Chat now with support
Chat with Support

Identity Manager 9.1.1 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Synchronisieren einer Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einer Active Directory Domäne Anpassen der Synchronisationskonfiguration für Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Active Directory Benutzerkonten und Personen
Kontendefinitionen für Active Directory Benutzerkonten und Active Directory Kontakte Automatische Zuordnung von Personen zu Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Löschverzögerung für Active Directory Benutzerkonten und Active Directory Kontakte festlegen
Managen von Mitgliedschaften in Active Directory Gruppen Bereitstellen von Anmeldeinformationen für Active Directory Benutzerkonten Abbildung von Active Directory Objekten im One Identity Manager
Active Directory Domänen Active Directory Containerstrukturen Active Directory Benutzerkonten Active Directory Kontakte Active Directory Gruppen Active Directory Computer Active Directory Sicherheits-IDs Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte
Behandeln von Active Directory Objekten im Web Portal Basisdaten für die Verwaltung einer Active Directory-Umgebung Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für Active Directory Verarbeitungsmethoden von Active Directory Systemobjekten Einstellungen des Active Directory Konnektors

Active Directory Benutzerkonten

Mit dem One Identity Manager verwalten Sie die Benutzerkonten einer Active Directory-Umgebung. Im Active Directory ist ein Benutzerkonto ein Sicherheitsprinzipal. Das bedeutet ein Benutzerkonto kann sich an der Domäne anmelden. Ein Benutzerkonto erhält über seine Gruppenmitgliedschaften und Berechtigungen Zugriff auf die Netzwerkressourcen.

Die in Windows Server 2008 R2 eingeführten verwalteten Dienstkonten und die mit Windows Server 2012 eingeführten gruppenverwalteten Dienstkonten werden im One Identity Manager nicht unterstützt.

Verwandte Themen

Active Directory Benutzerkonten erstellen und bearbeiten

Ein Benutzerkonto kann im One Identity Manager mit einer Person verbunden sein. Ebenso können Sie die Benutzerkonten getrennt von Personen verwalten.

HINWEIS: Um Benutzerkonten für die Personen eines Unternehmens einzurichten, wird der Einsatz von Kontendefinitionen empfohlen. Einige der nachfolgend beschriebenen Stammdaten werden dabei über Bildungsregeln aus den Personenstammdaten gebildet.

HINWEIS: Sollen Personen ihre Benutzerkonten über Kontendefinitionen erhalten, müssen die Personen ein zentrales Benutzerkonto besitzen und über die Zuordnung zu einer primären Abteilung, einem primären Standort oder einer primären Kostenstelle ihre IT Betriebsdaten erhalten.

Um ein Benutzerkonto zu erstellen

  1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

  2. Klicken Sie in der Ergebnisliste .

  3. Auf dem Stammdatenformular bearbeiten Sie die Stammdaten des Benutzerkontos.

  4. Speichern Sie die Änderungen.

Um die Stammdaten eines Benutzerkontos zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Bearbeiten Sie die Stammdaten des Benutzerkontos.

  5. Speichern Sie die Änderungen.

Um ein Benutzerkonto für eine Person manuell zuzuweisen

  1. Wählen Sie im Manager die Kategorie Personen > Personen.

  2. Wählen Sie in der Ergebnisliste die Person.

  3. Wählen Sie die Aufgabe Active Directory Benutzerkonten zuweisen.

  4. Weisen Sie ein Benutzerkonto zu.

  5. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Verwandte Themen

Allgemeine Stammdaten für Active Directory Benutzerkonten

Tabelle 31: Konfigurationsparameter für die Einrichtung von Benutzerkonten
Konfigurationsparameter Bedeutung

TargetSystem | ADS | Accounts | TransferJPegPhoto

Gibt an, ob bei Änderung des Bildes in den Stammdaten der Person dieses an bestehende Benutzerkonten publiziert wird. Das Bild ist nicht Bestandteil der normalen Synchronisation, es wird nur bei Änderung der Personenstammdaten publiziert.

Auf dem Tabreiter Allgemein erfassen Sie folgende Stammdaten.

Tabelle 32: Allgemeine Stammdaten eines Benutzerkontos
Eigenschaft Beschreibung

Person

Person, die das Benutzerkonto verwendet. Wurde das Benutzerkonto über eine Kontendefinition erzeugt, ist die Person bereits eingetragen. Wenn Sie das Benutzerkonto manuell erstellen, können Sie die Person aus der Auswahlliste wählen. Wenn Sie die automatische Personenzuordnung nutzen, wird beim Speichern des Benutzerkontos eine zugehörige Person gesucht und in das Benutzerkonto übernommen.

