Chat now with support
Chat with Support

Identity Manager 9.3 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Synchronisieren einer Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einer Active Directory Domäne Anpassen der Synchronisationskonfiguration für Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Active Directory Benutzerkonten und Identitäten
Kontendefinitionen für Active Directory Benutzerkonten und Active Directory Kontakte Automatische Zuordnung von Identitäten zu Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Löschverzögerung für Active Directory Benutzerkonten und Active Directory Kontakte festlegen
Managen von Mitgliedschaften in Active Directory Gruppen Bereitstellen von Anmeldeinformationen für Active Directory Benutzerkonten Abbildung von Active Directory Objekten im One Identity Manager
Active Directory Domänen Active Directory Containerstrukturen Active Directory Benutzerkonten Active Directory Kontakte Active Directory Gruppen Active Directory Computer Active Directory Sicherheits-IDs Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte
Behandeln von Active Directory Objekten im Web Portal Basisdaten für die Verwaltung einer Active Directory-Umgebung Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für Active Directory Verarbeitungsmethoden von Active Directory Systemobjekten Einstellungen des Active Directory Konnektors

Vorbereiten eines Homeservers und Profilservers für die Anlage von Benutzerverzeichnissen

Bei der Anlage der Homeverzeichnisse und der Profilverzeichnissse der Benutzerkonten werden ein Homeserver und ein Profilserver erwartet.

Um Homeserver und Profilserver bekanntzugeben

  • Aktivieren Sie im Designer die Konfigurationsparameter TargetSystem | ADS | AutoCreateServers und TargetSystem | ADS | AutoCreateServers | PreferredLanguage.

    Sind die Konfigurationsparameter aktiviert, werden bei der Synchronisation von Benutzerkonten automatisch Einträge für fehlende Homeserver und Profilserver erstellt.

- ODER -

  1. Wählen Sie im Manager die Kategorie Active Directory > Basisdaten zur Konfiguration > Server.

  2. Wählen Sie in der Ergebnisliste den Jobserver-Eintrag.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Bearbeiten Sie die Stammdaten für den Jobserver.

  5. Wählen Sie die Aufgabe Serverfunktionen zuweisen und legen Sie die Serverfunktionen Homeserver und Profilserver fest.

  6. Speichern Sie die Änderungen.

Für die Erzeugung der Homeverzeichnisse und Profilverzeichnisse können Sie weitere Konfigurationseinstellungen nutzen.

  • Wenn das Homeverzeichnis eines Benutzers beim Anmelden verbunden werden soll, aktivieren Sie im Designer den Konfigurationsparameter QER | Person | User | ConnectHomeDir.

  • Um das Benutzerprofil im Homeverzeichnis des Benutzers anzulegen, aktivieren Sie im Designer den Konfigurationsparameter QER | Person | User | PropertyMapping | ProfileFromHome.

  • Für die Erzeugung der Homeverzeichnisse können Sie eine Batchdatei einsetzen, von deren Ausführungsergebnis letztendlich die Aktivierung des Homeverzeichnisses abhängig ist.

  • Für die Erzeugung der Profilverzeichnisse können Sie auf dem Profilserver eine Vorlagenstruktur erstellen, die bei der Erzeugung der Profilverzeichnisse genutzt wird.

  • Die Vergabe von Berechtigungen auf die Homeverzeichnisse und Profilverzeichnisse kann durch den One Identity Manager Service erfolgen.

Verwandte Themen

Erzeugen von Homeverzeichnissen über Batchdateien

Um speziellen Anforderungen einzelner Netzwerkumgebungen gerecht zu werden, können Sie bei der Erstellung eines Homeverzeichnisses durch den One Identity Manager Service eine Batchdatei einsetzen, deren Ausführung beim Erstellen des Verzeichnisses erfolgt und von deren Ausführungsergebnis die letztendliche Aktivierung des Homeverzeichnisses abhängig ist.

Um diese Funktion zu nutzen, muss auf allen Homeservern eine Netlogonfreigabe vorhanden sein. In der Netlogonfreigabe werden Unterverzeichnisse angelegt, welche dem NetBIOS Namen der Domäne entsprechen. Ist in diesen Verzeichnissen eine Batchdatei mit dem Namen HomePre.CMD vorhanden, wird diese vor dem Anlegen des Homeverzeichnisses ausgeführt. Endet die Ausführung dieser Batchdatei mit einem Fehler (das heißt, mit einem Errorlevel <> 0), wird das Anlegen des Homeverzeichnisses abgebrochen.

