Chat now with support
Chat with Support

Identity Manager 9.1.2 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Synchronisieren einer Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einer Active Directory Domäne Anpassen der Synchronisationskonfiguration für Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Active Directory Benutzerkonten und Personen
Kontendefinitionen für Active Directory Benutzerkonten und Active Directory Kontakte Automatische Zuordnung von Personen zu Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Löschverzögerung für Active Directory Benutzerkonten und Active Directory Kontakte festlegen
Managen von Mitgliedschaften in Active Directory Gruppen Bereitstellen von Anmeldeinformationen für Active Directory Benutzerkonten Abbildung von Active Directory Objekten im One Identity Manager
Active Directory Domänen Active Directory Containerstrukturen Active Directory Benutzerkonten Active Directory Kontakte Active Directory Gruppen Active Directory Computer Active Directory Sicherheits-IDs Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte
Behandeln von Active Directory Objekten im Web Portal Basisdaten für die Verwaltung einer Active Directory-Umgebung Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für Active Directory Verarbeitungsmethoden von Active Directory Systemobjekten Einstellungen des Active Directory Konnektors

Active Directory Domänen

Das Zielsystem der Synchronisation mit einem Active Directory Verzeichnis ist die Domäne. Domänen werden als Basisobjekte der Synchronisation im One Identity Manager angelegt. Sie werden genutzt, um Provisionierungsprozesse, die automatische Zuordnung von Personen zu Benutzerkonten und Kontakten und die Vererbung von Active Directory Gruppen an Benutzerkonten und Kontakte zu konfigurieren.

HINWEIS:  Die Einrichtung der Domänen in der One Identity Manager-Datenbank übernimmt der Synchronization Editor.

Um die Stammdaten einer Active Directory Domäne zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Active Directory > Domänen.

  2. Wählen Sie in der Ergebnisliste die Domäne.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Bearbeiten Sie die Stammdaten für eine Domäne.

  5. Speichern Sie die Änderungen.
Verwandte Themen

Allgemeine Stammdaten für Active Directory Domänen

Auf dem Tabreiter Allgemein erfassen Sie folgende Stammdaten.

Tabelle 23: Stammdaten einer Domäne

Eigenschaft

Beschreibung

Domäne

NetBIOS Name der Domäne. Dieser entspricht dem Prä-Windows 2000 Domänennamen. Eine nachträgliche Änderung des Domänennamens ist nicht möglich.

Übergeordnete Domäne

Übergeordnete Domäne zur Abbildung einer hierarchischen Domänenstruktur. Der vollständige Domänenname und der definierte Name werden dann automatisch durch Bildungsregeln aktualisiert.

Domänensubtyp

Funktionsebene des Active Directory. Auf den Funktionsebenen sind verschiedene Features im Active Directory verfügbar. Welche Funktionsebene das eingesetzte Windows Betriebssystem des Domänen-Controllers unterstützt entnehmen Sie der Dokumentation zum eingesetzten Windows Server. Im One Identity Manager werden die Funktionsebenen unterstützt:

  • Windows Server 2003 einheitlich

  • Windows Server 2003 gemischt

  • Windows Server 2008

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

  • Windows Server 2016

Anzeigename

Name zur Anzeige der Domäne in der Benutzeroberfläche. Initial wird der NetBIOS Name der Domäne übernommen; den Anzeigenamen können Sie jedoch ändern.

Kontendefinition (initial)

Initiale Kontendefinition zur Erzeugung von Benutzerkonten. Diese Kontendefinition wird verwendet, wenn für diese Domäne die automatische Zuordnung von Personen zu Benutzerkonten genutzt wird und dabei bereits verwaltete Benutzerkonten (Zustand Linked configured) entstehen sollen. Es wird der Standardautomatisierungsgrad der Kontendefinition angewendet.

Ist keine Kontendefinition angegeben, werden die Benutzerkonten nur mit der Person verbunden (Zustand Linked). Dies ist beispielsweise bei der initialen Synchronisation der Fall.

Kontaktdefinition (initial)

Initiale Kontendefinition zur Erzeugung von Kontakten. Diese Kontendefinition wird verwendet, wenn für diese Domäne die automatische Zuordnung von Personen zu Kontakten genutzt wird und dabei bereits verwaltete Kontakten (Zustand Linked configured) entstehen sollen. Es wird der Standardautomatisierungsgrad der Kontendefinition angewendet.