Für ein Benutzerkonto mit einer Identität vom Typ Organisatorische Identität, Persönliche Administratoridentität, Zusatzidentität, Gruppenidentität oder Dienstidentität können Sie eine neue Person erstellen. Klicken Sie dafür neben dem Eingabefeld und erfassen Sie die erforderlichen Personenstammdaten. Die Pflichteingaben sind abhängig vom gewählten Identitätstyp.

Keine Verbindung mit einer Person erforderlich

Gibt an, ob dem Benutzerkonto absichtlich keine Person zugeordnet ist. Die Option wird automatisch aktiviert, wenn ein Benutzerkonto in der Ausschlussliste für die automatische Personenzuordnung enthalten ist oder eine entsprechende Attestierung erfolgt ist. Sie können die Option manuell setzen. Aktivieren Sie die Option, falls das Benutzerkonto mit keiner Person verbunden werden muss (beispielsweise, wenn mehrere Personen das Benutzerkonto verwenden).

Wenn durch die Attestierung diese Benutzerkonten genehmigt werden, werden diese Benutzerkonten künftig nicht mehr zur Attestierung vorgelegt. Im Web Portal können Benutzerkonten, die nicht mit einer Person verbunden sind, nach verschiedenen Kriterien gefiltert werden.

Nicht mit einer Person verbunden

Zeigt an, warum für das Benutzerkonto die Option Keine Verbindung mit einer Person erforderlich aktiviert ist. Mögliche Werte sind:

  • durch Administrator: Die Option wurde manuell durch den Administrator aktiviert.

  • durch Attestierung: Das Benutzerkonto wurde attestiert.

  • durch Ausschlusskriterium: Das Benutzerkonto wird aufgrund eines Ausschlusskriteriums nicht mit einer Person verbunden. Das Benutzerkonto ist beispielsweise in der Ausschlussliste für die automatische Personenzuordnung enthalten (Konfigurationsparameter PersonExcludeList).

Kontendefinition

Kontendefinition, über die das Benutzerkonto erstellt wurde.

Die Kontendefinition wird benutzt, um die Stammdaten des Benutzerkontos automatisch zu befüllen und um einen Automatisierungsgrad für das Benutzerkonto festzulegen. Der One Identity Manager ermittelt die IT Betriebsdaten der zugeordneten Person und trägt sie in die entsprechenden Eingabefelder des Benutzerkontos ein.

HINWEIS: Die Kontendefinition darf nach dem Speichern des Benutzerkontos nicht geändert werden.

HINWEIS: Über die Aufgabe Entferne Kontendefinition am Benutzerkonto können Sie das Benutzerkonto wieder in den Zustand Linked zurücksetzen. Dabei wird die Kontendefinition vom Benutzerkonto und von der Person entfernt. Das Benutzerkonto bleibt über diese Aufgabe erhalten, wird aber nicht mehr über die Kontendefinition verwaltet. Die Aufgabe entfernt nur Kontendefinitionen, die direkt zugewiesen sind (XOrigin=1).

Automatisierungsgrad

Automatisierungsgrad des Benutzerkontos. Wählen Sie einen Automatisierungsgrad aus der Auswahlliste. Den Automatisierungsgrad können Sie nur festlegen, wenn Sie auch eine Kontendefinition eingetragen haben. In der Auswahlliste werden alle Automatisierungsgrade der gewählten Kontendefinition angeboten.

Vorname

Vorname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt.

Zweiter Vorname

Zweiter Vorname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt.

Nachname

Nachname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt.

Initialen

Initialen des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt.

Titel

Akademischer Titel des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt.

Bezeichnung

Bezeichnung des Benutzerkontos. Die Bezeichnung wird aus dem Vornamen und dem Nachnamen des Benutzers gebildet.

Definierter Name

Definierter Name des Benutzerkontos. Der definierte Name wird aus der Bezeichnung des Benutzerkontos und dem Container gebildet und kann nicht bearbeitet werden.

Domäne

Domäne, in der das Benutzerkonto erzeugt werden soll.

Container

Container in dem das Benutzerkonto erzeugt werden soll. Haben Sie eine Kontendefinition zugeordnet, wird der Container, abhängig vom Automatisierungsgrad, aus den gültigen IT Betriebsdaten der zugeordneten Person ermittelt. Bei der Auswahl des Containers wird per Bildungsregel der definierte Name für das Benutzerkonto ermittelt.

Primäre Gruppe

Primäre Gruppe des Benutzerkontos. Die Synchronisation mit der Active Directory-Umgebung weist das Benutzerkonto standardmäßig der Gruppe Domain Users zu. Als primäre Gruppen stehen dabei nur die Gruppen zur Auswahl, die dem Benutzerkonto bereits zugewiesen wurden.

Anmeldename (pre Win2000)

Anmeldename für die Vorgängerversion von Active Directory. Haben Sie eine Kontendefinition zugeordnet, wird, abhängig vom Automatisierungsgrad, der Anmeldename (pre Win2000) aus dem zentralen Benutzerkonto der Person gebildet.

