechende Verfahren eingerichtet sein.
Tabelle 13: Konfigurationsparameter für automatische Identitätenzuordnung
TargetSystem | ADS | PersonAutoDefault |
Anhand des angegebenen Modus erfolgt die automatische Identitätenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden. |
TargetSystem | ADS | PersonAutoFullsync |
Anhand des angegebenen Modus erfolgt die automatische Identitätenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden. |
TargetSystem | ADS | PersonUpdate |
Es erfolgt eine fortlaufende Aktualisierung von Identitäten aus verbundenen Benutzerkonten. |
Um dieses Verfahren zu nutzen
-
Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | AutoCreateDepartment, um Abteilungen aus den Benutzerkonteninformationen zu erzeugen.
-
Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | AutoCreateLocality, um Standorte aus den Benutzerkonteninformationen zu erzeugen.
Verwandte Themen
Löschverzögerung für Active Directory Benutzerkonten und Active Directory Kontakte festlegen
Über die Löschverzögerung legen Sie fest, wie lange die Benutzerkonten nach dem Auslösen des Löschens in der Datenbank verbleiben, bevor sie endgültig entfernt werden. Standardmäßig werden Benutzerkonten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Die Benutzerkonten werden zunächst deaktiviert oder gesperrt. Bis zum Ablauf der Löschverzögerung besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren. Nach Ablauf der Löschverzögerung werden die Benutzerkonten aus der Datenbank gelöscht und ein Wiederherstellen ist nicht mehr möglich.
Sie haben die folgenden Möglichkeiten die Löschverzögerung zu konfigurieren.
-
Globale Löschverzögerung: Die Löschverzögerung gilt für die Benutzerkonten in allen Zielsystemen. Der Standardwert ist 30 Tage.
Erfassen Sie eine abweichende Löschverzögerung im Designer für die Tabellen ADSAccount und ADSContact in der Eigenschaft Löschverzögerungen [Tage].
-
Objektspezifische Löschverzögerung: Die Löschverzögerung kann abhängig von bestimmten Eigenschaften der Benutzerkonten konfiguriert werden.
Um eine objektspezifische Löschverzögerung zu nutzen, erstellen Sie im Designer für die Tabellen ADSAccount und ADSContact ein Skript (Löschverzögerung).
Beispiel:
Die Löschverzögerung für privilegierte Benutzerkonten soll 10 Tage betragen. An der Tabelle wird folgendes Skript (Löschverzögerung) eingetragen.
If $IsPrivilegedAccount:Bool$ Then
End If
Ausführliche Informationen zum Bearbeiten der Tabellendefinitionen und zum Konfigurieren der Löschverzögerung im Designer finden Sie im One Identity Manager Konfigurationshandbuch.
Managen von Mitgliedschaften in Active Directory Gruppen
Active Directory Benutzerkonten, Active Directory Kontakte und Active Directory Computer können in Active Directory Gruppen zusammengefasst werden, mit denen der Zugriff auf Ressourcen geregelt werden kann.
Im One Identity Manager können Sie die Active Directory Gruppen direkt an die Benutzerkonten, Kontakte und Computer zuweisen oder über Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen vererben. Des Weiteren können Benutzer die Gruppen über das Web Portal bestellen. Dazu werden die Gruppen im IT Shop bereitgestellt.
Detaillierte Informationen zum Thema
Zuweisen von Active Directory Gruppen an Active Directory Benutzerkonten, Active Directory Kontakte und Active Directory Computer
Active Directory Gruppen können indirekt oder direkt an Active Directory Benutzerkonten, Active Directory Kontakte und Active Directory Computer zugewiesen werden.
Bei der indirekten Zuweisung werden Identitäten (Arbeitsplätze, Geräte) und Active Directory Gruppen in hierarchische Rollen eingeordnet. Aus der Position innerhalb der Hierarchie und der Vererbungsrichtung berechnet sich die Menge der Active Directory Gruppen, die einer Identität (einem Arbeitsplatz oder einem Gerät) zugewiesen ist.
-
Wenn Sie eine Identität in Rollen aufnehmen und die Identität ein Active Directory Benutzerkonto besitzt, dann wird dieses Active Directory Benutzerkonto in die Active Directory Gruppen aufgenommen.
-
Wenn Sie eine Identität in Rollen aufnehmen und die Identität einen Active Directory Kontakt besitzt, dann wird dieser Active Directory Kontakt in die Active Directory Gruppen aufgenommen.
-
Wenn Sie ein Gerät in Rollen aufnehmen, dann wird der Active Directory Computer, der dieses Gerät referenziert, in die Active Directory Gruppen aufgenommen.
-
Wenn ein Gerät einen Arbeitsplatz besitzt und Sie den Arbeitsplatz in Rollen aufnehmen, dann wird der Active Directory Computer, der dieses Gerät referenziert, zusätzlich in alle Active Directory Gruppen der Rollen des Arbeitsplatzes aufgenommen.
Des Weiteren können Active Directory Gruppen im Web Portal bestellt werden. Dazu werden Identitäten als Kunden in einen Shop aufgenommen. Alle Active Directory Gruppen, die als Produkte diesem Shop zugewiesen sind, können von den Kunden bestellt werden. Bestellte Active Directory Gruppen werden nach erfolgreicher Genehmigung den Identitäten zugewiesen.
Über Systemrollen können Active Directory Gruppen zusammengefasst und als Paket an Identitäten und Arbeitsplätze zugewiesen werden. Sie können Systemrollen erstellen, die ausschließlich Active Directory Gruppen enthalten. Ebenso können Sie in einer Systemrolle beliebige Unternehmensressourcen zusammenfassen.
Um auf Sonderanforderungen schnell zu reagieren, können Sie die Active Directory Gruppen auch direkt an Active Directory Benutzerkonten und Active Directory Computer zuweisen.
Ausführliche Informationen finden Sie in den folgenden Handbüchern.
Grundlagen zur Zuweisung von Unternehmensressourcen und zur Vererbung von Unternehmensressourcen |
One Identity Manager Administrationshandbuch für das Identity Management Basismodul
One Identity Manager Administrationshandbuch für Geschäftsrollen |
Zuweisung von Unternehmensressourcen über IT Shop-Bestellungen |
One Identity Manager Administrationshandbuch für IT Shop |
Systemrollen |
One Identity Manager Administrationshandbuch für Systemrollen |
Detaillierte Informationen zum Thema