Ist keine Kontendefinition angegeben, werden die Kontakten nur mit der Person verbunden (Zustand Linked). Dies ist beispielsweise bei der initialen Synchronisation der Fall.

Zielsystemverantwortliche

Anwendungsrolle, in der die Zielsystemverantwortlichen der Domäne festgelegt sind. Die Zielsystemverantwortlichen bearbeiten nur die Objekte der Domäne, der sie zugeordnet sind. Jeder Domäne können somit andere Zielsystemverantwortliche zugeordnet werden.

Wählen Sie die One Identity Manager Anwendungsrolle, deren Mitglieder verantwortlich für die Administration dieser Domäne sind. Über die Schaltfläche neben dem Eingabefeld können Sie eine neue Anwendungsrolle erstellen.

Synchronisiert durch

Art der Synchronisation, über welche die Daten zwischen der Domäne und dem One Identity Manager synchronisiert werden. Sobald Objekte für diese Domäne im One Identity Manager vorhanden sind, kann die Art der Synchronisation nicht mehr geändert werden.

Beim Erstellen einer Domäne mit dem Synchronization Editor wird One Identity Manager verwendet.

Tabelle 24: Zulässige Werte
Wert Synchronisation durch Provisionierung durch

One Identity Manager

Active Directory Konnektor

Active Directory Konnektor

Keine Synchronisation

keine

keine

HINWEIS: Wenn Sie Keine Synchronisation festlegen, definieren Sie unternehmensspezifische Prozesse, um Daten zwischen dem One Identity Manager und dem Zielsystem auszutauschen.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Verwandte Themen

Globale Kontenrichtlinien für Active Directory Domänen

Beim Einrichten eines Benutzerkontos werden die global festgelegten Kontenrichtlinien und Angaben für die Kennwortvergabe gültig. Diese Einstellungen nehmen Sie an der Domäne vor. Die Kontenrichtlinien gelten bei der Neuanlage von Benutzerkonten.

Auf dem Tabreiter Kontenrichtlinien erfassen Sie folgende Stammdaten.

Tabelle 25: Kontenrichtlinien einer Domäne
Eigenschaft Beschreibung

Min. Kennwortlänge

Minimale Länge des Kennwortes. Geben Sie die minimale Anzahl von Zeichen an, die ein Kennwort haben muss.

HINWEIS: Wird bei der Synchronisation an der globalen Kontenrichtlinie einer Active Directory Domäne ein restriktiverer Wert als an der One Identity Manager Kennwortrichtlinie erkannt, dann wird dieser Wert auf die One Identity Manager Kennwortrichtlinie für diese Domäne übernommen.

Wird diese One Identity Manager Kennwortrichtlinie für weitere Domänen verwendet, dann gilt dieser Wert auch für diese Domänen.

Min. Kennwortalter

Minimales Alter des Kennwortes. Tragen Sie die Zeitspanne ein, in der ein Kennwort benutzt werden muss, bevor der Benutzer das Kennwort ändern darf.

Max. Kennwortalter

Maximales Alter des Kennwortes. Geben Sie die Zeitspanne an, in der ein Kennwort verwendet werden kann, bevor ein neues Kennwort erwartet wird.

Max. Fehlanmeldungen

Anzahl der maximalen Fehlanmeldungen. Legen Sie die Anzahl der ungültigen Kennworteingaben fest. Hat ein Benutzer diese Anzahl erreicht, wird das Benutzerkonto gesperrt.

Kennwortchronik

  • Anzahl der zu speichernden Kennwörter. Wird beispielsweise der Wert 5 eingegeben, werden die letzten 5 Kennwörter des Benutzers gespeichert.

    HINWEIS: Wird bei der Synchronisation an der globalen Kontenrichtlinie einer Active Directory Domäne ein restriktiverer Wert als an der One Identity Manager Kennwortrichtlinie erkannt, dann wird dieser Wert auf die One Identity Manager Kennwortrichtlinie für diese Domäne übernommen.

    Wird diese One Identity Manager Kennwortrichtlinie für weitere Domänen verwendet, dann gilt dieser Wert auch für diese Domänen.

  • Dauer der Sperrung [min]

    Dauer der Sperrung in Minuten. Geben Sie an, für welchen Zeitraum die Benutzerkonten gesperrt werden, bevor sie automatisch zurückgesetzt werden.

    Konto zurücksetzen [min]

    Dauer bis zum Zurücksetzen des Benutzerkontos in Minuten. Geben Sie an, für welchen Zeitraum zwischen zwei ungültigen Kennworteingaben ein Benutzerkonto gesperrt werden soll.

    Für Domänen ab der Funktionsebene Windows Server 2008 R2 können Sie weitere Richtlinien definieren. Zusätzlich können Sie im One Identity Manager eigene Kennwortrichtlinien definieren, die auf die Kennwörter der Benutzerkonten angewendet werden.

    HINWEIS: Beim Prüfen eines Benutzerkennwortes werden die One Identity Manager Kennwortrichtlinien, die Einstellungen der globalen Kontenrichtlinien für die Active Directory Domäne sowie die Active Directory Kontenrichtlinien beachtet.

    Verwandte Themen

    Active Directory spezifische Stammdaten für Active Directory Domänen

    Auf dem Tabreiter Active Directory erfassen Sie folgende Stammdaten.

    Tabelle 26: Angaben zum Active Directory
    Eigenschaft Beschreibung

    Domänenname (pre Win2000)

    Prä-Windows 2000 Domänenname.

    Vollständiger Domänennamen

    Domänennamen der Domäne gemäß DNS Syntax.

    <Name dieser Domäne>.<Name der übergeordneten Domäne>.<Name der Stammdomäne>

    Kontomanager

    Verantwortlicher für die Domäne.

    Um einen Kontomanager festzulegen

    1. Klicken Sie auf die Schaltfläche neben dem Eingabefeld.
    2. Wählen Sie unter Tabelle die Tabelle, welche die Kontomanager abbildet.
    3. Wählen Sie unter Kontomanager den Verantwortlichen.
    4. Klicken Sie OK.

    Definierter Name

    Definierter Name der Domäne. Der definierte Name wird per Bildungsregel aus dem vollständigen Domänennamen ermittelt und sollte nicht bearbeitet werden.

    Gesamtstruktur

    Name der Gesamtstruktur, zu der die Domäne gehört. Der Name ist anzugeben, wenn Gruppenmitgliedschaften über Domänengrenzen hinweg abgebildet werden.

    Papierkorb aktiviert

    (Ab Funktionsebene Windows Server 2008 R2) Gibt an, ob der Papierkorb aktiviert ist. Die Eigenschaft wird durch die Synchronisation eingelesen und sollte im One Identity Manager nicht bearbeitet werden.

    Aufbewahrungsdauer

    (Ab Funktionsebene Windows Server 2008 R2) Aufbewahrungsdauer von Objekten im Papierkorb. Die Eigenschaft wird durch die Synchronisation eingelesen und sollte im One Identity Manager nicht bearbeitet werden.

    Komplexe Kennwörter

    Gibt an, ob in der Domäne komplexe Kennwörter eingesetzt werden. Komplexe Kennwörter müssen bestimmte Mindestanforderungen erfüllen. Für weitere Informationen lesen Sie die Dokumentation zum eingesetzten Windows Server.

    Für Domänen ab der Funktionsebenen Windows Server 2008 R2 ist es möglich diese Einstellung über Kontenrichtlinien zu definieren.

    Standard-Homelaufwerk

    Standard-Homelaufwerk, welches bei der Anmeldung eines Benutzers verbunden werden soll.

    Strukturelle Objektklasse

    Strukturelle Objektklasse, die den Typ des Objektes repräsentiert. Standardmäßig werden die Domänen im One Identity Manager mit der Objektklasse DOMAINDNS angelegt.

    Objektklasse

    Liste von Klassen, die die Attribute dieses Objektes definieren. Als Objektklassen werden die Klassen angeboten, die durch die Synchronisation aus der Active Directory-Umgebung in die Datenbank eingelesen wurden. Sie können jedoch zusätzliche Objektklassen in das Eingabefeld eintragen.

    Verwandte Themen
    Related Documents

    The document was helpful.

    Select Rating

    I easily found the information I needed.

    Select Rating