Benutzeranmeldename

Anmeldename des Benutzerkontos. Der Benutzeranmeldename entspricht dem Benutzerprinzipalnamen (User Principal Name) des Benutzers im Active Directory.

Haben Sie bereits den Container festgelegt und den Anmeldenamen (pre Win2000) eingegeben, wird der Benutzeranmeldename durch eine Bildungsregel nach folgendem Schema gebildet:

<Anmeldename (pre Win2000)>@<AD Domänenname>

E-Mail-Adresse

E-Mail-Adresse des Benutzerkontos. Haben Sie eine Kontendefinition zugeordnet, wird, abhängig vom Automatisierungsgrad, die E-Mail-Adresse aus der Standard-E-Mail-Adresse der Person gebildet.

Weitere E-Mail- Adressen

Weitere E-Mail-Adressen des Benutzerkontos.

Kontoverfallsdatum

Kontoverfallsdatum. Die Festlegung eines Kontoverfallsdatums bewirkt, dass die Anmeldung für dieses Benutzerkonto verweigert wird, sobald das eingegebene Datum überschritten ist. Haben Sie eine Kontendefinition zugeordnet, wird, abhängig vom Automatisierungsgrad, das Austrittsdatum der Person als Kontoverfallsdatum übernommen. Ein bereits eingetragenes Kontoverfallsdatum des Benutzerkontos wird dabei überschrieben.

Strukturelle Objektklasse

Strukturelle Objektklasse, die den Typ des Objektes repräsentiert. Standardmäßig richten Sie Benutzerkonten im One Identity Manager mit der Objektklasse USER ein. Es wird jedoch auch die Objektklasse INETORGPERSON unterstützt, welche von anderen LDAP- und X.500-Verzeichnisdiensten zur Abbildung von Benutzerkonten genutzt wird.

Risikoindex (berechnet)

Maximalwert der Risikoindexwerte aller zugeordneten Gruppen. Die Eigenschaft ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Kategorie

Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Identität

Typ der Identität des Benutzerkontos. Zulässige Werte sind:

  • Primäre Identität: Standardbenutzerkonto einer Person.

  • Organisatorische Identität: Sekundäres Benutzerkonto, welches für unterschiedliche Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.

  • Persönliche Administratoridentität: Benutzerkonto mit administrativen Berechtigungen, welches von einer Person genutzt wird.

  • Zusatzidentität: Benutzerkonto, das für einen spezifischen Zweck benutzt wird, beispielsweise zu Trainingszwecken.

  • Gruppenidentität: Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Personen genutzt wird. Weisen Sie alle Personen zu, die das Benutzerkonto nutzen.

  • Dienstidentität: Dienstkonto.

Privilegiertes Benutzerkonto

Gibt an, ob es sich um ein privilegiertes Benutzerkonto handelt.

Gruppen erbbar

Gibt an, ob das Benutzerkonto Gruppen über die verbundene Person erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen, in denen die Person Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Person mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Gruppen zugewiesen haben, dann erbt das Benutzerkonto diese Gruppen.

  • Wenn eine Person eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Person diese Gruppe nur, wenn die Option aktiviert ist.

Bevorzugtes Benutzerkonto

Bevorzugtes Benutzerkonto, wenn eine Person mehrere Benutzerkonten im Active Directory besitzt.

Benutzerkonto ist deaktiviert

Gibt an, ob das Benutzerkonto deaktiviert ist. Wird ein Benutzerkonto vorübergehend nicht benötigt, können Sie das Benutzerkonto über die Option zeitweilig deaktivieren.

Konto gesperrt

Gibt an, ob das Benutzerkonto gesperrt ist. Abhängig von der Konfiguration wird nach mehrmaliger falscher Kennworteingabe das Benutzerkonto in der Active Directory-Umgebung gesperrt. Im Manager können Sie das Benutzerkonto über die Aufgabe Benutzerkonto entsperren wieder entsperren.

Ist das Benutzerkonto mit einer Person verbunden, wird das Benutzerkonto entsperrt, wenn ein neues zentrales Kennwort für die Person gesetzt wird. Das Verhalten wird über den Konfigurationsparameter TargetSystem | ADS | Accounts | UnlockByCentralPassword gesteuert. Ausführliche Informationen zum zentralen Kennwort einer Person finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Schutz vor versehentlichem Löschen

Gibt an, ob das Benutzerkonto gegen versehentliches Löschen geschützt werden soll. Ist die Option aktiviert, werden im Active Directory die Berechtigungen zum Löschen für das Benutzerkonto entfernt. Das Benutzerkonto kann nicht gelöscht oder verschoben werden.

Verwandte Themen

Kennwortdaten für Active Directory Benutzerkonten

Tabelle 33: Konfigurationsparameter für die Einrichtung der Kennwortdaten
Konfigurationsparameter Bedeutung

TargetSystem | ADS | Accounts |
NotRequirePassword

Gibt an, ob bei der Neuanlage von Active Directory Benutzerkonten im One Identity Manager die Angabe eines Kennwortes erforderlich ist. Ist der Konfigurationsparameter deaktiviert, wird bei der Neuanlage eines Active Directory Benutzerkontos die Eingabe eines Kennworts entsprechend der definierten Kennwortrichtlinien gefordert. Ist der Konfigurationsparameter aktiviert, ist bei der Neuanlage von Active Directory Benutzerkonten die Angabe eines Kennwortes nicht erforderlich.

TargetSystem | ADS | Accounts |
UserMustChangePassword

Gibt an, ob bei Neuanlage von Benutzerkonten die Option Kennwort bei der nächsten Anmeldung ändern gesetzt wird.

HINWEIS: Beim Prüfen eines Benutzerkennwortes werden die One Identity Manager Kennwortrichtlinien, die Einstellungen der globalen Kontenrichtlinien für die Active Directory Domäne sowie die Active Directory Kontenrichtlinien beachtet.

Auf dem Tabreiter Kennwort erfassen Sie folgende Stammdaten.

Tabelle 34: Kennwortdaten eines Benutzerkontos

Eigenschaft

Beschreibung

Kennwort

Kennwort für das Benutzerkonto. Das zentrale Kennwort der zugeordneten Person kann auf das Kennwort des Benutzerkontos abgebildet werden. Ausführliche Informationen zum zentralen Kennwort einer Person finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Wenn Sie ein zufällig generiertes initiales Kennwort für Benutzerkonten verwenden, wird dieses automatisch bei Erstellen eines Benutzerkontos eingetragen.

Das Kennwort wird nach dem Publizieren in das Zielsystem aus der Datenbank gelöscht.

Kennwortbestätigung

Kennwortwiederholung.

Letzte Kennwortänderung

Datum der letzten Kennwortänderung. Das Datum wird aus der Active Directory-Umgebung ausgelesen und kann nicht bearbeitet werden.

Kennwort läuft nie ab

Gibt an, ob ein Kennwort abläuft. Diese Option wird in der Regel für Dienstkonten verwendet. Die Option überschreibt das maximale Kennwortalter und die Option Kennwort bei der nächsten Anmeldung ändern.

Kennwort nicht änderbar

Gibt an, ob das Kennwort änderbar ist. Diese Option wird in der Regel für Benutzerkonten gesetzt, die von mehreren Benutzern verwendet werden.

Kennwort bei der nächsten Anmeldung ändern

Gibt an, ob der Benutzer bei der nächsten Anmeldung das Kennwort anpassen muss.

TIPP: Um die Option bei Neuanlage von Benutzerkonten immer zu setzen, können Sie den Konfigurationsparameter TargetSystem | ADS | Accounts | UserMustChangePassword aktivieren.

Kennwort mit reversibler Verschlüsselung speichern

Angabe zur Verschlüsselung des Kennwortes. Standardmäßig werden Kennwörter im Active Directory verschlüsselt gespeichert. Bei Verwendung dieser Option werden Kennwörter in Klartext gespeichert und können so wieder hergestellt werden.

SmartCard zur Anmeldung erforderlich

Angabe zur Anmeldung mittels SmartCard. Aktivieren Sie die Option, um öffentliche und private Schlüssel, Kennwörter und andere persönliche Informationen für dieses Active Directory Benutzerkonto sicher zu speichern. Um sich am Netzwerk anmelden zu können, muss der Computer des Benutzers mit einem Smartcard-Leser ausgestattet sein und der Benutzer muss über eine persönliche Identifikationsnummer (PIN) verfügen.

Konto wird für Delegierungszwecke vertraut

Angabe zur Delegierung. Aktivieren Sie die Option, damit ein Benutzer die Verantwortung für die Verwaltung und Administration eines Teilbereichs der Domäne an ein anderes Active Directory Benutzerkonto oder eine andere Gruppe delegieren kann.

Konto kann nicht delegiert werden

Angabe zur Delegierung. Aktivieren Sie die Option, falls dieses Benutzerkonto nicht zu Delegierungszwecken von einem anderen Benutzerkonto zugewiesen werden kann.

Konto verwendet DES Verschlüsselung

Angabe zur Verschlüsselung. Aktivieren Sie die Option, falls Sie die Data Encryption Standard (DES)-Unterstützung aktivieren möchten.

Keine Kerberos-Präauthentifizierung nötig

Gibt an, ob eine Kerberos-Präauthentifizierung notwendig ist. Aktivieren Sie die Option, wenn das Benutzerkonto eine andere Implementierung des Kerberos-Protokolls verwendet.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating