Chat now with support
Chat with Support

Identity Manager 9.3 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Synchronisieren einer Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einer Active Directory Domäne Anpassen der Synchronisationskonfiguration für Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Active Directory Benutzerkonten und Identitäten
Kontendefinitionen für Active Directory Benutzerkonten und Active Directory Kontakte Automatische Zuordnung von Identitäten zu Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Löschverzögerung für Active Directory Benutzerkonten und Active Directory Kontakte festlegen
Managen von Mitgliedschaften in Active Directory Gruppen Bereitstellen von Anmeldeinformationen für Active Directory Benutzerkonten Abbildung von Active Directory Objekten im One Identity Manager
Active Directory Domänen Active Directory Containerstrukturen Active Directory Benutzerkonten Active Directory Kontakte Active Directory Gruppen Active Directory Computer Active Directory Sicherheits-IDs Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte
Behandeln von Active Directory Objekten im Web Portal Basisdaten für die Verwaltung einer Active Directory-Umgebung Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für Active Directory Verarbeitungsmethoden von Active Directory Systemobjekten Einstellungen des Active Directory Konnektors

Zusatzeigenschaften an Active Directory Benutzerkonten zuweisen

Zusatzeigenschaften sind Meta-Objekte, für die es im One Identity Manager-Datenmodell keine direkte Abbildung gibt, wie beispielsweise Buchungskreise, Kostenrechnungskreise oder Kostenstellenbereiche.

Ausführliche Informationen zum Verwenden von Zusatzeigenschaften finden Sie im One Identity Manager Administrationshandbuch für Complianceregeln.

Um Zusatzeigenschaften für ein Benutzerkonto festzulegen

  1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Zusatzeigenschaften zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Zusatzeigenschaften zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Zusatzeigenschaften entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Zusatzeigenschaft und doppelklicken Sie .

  5. Speichern Sie die Änderungen.

Active Directory Benutzerkonten deaktivieren

Wie Sie Benutzerkonten deaktivieren, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario: Die Benutzerkonten sind mit Identitäten verbunden und werden über Kontendefinitionen verwaltet.

Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Identität dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad Full managed werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte ADSAccount.AccountDisabled.

HINWEIS: Um Benutzerkonten beim Deaktivieren in einen speziellen Container zu verschieben, pflegen Sie in den IT Betriebsdaten den Container für deaktivierte Benutzerkonten (ADSAccount.UID_ADSContainerDisabled).

Wenn ein Benutzerkonto, das über eine Kontendefinition verwaltet wird, deaktiviert wird, dann wird dieser Container aus den IT Betriebsdaten ermittelt und das Benutzerkonto in diesen Container verschoben.

Szenario: Die Benutzerkonten sind mit Identitäten verbunden. Es sind keine Kontendefinitionen zugeordnet.

Benutzerkonten, die mit Identitäten verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Identität dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter QER | Person | TemporaryDeactivation.

  • Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Identität deaktiviert, wenn die Identität zeitweilig oder dauerhaft deaktiviert wird.

  • Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Identität keinen Einfluss auf die verbundenen Benutzerkonten.

Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu deaktivieren

  1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.
Szenario: Die Benutzerkonten sind nicht mit Identitäten verbunden.

Um ein Benutzerkonto zu deaktivieren, das nicht mit einer Identität verbunden ist

  1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.

Ausführliche Informationen zum Deaktivieren und Löschen von Identitäten und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen

Active Directory Benutzerkonten löschen und wiederherstellen

HINWEIS:

  • Benutzerkonten, bei denen die Option Schutz von versehentlichem Löschen aktiviert ist, können nicht gelöscht werden.

  • Solange eine Kontendefinition für eine Identität wirksam ist, behält die Identität ihr daraus entstandenes Benutzerkonto. Wird die Zuweisung einer Kontendefinition entfernt, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht.

  • Beim Löschen eines Benutzerkontos wird im One Identity Manager ein Eintrag für die Active Directory SID erzeugt.

  • Ob beim Wiederherstellen oder Einfügen eines Active Directory Objektes im One Identity Manager zunächst geprüft werden soll, ob sich das Objekt im Active Directory Papierkorb befindet und von dort wiederhergestellt werden soll, legen Sie bei der Konfiguration des Synchronisationsprojektes fest.

Ein Benutzerkonto, das nicht über eine Kontendefinition entstanden ist, löschen Sie im Manager über die Ergebnisliste oder über die Menüleiste. Nach Bestätigung der Sicherheitsabfrage wird das Benutzerkonto im One Identity Manager zunächst zum Löschen markiert.

Um ein Benutzerkonto zu löschen

  1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Klicken Sie in der Ergebnisliste .

  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Beim Löschen eines Benutzerkontos wird eine Löschverzögerung berücksichtigt. Über die Löschverzögerung legen Sie fest, wie lange die Benutzerkonten nach dem Auslösen des Löschens in der Datenbank verbleiben, bevor sie endgültig entfernt werden. Bis zum Ablauf der Löschverzögerung besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren.

Wenn der Konfigurationsparameter QER | Person | User | DeleteOptions | ReapplyTemplatesOnRestore aktiviert ist, werden beim Reaktivieren eines zum Löschen markierten Benutzerkontos, das über eine Kontendefinition verwaltet wird, die Bildungsregeln erneut angewendet. Dadurch werden Eigenschaften, die von den IT Betriebsdaten abhängig sind, automatisch entsprechend der aktuellen Konfiguration neu gebildet.

Um ein Benutzerkonto wiederherzustellen

  1. Wählen Sie im Manager die Kategorie Active Directory > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Klicken Sie in der Ergebnisliste .

Verwandte Themen

Verfahren zum Löschen von Active Directory Benutzerkonten im One Identity Manager

Im Active Directory werden Objekte wie zum Beispiel Benutzerkonten mit einer eindeutigen Identifikationsnummer (ID) versehen, mit der auch die Berechtigungen verknüpft sind.

Für Domänen mit den Funktionsebenen kleiner als Windows Server 2008 R2 gehen beim Löschen der Benutzerkonten im Active Directory die ID und die damit verbundenen Berechtigungen irreversibel verloren. Somit sind Benutzerkonten nur schwer wiederherstellbar.

Für Domänen ab der Funktionsebene Windows Server 2008 R2 können Benutzerkonten über den Papierkorb gelöscht werden. Dabei werden die Benutzerkonten in den Papierkorb verschoben und können ohne Verlust der ID und der Berechtigungen innerhalb einer definierten Aufbewahrungszeit wiederhergestellt werden.

HINWEIS: Ob beim Wiederherstellen oder Einfügen eines Active Directory Objektes im One Identity Manager zunächst geprüft werden soll, ob sich das Objekt im Active Directory Papierkorb befindet und von dort wiederhergestellt werden soll, legen Sie bei der Konfiguration des Synchronisationsprojektes fest.

Der One Identity Manager nutzt verschiedene Verfahren zum Löschen von Benutzerkonten.

Löschen ohne Active Directory Papierkorb

Dieses Verfahren wird für alle Domänen eingesetzt, in denen:

  • aufgrund einer Funktionsebene kleiner als Windows Server 2008 R2 kein Papierkorb vorhanden ist.

    - ODER-

  • der Papierkorb ab der Funktionsebene Windows Server 2008 R2 nicht aktiviert ist.

Nach Bestätigung der Sicherheitsabfrage wird das Benutzerkonto im One Identity Manager zunächst zum Löschen markiert. Das Benutzerkonto wird im One Identity Manager gesperrt und je nach Einstellung der Löschverzögerung endgültig aus der One Identity Manager-Datenbank und aus dem Active Directory gelöscht.

Löschen über den Active Directory Papierkorb

Dieses Verfahren wird für Domänen ab Funktionsebene Windows Server 2008 R2 eingesetzt, bei denen der Papierkorb aktiviert ist.

Nach Bestätigung der Sicherheitsabfrage wird das Benutzerkonto im One Identity Manager zunächst zum Löschen markiert. Das Benutzerkonto wird im One Identity Manager gesperrt und nach Ablauf der Löschverzögerung endgültig aus der One Identity Manager-Datenbank gelöscht. Das Benutzerkonto wird im Active Directory in den Papierkorb verschoben und nach Ablauf der Aufbewahrungszeit endgültig aus dem Active Directory gelöscht. Die Aufbewahrungszeit für Objekte im Papierkorb ist an der Domäne in der Eigenschaft Aufbewahrungsdauer eingetragen.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating