Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Einrichten der Synchronisation mit einer Active Directory-Umgebung Basisdaten für die Verwaltung einer Active Directory-Umgebung
Einrichten von Kontendefinitionen Kennwortrichtlinien Initiales Kennwort für neue Active Directory Benutzerkonten E-Mail-Benachrichtigungen über Anmeldeinformationen Benutzerkontennamen Zielsystemverantwortliche Bearbeiten eines Servers
Active Directory Domänen Active Directory Benutzerkonten
Benutzerkonten mit Personen verbinden Unterstützte Typen von Benutzerkonten Erfassen der Stammdaten für Active Directory Benutzerkonten Zusätzliche Aufgaben für die Verwaltung von Active Directory Benutzerkonten Automatische Zuordnung von Personen zu Active Directory Benutzerkonten Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Deaktivieren von Active Directory Benutzerkonten Löschen und Wiederherstellen von Active Directory Benutzerkonten
Active Directory Kontakte Active Directory Gruppen Active Directory Sicherheits-IDs Active Directory Containerstrukturen Active Directory Computer Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte Anhang: Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Anhang: Standardprojektvorlage für Active Directory Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Vorbereiten eines Home- und Profilservers für die Anlage von Benutzerverzeichnissen

Tabelle 24: Konfigurationsparameter für die Einrichtung von Benutzerverzeichnissen
Konfigurationsparameter Bedeutung

TargetSystem\ADS\AutoCreateServers

Der Konfigurationsparameter gibt an, ob Benutzerkonten automatisch Einträge für fehlende Home- und Profilserver erstellt werden.

TargetSystem\ADS\AutoCreateServers\
PreferredLanguage

Der Konfigurationsparameter enthält die Sprache der automatisch angelegten Server.

QER\Person\User\ConnectHomeDir

Der Konfigurationsparameter legt fest, ob das Homeverzeichnis beim Anmelden des Benutzers verbunden werden soll.

QER\Person\User\PropertyMapping
\ProfileFromHome

Der Konfigurationsparameter legt fest, ob das Profilverzeichnis im Homeverzeichnis des Benutzers mit verwaltet werden soll.

Bei der Anlage der Homeverzeichnisse und der Profilverzeichnissse der Benutzerkonten werden ein Homeserver und ein Profilserver erwartet.

Um Homeserver und Profilserver bekanntzugeben

  • Aktivieren Sie im Designer die Konfigurationsparameter "TargetSystem\ADS\AutoCreateServers" und "TargetSystem\ADS\AutoCreateServers\PreferredLanguage".

    Sind die Konfigurationsparameter aktiviert, werden bei der SynchronisationClosed von Benutzerkonten automatisch Einträge für fehlende Home- und Profilserver erstellt.

- ODER -

  1. Wählen Sie die Kategorie Active Directory | Basisdaten zur Konfiguration | Server.
  2. Wählen Sie in der Ergebnisliste den JobserverClosed-Eintrag.
  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  4. Bearbeiten Sie die Stammdaten für den Jobserver.
  5. Wählen Sie die Aufgabe Serverfunktionen zuweisen und legen Sie die Serverfunktionen "Homeserver" bzw. "Profilserver" fest.
  6. Speichern Sie die Änderungen.

Für die Erzeugung der Homeverzeichnisse und Profilverzeichnisse können Sie weitere Konfigurationseinstellungen nutzen.

  • Wenn das Homeverzeichnis eines Benutzers beim Anmelden verbunden werden soll, aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\User\ConnectHomeDir".
  • Um das Benutzerprofil im Homeverzeichnis des Benutzers anzulegen, aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\User\PropertyMapping \ProfileFromHome".
  • Für die Erzeugung der Homeverzeichnisse können Sie eine Batchdatei einsetzen, von deren Ausführungsergebnis letztendlich die Aktivierung des Homeverzeichnisses abhängig ist.
  • Für die Erzeugung der Profilverzeichnisse können Sie auf dem Profilserver eine Vorlagenstruktur erstellen, die bei der Erzeugung der Profilverzeichnisse genutzt wird.
  • Die Vergabe von Berechtigungen auf die Homeverzeichnisse und Profilverzeichnisse kann durch den One Identity Manager Service erfolgen.
Verwandte Themen