Der Batchdatei HomePre.CMD übergeben Sie die folgenden Kommandozeilenparameter, die innerhalb der Ausführung weiter verwendet werden können (in der Reihenfolge der Aufzählung, es werden die Spaltennamen der Datenbank verwendet):

SAMAccountName (aus Tabelle ADSAccount)

Ident_Domain (aus Tabelle ADSAccount)

Ident_Server (aus Tabelle QBMServer)

SharedAs (aus Tabelle ADSAccount)

HomeDirPath (aus Tabelle ADSAccount)

HomeShare (aus Tabelle ADSAccount)

Nach dem Anlegen eines Homeverzeichnisses können Sie nochmals eine Batchdatei ausführen. Diese muss sich an derselben Stelle, wie oben erwähnt, befinden und den Namen HomePost.CMD tragen. Die Stellung der Parameter geschieht identisch zur HomePre.CMD. Es erfolgt lediglich keine Verarbeitung des Exitcodes (Errorlevels).

Beispiel: Batchaufrufe zum Erzeugen eines Homes

Es wird ein Benutzerkonto Test1 in der Domäne Dom2 angelegt. Sein Homeverzeichnis soll auf den Server Serv3 in der Freigabe Share7 mit dem Namen TestHome6 angelegt und als TestShare5 freigegeben werden. Auf dem ausführenden Homeserver ServHome befinden sich die Dateien HomePre.CMD und HomePost.CMD im Verzeichnis \\ServHome\Netlogon\Dom2.

Batchaufruf vor dem Erzeugen des Homes:

\\ServHome\Netlogon\Dom2\HomePre.CMD Test1 Dom2 Serv3 TestShare5 TestHome6 Share7

Gibt die Batchausführung einen Exitcode 0 zurück, wird das Homeverzeichnis erzeugt. Sonst wird die Verarbeitung mit einem Protokolleintrag abgebrochen.

Batchaufruf nach dem Erzeugen des Homes:

\\ServHome\Netlogon\Dom2\HomePost.CMD Test1 Dom2 Serv3 TestShare5 TestHome6 Share7

Unterstützung von mehreren Profilverzeichnissen

Die unterschiedlichen Windows Betriebssystemversionen verwenden unterschiedliche Speicherorte für Roamingbenutzerprofile. Genaue Informationen zur Ablage der Roamingbenutzerprofile finden Sie in der Microsoft TechNet Library.

Um die Abbildung der Roamingbenutzerprofile im One Identity Manager zu erreichen.

  • Stellen Sie auf dem Profilserver eine Vorlagenstruktur für die Benutzerprofile zur Verfügung.

    Beispiel für eine Vorlagenstruktur für Benutzerprofile auf dem Profilserver

    PROFILE

    UserProfile

    All required folders/files

    UserProfile.V2

    All required folders/files

    UserProfile.V3

    All required folders/files

    UserProfile.V4

    All required folders/files

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | Accounts | ProfileFixedString und legen Sie den Teil des Benutzerprofilverzeichnispfades fest, der an den Standardprofilpfad angehängt werden soll. Der Standardwert ist UserProfile.

Als Ergebnis werden die Verzeichnispfade für die Benutzerprofile in der Standardinstallation folgendermaßen gebildet.

  • Wenn das Profilverzeichnis im Homeverzeichnis erzeugt wird:

    \\Servername\HOMES\Username$\PROFILES\UserProfile

  • Wenn das Profilverzeichnis nicht im Homeverzeichnis erzeugt wird:

    \\Servername\PROFILES\Username\UserProfile

Nach Verarbeitung der Prozesse sind die folgenden Verzeichnisse vorhanden.

  • Wenn das Profilverzeichnis im Homeverzeichnis erzeugt wird:

    \\Servername\HOMES\Username$\PROFILES\UserProfile

    \\Servername\HOMES\Username$\PROFILES\UserProfile.v2

    \\Servername\HOMES\Username$\PROFILES\UserProfile.v3

    \\Servername\HOMES\Username$\PROFILES\UserProfile.v4

  • Wenn das Profilverzeichnis nicht im Homeverzeichnis erzeugt wird:

    \\Servername\PROFILES\Username\UserProfile

    \\Servername\PROFILES\Username\UserProfile.v2

    \\Servername\PROFILES\Username\UserProfile.v3

    \\Servername\PROFILES\Username\UserProfile.v4

Die Verzeichnispfade für die Ablage auf einem Terminalserver werden analog gebildet.

  • Passen Sie für diesen Fall im Designer den Konfigurationsparameter TargetSystem | ADS | Accounts | TProfileFixedString an.

  • Legen Sie im Konfigurationsparameter den Teil des Benutzerprofilverzeichnispfades fest, der an den Standardprofilpfad auf einem Terminalserver angehängt werden soll. Der Standardwert ist UserProfile.

Zugriffsberechtigungen auf Homeverzeichnisse und Profilverzeichnisse

Tabelle 66: Konfigurationsparameter für die Einrichtung von Benutzerverzeichnissen
Konfigurationsparameter Bedeutung

QER | Person | User | AccessRights

Konfiguration der Zugriffsberechtigungen auf Benutzerverzeichnisse.

HINWEIS: Für die Vergabe von Berechtigungen auf Verzeichnisse und Dateien ist es unter Umständen erforderlich die Benutzerkontennamen wie Administrators oder Domain Users sprachabhängig zu hinterlegen. Die Standardsprache für die Benutzerkontennamen ist Englisch.

HINWEIS: Stellen Sie sicher, dass in den Basisverzeichnissen, beispielsweise dem Homeverzeichnis, keine Berechtigungen für die Benutzergruppe Jeder (Everyone) an die untergeordneten Verzeichnisse vererbt werden. Andernfalls besteht die Möglichkeit, dass die Benutzergruppe ungewollte Berechtigungen auf alle Homeverzeichnisse erhält.

Um Zugriffsberechtigungen auf das Homeverzeichnis zu vergeben

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Person | User | AccessRights | HomeDir und seine untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsberechtigungen in den Konfigurationsparametern ein.

    Die Vergabe der Zugriffsberechtigungen auf das Homeverzeichnis erfolgt durch den One Identity Manager Service.

    Tabelle 67: Konfigurationsparameter für Zugriffsberechtigungen auf das Homeverzeichnis
    Konfigurationsparameter Wirkung bei Aktivierung

    QER | Person | User | AccessRights | HomeDir

    Konfiguration der Zugriffsberechtigungen auf das Homeverzeichnis eines Benutzers. Die Berechtigungen werden über die untergeordneten Parameter festgelegt.

    QER | Person | User | AccessRights | HomeDir | User

    Berechtigung des Benutzers auf sein Homeverzeichnis.

    Standard: +r+w-x

Um Zugriffsberechtigungen auf das Profilverzeichnis zu vergeben

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Person | User | AccessRights | ProfileDir und sein untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsberechtigungen in den Konfigurationsparametern ein.

    Die Vergabe der Zugriffsberechtigungen auf das Profilverzeichnis erfolgt durch den One Identity Manager Service.

    Tabelle 68: Konfigurationsparameter für Zugriffsberechtigungen auf das Profilverzeichnis
    Konfigurationsparameter Wirkung bei Aktivierung

    QER | Person | User | AccessRights | ProfileDir

    Konfiguration der Zugriffsberechtigungen auf das Profilverzeichnis eines Benutzers. Die Berechtigungen werden über die untergeordneten Parameter festgelegt.

    QER | Person | User | AccessRights | ProfileDir | User

    Berechtigung des Benutzers auf sein Profilverzeichnis.

    Standard: +r+w-x

Um Zugriffsberechtigungen auf das Homeverzeichnis auf einem Terminalserver zu vergeben

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Person | User | AccessRights | TerminalHomeDir und seine untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsberechtigungen in den Konfigurationsparametern ein.

    Die Vergabe der Zugriffsberechtigungen auf das Homeverzeichnis erfolgt durch den One Identity Manager Service.

    Tabelle 69: Konfigurationsparameter für Zugriffsberechtigungen auf das Homeverzeichnis auf einem Terminalserver
    Konfigurationsparameter Wirkung bei Aktivierung

    QER | Person | User | AccessRights | TerminalHomeDir

    Konfiguration der Zugriffsberechtigungen auf das Terminalserver-Homeverzeichnis eines Active Directory Benutzerkontos. Die Berechtigungen werden über die untergeordneten Parameter festgelegt.

    QER | Person | User | AccessRights | TerminalHomeDir | User

    Berechtigung des Benutzers auf sein Terminalserver-Homeverzeichnis.

    Standard: +r+w-x

Um Zugriffsberechtigungen auf das Profilverzeichnis auf einem Terminalserver zu vergeben

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Person | User | AccessRights | TerminalProfileDir und seine untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsberechtigungen in den Konfigurationsparametern ein.

    Die Vergabe der Zugriffsberechtigungen auf das Profilverzeichnis erfolgt durch den One Identity Manager Service.

    Tabelle 70: Konfigurationsparameter für Zugriffsberechtigungen auf das Profilverzeichnis auf einem Terminalserver
    Konfigurationsparameter Wirkung bei Aktivierung

    QER | Person | User | AccessRights | TerminalProfileDir

    Konfiguration der Zugriffsberechtigungen auf das TerminalServer-Profilverzeichnis eines Active Directory Benutzerkontos. Die Berechtigungen werden über die untergeordneten Parameter festgelegt.

    QER | Person | User | AccessRights | TerminalProfileDir | User

    Berechtigung des Benutzers auf sein Terminalserver-Profilverzeichnis.

    Standard: +r+w-x

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating