Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Vorbereiten eines Home- und Profilservers für die Anlage von Benutzerverzeichnissen

Bei der Anlage der Homeverzeichnisse und der Profilverzeichnissse der Benutzerkonten werden ein Homeserver und ein Profilserver erwartet.

Um Homeserver und Profilserver bekanntzugeben

• Aktivieren Sie im Designer die Konfigurationsparameter "TargetSystem\ADS\AutoCreateServers" und "TargetSystem\ADS\AutoCreateServers\PreferredLanguage".

  Sind die Konfigurationsparameter aktiviert, werden bei der SynchronisationVorgang des Datenabgleichs zwischen der One Identity Manager Datenbank und einem ZielsystemEine Instanz eines Zielsystemtyps, in dem die vom One Identity Manager verwalteten Personen Zugriff auf Netzwerkressourcen besitzen. Beispiele: eine Active Directory Domäne X für den Zielsystemtyp „Active Directory“, ein Verzeichnis Y für den Zielsystemtyp „LDAP“, ein Mandant Z für den Zielsystemtyp „SAP R/3“. Es werden Objekte und ihre Eigenschaften nach festgelegten Regeln angeglichen. Das Ergebnis der Synchronisation ist eine identische Datensituation im Zielsystem und der One Identity Manager Datenbank. von Benutzerkonten automatisch Einträge für fehlende Home- und Profilserver erstellt.

- ODER -

1. Wählen Sie die Kategorie Active Directory | Basisdaten zur Konfiguration | Server.
2. Wählen Sie in der Ergebnisliste den JobserverServer, auf dem der One Identity Manager Service installiert ist.-Eintrag.
3. Wählen Sie die Aufgabe Stammdaten bearbeiten.
4. Bearbeiten Sie die Stammdaten für den Jobserver.
5. Wählen Sie die Aufgabe Serverfunktionen zuweisen und legen Sie die Serverfunktionen "Homeserver" bzw. "Profilserver" fest.
6. Speichern Sie die Änderungen.

Für die Erzeugung der Homeverzeichnisse und Profilverzeichnisse können Sie weitere Konfigurationseinstellungen nutzen.

• Wenn das Homeverzeichnis eines Benutzers beim Anmelden verbunden werden soll, aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\User\ConnectHomeDir".
• Um das Benutzerprofil im Homeverzeichnis des Benutzers anzulegen, aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\User\PropertyMapping \ProfileFromHome".
• Für die Erzeugung der Homeverzeichnisse können Sie eine Batchdatei einsetzen, von deren Ausführungsergebnis letztendlich die Aktivierung des Homeverzeichnisses abhängig ist.
• Für die Erzeugung der Profilverzeichnisse können Sie auf dem Profilserver eine Vorlagenstruktur erstellen, die bei der Erzeugung der Profilverzeichnisse genutzt wird.
• Die Vergabe von Berechtigungen auf die Homeverzeichnisse und Profilverzeichnisse kann durch den One Identity Manager Service erfolgen.

Verwandte Themen

• Erzeugen von Homeverzeichnissen über Batchdateien
• Unterstützung von mehreren Profilverzeichnissen
• Zugriffsberechtigungen auf Homeverzeichnisse und Profilverzeichnisse
• Stammdaten eines Jobservers
• Festlegen der Serverfunktionen

Erzeugen von Homeverzeichnissen über Batchdateien

Um speziellen Anforderungen einzelner Netzwerkumgebungen gerecht zu werden, können Sie bei der Erstellung eines Homeverzeichnisses durch den One Identity Manager Service eine Batchdatei einsetzen, deren Ausführung beim Erstellen des Verzeichnisses erfolgt und von deren Ausführungsergebnis die letztendliche Aktivierung des Homeverzeichnisses abhängig ist.

Um diese Funktion zu nutzen, muss auf allen Homeservern eine Netlogonfreigabe vorhanden sein. In der Netlogonfreigabe werden Unterverzeichnisse angelegt, welche dem NetBIOS Namen der Domäne entsprechen. Ist in diesen Verzeichnissen eine Batchdatei mit dem Namen HomePre.CMD vorhanden, wird diese vor dem Anlegen des Homeverzeichnisses ausgeführt. Endet die Ausführung dieser Batchdatei mit einem Fehler (das heißt, mit einem Errorlevel <> 0), wird das Anlegen des Homeverzeichnisses abgebrochen.

Der Batchdatei HomePre.CMD übergeben Sie die folgenden Kommandozeilenparameter, die innerhalb der Ausführung weiter verwendet werden können (in der Reihenfolge der Aufzählung, es werden die Spaltennamen der Datenbank verwendet):

SAMAccountName (aus Tabelle ADSAccount)

Ident_Domain (aus Tabelle ADSAccount)

Ident_Server (aus Tabelle QBMServer)

SharedAs (aus Tabelle ADSAccount)

HomeDirPath (aus Tabelle ADSAccount)

HomeShare (aus Tabelle ADSAccount)

Nach dem Anlegen eines Homeverzeichnisses können Sie nochmals eine Batchdatei ausführen. Diese muss sich an derselben Stelle, wie oben erwähnt, befinden und den Namen HomePost.CMD tragen. Die Stellung der Parameter geschieht identisch zur HomePre.CMD. Es erfolgt lediglich keine Verarbeitung des Exitcodes (Errorlevels).

Beispiel

Es wird ein Benutzerkonto "Test1" in der Domäne "Dom2" angelegt. Sein Homeverzeichnis soll auf den Server "Serv3" in der Freigabe "Share7" mit dem Namen "TestHome6" angelegt und als "TestShare5" freigegeben werden. Auf dem ausführenden Homeserver "ServHome" befinden sich die Dateien HomePre.CMD und HomePost.CMD im Verzeichnis "\\ServHome\Netlogon\Dom2".

Batchaufruf vor dem Erzeugen des Homes:

\\ServHome\Netlogon\Dom2\HomePre.CMD Test1 Dom2 Serv3 TestShare5 TestHome6 Share7

Gibt die Batchausführung einen Exitcode = "0"“ zurück, wird das Homeverzeichnis erzeugt. Sonst wird die Verarbeitung mit einem Protokolleintrag abgebrochen.

Batchaufruf nach dem Erzeugen des Homes:

\\ServHome\Netlogon\Dom2\HomePost.CMD Test1 Dom2 Serv3 TestShare5 TestHome6 Share7

Unterstützung von mehreren Profilverzeichnissen

Die unterschiedlichen Windows Betriebssystemversionen verwenden unterschiedliche Speicherorte für Roamingbenutzerprofile. Genaue Informationen zur Ablage der Roamingbenutzerprofile finden Sie in der MicrosoftTechNet Library.

Um die Abbildung der Roamingbenutzerprofile im One Identity Manager zu erreichen.

• Stellen Sie auf dem Profilserver eine Vorlagenstruktur für die Benutzerprofile zur Verfügung.

  Beispiel für eine Vorlagenstruktur für Benutzerprofile auf dem Profilserver

  PROFILE

  UserProfile

  All required folders/files

  UserProfile.V2

  All required folders/files

  UserProfile.V3

  All required folders/files

  UserProfile.V4

  All required folders/files

• Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\ADS\Accounts\ProfileFixedString" und legen Sie den Teil des Benutzerprofilverzeichnispfades fest, der an den Standardprofilpfad angehängt werden soll. Der Standardwert ist UserProfile.

Als Ergebnis werden die Verzeichnispfade für die Benutzerprofile in der Standardinstallation folgendermaßen gebildet.

• Wenn das Profilverzeichnis im Homeverzeichnis erzeugt wird:

  \\Servername\HOMES\Username$\PROFILES\UserProfile

• Wenn das Profilverzeichnis nicht im Homeverzeichnis erzeugt wird:

  \\Servername\PROFILES\Username\UserProfile

Nach Verarbeitung der Prozesse sind die folgenden Verzeichnisse vorhanden.

• Wenn das Profilverzeichnis im Homeverzeichnis erzeugt wird:

  \\Servername\HOMES\Username$\PROFILES\UserProfile

  \\Servername\HOMES\Username$\PROFILES\UserProfile.v2

  \\Servername\HOMES\Username$\PROFILES\UserProfile.v3

  \\Servername\HOMES\Username$\PROFILES\UserProfile.v4

• Wenn das Profilverzeichnis nicht im Homeverzeichnis erzeugt wird:

  \\Servername\PROFILES\Username\UserProfile

  \\Servername\PROFILES\Username\UserProfile.v2

  \\Servername\PROFILES\Username\UserProfile.v3

  \\Servername\PROFILES\Username\UserProfile.v4

Die Verzeichnispfade für die Ablage auf einem Terminalserver werden analog gebildet. Passen Sie für diesen Fall den Konfigurationsparameter "TargetSystem\ADS\Accounts\TProfileFixedString" an. Legen Sie im Konfigurationsparameter den Teil des Benutzerprofilverzeichnispfades fest, der an den Standardprofilpfad auf einem Terminalserver angehängt werden soll. Der Standardwert ist UserProfile.

Zugriffsberechtigungen auf Homeverzeichnisse und Profilverzeichnisse

Um Zugriffsrechte auf das Homeverzeichnis zu vergeben

• Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\User\AccessRights\HomeDir" und seine untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsrechte in den Konfigurationsparametern ein.

  Die Vergabe der Zugriffsrechte auf das Homeverzeichnis erfolgt durch den One Identity Manager Service.

Um Zugriffsrechte auf das Profilverzeichnis zu vergeben

• Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\User\AccessRights\ProfileDir" und sein untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsrechte in den Konfigurationsparametern ein.

  Die Vergabe der Zugriffsrechte auf das Profilverzeichnis erfolgt durch den One Identity Manager Service.

Um Zugriffsrechte auf das Homeverzeichnis auf einem Terminalserver zu vergeben

• Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\User\AccessRights\TerminalHomeDir" und seine untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsrechte in den Konfigurationsparametern ein.

  Die Vergabe der Zugriffsrechte auf das Homeverzeichnis erfolgt durch den One Identity Manager Service.

Um Zugriffsrechte auf das Profilverzeichnis auf einem Terminalserver zu vergeben

• Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\User\AccessRights\TerminalProfileDir" und seine untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsrechte in den Konfigurationsparametern ein.

  Die Vergabe der Zugriffsrechte auf das Profilverzeichnis erfolgt durch den One Identity Manager Service.

Verwandte Themen

• Benutzerkontennamen