Erzeugen von Homeverzeichnissen über Batchdateien

Um speziellen Anforderungen einzelner Netzwerkumgebungen gerecht zu werden, können Sie bei der Erstellung eines Homeverzeichnisses durch den One Identity Manager Service eine Batchdatei einsetzen, deren Ausführung beim Erstellen des Verzeichnisses erfolgt und von deren Ausführungsergebnis die letztendliche Aktivierung des Homeverzeichnisses abhängig ist.

Um diese Funktion zu nutzen, muss auf allen Homeservern eine Netlogonfreigabe vorhanden sein. In der Netlogonfreigabe werden Unterverzeichnisse angelegt, welche dem NetBIOS Namen der Domäne entsprechen. Ist in diesen Verzeichnissen eine Batchdatei mit dem Namen HomePre.CMD vorhanden, wird diese vor dem Anlegen des Homeverzeichnisses ausgeführt. Endet die Ausführung dieser Batchdatei mit einem Fehler (das heißt, mit einem Errorlevel <> 0), wird das Anlegen des Homeverzeichnisses abgebrochen.

Der Batchdatei HomePre.CMD übergeben Sie die folgenden Kommandozeilenparameter, die innerhalb der Ausführung weiter verwendet werden können (in der Reihenfolge der Aufzählung, es werden die Spaltennamen der Datenbank verwendet):

SAMAccountName (aus Tabelle ADSAccount)

Ident_Domain (aus Tabelle ADSAccount)

Ident_Server (aus Tabelle QBMServer)

SharedAs (aus Tabelle ADSAccount)

HomeDirPath (aus Tabelle ADSAccount)

HomeShare (aus Tabelle ADSAccount)

Nach dem Anlegen eines Homeverzeichnisses können Sie nochmals eine Batchdatei ausführen. Diese muss sich an derselben Stelle, wie oben erwähnt, befinden und den Namen HomePost.CMD tragen. Die Stellung der Parameter geschieht identisch zur HomePre.CMD. Es erfolgt lediglich keine Verarbeitung des Exitcodes (Errorlevels).

Beispiel

Es wird ein Benutzerkonto "Test1" in der Domäne "Dom2" angelegt. Sein Homeverzeichnis soll auf den Server "Serv3" in der Freigabe "Share7" mit dem Namen "TestHome6" angelegt und als "TestShare5" freigegeben werden. Auf dem ausführenden Homeserver "ServHome" befinden sich die Dateien HomePre.CMD und HomePost.CMD im Verzeichnis "\\ServHome\Netlogon\Dom2".

Batchaufruf vor dem Erzeugen des Homes:

\\ServHome\Netlogon\Dom2\HomePre.CMD Test1 Dom2 Serv3 TestShare5 TestHome6 Share7

Gibt die Batchausführung einen Exitcode = "0"“ zurück, wird das Homeverzeichnis erzeugt. Sonst wird die Verarbeitung mit einem Protokolleintrag abgebrochen.

Batchaufruf nach dem Erzeugen des Homes:

\\ServHome\Netlogon\Dom2\HomePost.CMD Test1 Dom2 Serv3 TestShare5 TestHome6 Share7

Unterstützung von mehreren Profilverzeichnissen

Tabelle 25: Konfigurationsparameter für die Erstellung von Benutzerprofilen
Konfigurationsparameter Bedeutung
TargetSystem\ADS\Accounts\ProfileFixedString Der Konfigurationsparameter enthält eine feste Zeichenkette, die an den Standardprofilpfad eines Benutzerprofils angehängt wird.
TargetSystem\ADS\Accounts\TProfileFixedString Der Konfigurationsparameter enthält eine feste Zeichenkette, die an den Standardprofilpfad eines Benutzerprofils auf einem Terminalserver angehängt wird.

Die unterschiedlichen Windows Betriebssystemversionen verwenden unterschiedliche Speicherorte für Roamingbenutzerprofile. Genaue Informationen zur Ablage der Roamingbenutzerprofile finden Sie in der MicrosoftTechNet Library.

Um die Abbildung der Roamingbenutzerprofile im One Identity Manager zu erreichen.

  • Stellen Sie auf dem Profilserver eine Vorlagenstruktur für die Benutzerprofile zur Verfügung.

    Beispiel für eine Vorlagenstruktur für Benutzerprofile auf dem Profilserver

    PROFILE

    UserProfile

    All required folders/files

    UserProfile.V2

    All required folders/files

    UserProfile.V3

    All required folders/files

    UserProfile.V4

    All required folders/files

  • Aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\ADS\Accounts\ProfileFixedString" und legen Sie den Teil des Benutzerprofilverzeichnispfades fest, der an den Standardprofilpfad angehängt werden soll. Der Standardwert ist UserProfile.

Als Ergebnis werden die Verzeichnispfade für die Benutzerprofile in der Standardinstallation folgendermaßen gebildet.

  • Wenn das Profilverzeichnis im Homeverzeichnis erzeugt wird:

    \\Servername\HOMES\Username$\PROFILES\UserProfile

  • Wenn das Profilverzeichnis nicht im Homeverzeichnis erzeugt wird:

    \\Servername\PROFILES\Username\UserProfile

Nach Verarbeitung der Prozesse sind die folgenden Verzeichnisse vorhanden.

  • Wenn das Profilverzeichnis im Homeverzeichnis erzeugt wird:

    \\Servername\HOMES\Username$\PROFILES\UserProfile

    \\Servername\HOMES\Username$\PROFILES\UserProfile.v2

    \\Servername\HOMES\Username$\PROFILES\UserProfile.v3

    \\Servername\HOMES\Username$\PROFILES\UserProfile.v4

  • Wenn das Profilverzeichnis nicht im Homeverzeichnis erzeugt wird:

    \\Servername\PROFILES\Username\UserProfile

    \\Servername\PROFILES\Username\UserProfile.v2

    \\Servername\PROFILES\Username\UserProfile.v3

    \\Servername\PROFILES\Username\UserProfile.v4

Die Verzeichnispfade für die Ablage auf einem Terminalserver werden analog gebildet. Passen Sie für diesen Fall den Konfigurationsparameter "TargetSystem\ADS\Accounts\TProfileFixedString" an. Legen Sie im Konfigurationsparameter den Teil des Benutzerprofilverzeichnispfades fest, der an den Standardprofilpfad auf einem Terminalserver angehängt werden soll. Der Standardwert ist UserProfile.

Zugriffsberechtigungen auf Homeverzeichnisse und Profilverzeichnisse

Tabelle 26: Konfigurationsparameter für die Einrichtung von Benutzerverzeichnissen
Konfigurationsparameter Bedeutung
QER\Person\User\AccessRights Der Konfigurationsparameter erlaubt die Konfiguration der Zugriffsrechte auf Benutzerverzeichnisse.

HINWEIS: Für die Rechtevergabe auf Verzeichnisse und Dateien ist es unter Umständen erforderlich die Benutzerkontennamen wie "Administrators", "Everyone" oder "Domain Users" sprachabhängig zu hinterlegen. Die Standardsprache für die Benutzerkontennamen ist Englisch.

Um Zugriffsrechte auf das Homeverzeichnis zu vergeben

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\User\AccessRights\HomeDir" und seine untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsrechte in den Konfigurationsparametern ein.

    Die Vergabe der Zugriffsrechte auf das Homeverzeichnis erfolgt durch den One Identity Manager Service.

Tabelle 27: Konfigurationsparameter für Zugriffrsechte auf das Homeverzeichnis
Konfigurationsparameter Wirkung bei Aktivierung

QER\Person\User\AccessRights\HomeDir

Konfiguration der Zugriffsrechte auf das Homeverzeichnis eines Benutzers. Die Berechtigungen werden über die untergeordneten Parameter festgelegt.

QER\Person\User\AccessRights\HomeDir\EveryOne

Berechtigung von Everyone auf das Homeverzeichnis eines Benutzers. Standardmäßig: -r-w-x

QER\Person\User\AccessRights\HomeDir\User

Berechtigung des Benutzers auf sein Homeverzeichnis. Standardmäßig: +r+w-x

Um Zugriffsrechte auf das Profilverzeichnis zu vergeben

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\User\AccessRights\ProfileDir" und sein untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsrechte in den Konfigurationsparametern ein.

    Die Vergabe der Zugriffsrechte auf das Profilverzeichnis erfolgt durch den One Identity Manager Service.

Tabelle 28: Konfigurationsparameter für Zugriffsrechte auf das Profilverzeichnis
Konfigurationsparameter Wirkung bei Aktivierung

QER\Person\User\AccessRights\ProfileDir

Konfiguration der Zugriffsrechte auf das Profilverzeichnis eines Benutzers. Die Berechtigungen werden über die untergeordneten Parameter festgelegt.

QER\Person\User\AccessRights\ProfileDir\EveryOne

Berechtigung von Everyone auf das Profilverzeichnis eines Benutzers. Standardmäßig: -r-w-x

QER\Person\User\AccessRights\ProfileDir\User

Berechtigung des Benutzers auf sein Profilverzeichnis. Standardmäßig: +r+w-x

Um Zugriffsrechte auf das Homeverzeichnis auf einem Terminalserver zu vergeben

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\User\AccessRights\TerminalHomeDir" und seine untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsrechte in den Konfigurationsparametern ein.

    Die Vergabe der Zugriffsrechte auf das Homeverzeichnis erfolgt durch den One Identity Manager Service.

Tabelle 29: Konfigurationsparameter für Zugriffsrechte auf das Homeverzeichnis auf einem Terminalserver
Konfigurationsparameter Wirkung bei Aktivierung

QER\Person\User\AccessRights\TerminalHomeDir

Konfiguration der Zugriffsrechte auf das Terminalhomeverzeichnis eines Active Directory Benutzerkontos. Die Berechtigungen werden über die untergeordneten Parameter festgelegt.

QER\Person\User\AccessRights\TerminalHomeDir\EveryOne

Berechtigung von Everyone auf das Terminalserver-Homeverzeichnis eines Benutzers. Standardmäßig: -r-w-x

QER\Person\User\AccessRights\TerminalHomeDir\User

Berechtigung des Benutzers auf sein Terminalserver-Homeverzeichnis. Standardmäßig: +r+w-x

Um Zugriffsrechte auf das Profilverzeichnis auf einem Terminalserver zu vergeben

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\Person\User\AccessRights\TerminalProfileDir" und seine untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsrechte in den Konfigurationsparametern ein.

    Die Vergabe der Zugriffsrechte auf das Profilverzeichnis erfolgt durch den One Identity Manager Service.

Tabelle 30: Konfigurationsparameter für Zugriffsrechte auf das Profilverzeichnis auf einem Terminalserver
Konfigurationsparameter Wirkung bei Aktivierung

QER\Person\User\AccessRights\TerminalProfileDir

Konfiguration der Zugriffsrechte auf das Terminalprofilverzeichnis eines Active Directory Benutzerkontos. Die Berechtigungen werden über die untergeordneten Parameter festgelegt.

QER\Person\User\AccessRights\TerminalProfileDir\EveryOne

Berechtigung von Everyone auf das Terminalserver-Profilverzeichnis eines Benutzers. Standardmäßig: -r-w-x

QER\Person\User\AccessRights\TerminalProfileDir\User

Berechtigung des Benutzers auf sein Terminalserver-Profilverzeichnis. Standardmäßig: +r+w-x

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating