Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Einrichten der Synchronisation mit einer Active Directory-Umgebung Basisdaten für die Verwaltung einer Active Directory-Umgebung
Einrichten von Kontendefinitionen Kennwortrichtlinien Initiales Kennwort für neue Active Directory Benutzerkonten E-Mail-Benachrichtigungen über Anmeldeinformationen Benutzerkontennamen Zielsystemverantwortliche Bearbeiten eines Servers
Active Directory Domänen Active Directory Benutzerkonten
Benutzerkonten mit Personen verbinden Unterstützte Typen von Benutzerkonten Erfassen der Stammdaten für Active Directory Benutzerkonten Zusätzliche Aufgaben für die Verwaltung von Active Directory Benutzerkonten Automatische Zuordnung von Personen zu Active Directory Benutzerkonten Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Deaktivieren von Active Directory Benutzerkonten Löschen und Wiederherstellen von Active Directory Benutzerkonten
Active Directory Kontakte Active Directory Gruppen Active Directory Sicherheits-IDs Active Directory Containerstrukturen Active Directory Computer Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte Anhang: Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Anhang: Standardprojektvorlage für Active Directory Anhang: Authentifizierungsmodule für die Anmeldung am One Identity Manager

Deaktivieren von Active Directory Benutzerkonten

Deaktivieren von Active Directory Benutzerkonten

Tabelle 59: Konfigurationsparameter für das Deaktivieren von Benutzerkonten
Konfigurationsparameter Bedeutung
QER\Person\TemporaryDeactivation Der Konfigurationsparameter legt fest, ob die Benutzerkonten der Person gesperrt werden, wenn die Person zeitweilig oder dauerhaft deaktiviert wird.

Wie Sie Benutzerkonten deaktivieren, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario:
  • Die Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad „Full managed“ werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte ADSAccount.AccountDisabled.

Szenario:
  • Die Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

Benutzerkonten, die mit Personen verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter "QER\Person\TemporaryDeactivation".

  • Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Person deaktiviert, wenn die Person zeitweilig oder dauerhaft deaktiviert wird.
  • Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Person keinen Einfluss auf die verbundenen Benutzerkonten.

Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu sperren

  1. Wählen Sie die Kategorie Active Directory | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.
  5. Speichern Sie die Änderungen.
Szenario:
  • Benutzerkonten sind nicht mit Personen verbunden.

Um ein Benutzerkonto zu sperren, das nicht mit einer Person verbunden ist

  1. Wählen Sie die Kategorie Active Directory | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.
  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.
  5. Speichern Sie die Änderungen.

Ausführliche Informationen zum Deaktivieren und Löschen von Personen und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das ZielsystemClosed-Basismodul.

Verwandte Themen

Löschen und Wiederherstellen von Active Directory Benutzerkonten

Löschen und Wiederherstellen von Active Directory Benutzerkonten

Im Active Directory werden Objekte wie zum Beispiel Benutzerkonten mit einer eindeutigen Identifikationsnummer (ID) versehen, mit der auch die Berechtigungen verknüpft sind. Für Domänen mit den Funktionsebenen kleiner als „Windows Server 2008 R2“ gehen beim Löschen der Benutzerkonten im Active Directory die ID und die damit verbundenen Berechtigungen irreversibel verloren. Somit sind Benutzerkonten nur schwer wiederherstellbar. Für Domänen ab der Funktionsebene „Windows Server 2008 R2“ können Benutzerkonten über den Papierkorb gelöscht werden. Dabei werden die Benutzerkonten in den Papierkorb verschoben und können ohne Verlust der ID und der Berechtigungen innerhalb einer definierten Aufbewahrungszeit wiederhergestellt werden.

Ob beim Einfügen eines Active Directory Objektes zunächst geprüft werden soll, ob sich das Objekt im Active Directory Papierkorb befindet und von dort wiederhergestellt werden soll, legen Sie bei der Konfiguration des Synchronisationsprojektes fest.

Der One Identity Manager nutzt verschiedene Verfahren zum Löschen von Benutzerkonten.

Löschen ohne Active Directory Papierkorb

Dieses Verfahren wird für alle Domänen eingesetzt, in denen:

  • aufgrund einer Funktionsebene kleiner als "Windows Server 2008 R2" kein Papierkorb vorhanden ist.

    - ODER-

  • der Papierkorb ab der Funktionsebene "Windows Server 2008 R2" nicht aktiviert ist.

Nach Bestätigung der Sicherheitsabfrage wird das Benutzerkonto im One Identity Manager zunächst zum Löschen markiert. Das Benutzerkonto wird im One Identity Manager gesperrt und je nach Einstellung der Löschverzögerung endgültig aus der One Identity Manager-Datenbank und aus dem Active Directory gelöscht.

Löschen über den Active Directory Papierkorb

Dieses Verfahren wird für Domänen ab Funktionsebene "Windows Server 2008 R2" eingesetzt, bei denen der Papierkorb aktiviert ist.

Nach Bestätigung der Sicherheitsabfrage wird das Benutzerkonto im One Identity Manager zunächst zum Löschen markiert. Das Benutzerkonto wird sofort im Active Directory gelöscht. Das Benutzerkonto wird im One Identity Manager gesperrt und nach Ablauf der Aufbewahrungszeit endgültig aus der One Identity Manager-Datenbank gelöscht. Die Aufbewahrungszeit ist an der Domäne im Eingabefeld Aufbewahrungsdauer eingetragen. Ist dort keine Aufbewahrungszeit hinterlegt, wird die Löschverzögerung berücksichtigt.

HINWEIS: Beim Löschen eines Benutzerkontos wird im One Identity Manager ein Eintrag für die Active Directory SID erzeugt.

Hinweis: Solange eine Kontendefinition für eine Person wirksam ist, behält die Person ihr daraus entstandenes Benutzerkonto. Wird die Zuweisung einer Kontendefinition entfernt, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht.

Um ein Benutzerkonto zu löschen

  1. Wählen Sie die Kategorie Active Directory | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Löschen Sie das Benutzerkonto.
  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Um ein Benutzerkonto wiederherzustellen

  1. Wählen Sie die Kategorie Active Directory | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Klicken Sie in der Ergebnisliste die Schaltfläche Löschen rückgängig machen.

Beim Löschen eines Benutzerkontos werden die Konfigurationsparameter zur Behandlung der Benutzerverzeichnisse berücksichtigt.

  • Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.
    Tabelle 60: Konfigurationsparameter für das Löschen von Benutzerkonten
    Konfigurationsparameter Wirkung bei Aktivierung

    QER\Person\User\DeleteOptions

    Der Konfigurationsparameter steuert das Verhaltens beim Löschen von Benutzerkonten.

    QER\Person\User\DeleteOptions\FolderAnonymPre

    Wenn in den Löschoptionen festgelegt ist, dass ein Verzeichnis oder eine Freigabe nicht gelöscht werden soll, so wird es umbenannt und erhält das angegebene Präfix.

    QER\Person\User\DeleteOptions\HomeDir

    Das Homeverzeichnis des Benutzers wird gelöscht.

    QER\Person\User\DeleteOptions\HomeShare

    Die Homefreigabe des Benutzers wird gelöscht.

    QER\Person\User\DeleteOptions\ProfileDir

    Das Profilverzeichnis des Benutzers wird gelöscht.

    QER\Person\User\DeleteOptions\ProfileShare

    Die Profilfreigabe des Benutzers wird gelöscht.

    QER\Person\User\DeleteOptions\TerminalHomeDir

    Das Terminalhomeverzeichnis des Benutzers wird gelöscht.

    QER\Person\User\DeleteOptions\TerminalHomeShare

    Die Terminalhomefreigabe des Benutzers wird gelöscht.

    QER\Person\User\DeleteOptions\TerminalProfileDir

    Das Terminalprofilverzeichnis des Benutzers wird gelöscht.

    QER\Person\User\DeleteOptions\TerminalProfileShare

    Die Terminalprofilfreigabe des Benutzers wird gelöscht.

Konfigurieren der Löschverzögerung

Standardmäßig werden Benutzerkonten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Die Benutzerkonten werden zunächst deaktiviert. Bis zum Ablauf der Löschverzögerung besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren. Nach Ablauf der Löschverzögerung werden die Benutzerkonten aus der Datenbank gelöscht und ein Wiederherstellen ist nicht mehr möglich. Eine abweichende Löschverzögerung konfigurieren Sie im Designer an der Tabelle ADSAccount.

Verwandte Themen

Active Directory Kontakte

Active Directory Kontakte

Ein Kontakt ist ein Nicht-Sicherheitsprinzipal, das bedeutet ein Kontakt kann sich nicht an der Domäne anmelden. Er stellt zum Beispiel einen Benutzer außerhalb der Organisation dar und wird hauptsächlich für Verteilergruppen oder zu E-Mail Zwecken benutzt.

Verwandte Themen

Erfassen der Stammdaten für Active Directory Kontakte

Erfassen der Stammdaten für Active Directory Kontakte

Ein Kontakt kann im One Identity Manager mit einer Person verbunden sein. Ebenso können Sie die Kontakte getrennt von Personen verwalten.

HINWEIS: Um Kontakte für die Personen eines Unternehmens einzurichten, empfehlen wir den Einsatz von Kontendefinitionen. Wird für die Erstellung der Kontakte eine Kontendefinition eingesetzt, dann werden einige der nachfolgend beschriebenen Stammdaten über Bildungsregeln aus den Personenstammdaten gebildet. Der Umfang ist dabei abhängig vom Automatisierungsgrad der Kontendefinition. Die mitgelieferten Bildungsregeln können Sie kundenspezifisch anpassen.

HINWEIS: Sollen Personen ihre Kontakte über Kontendefinitionen erhalten, müssen die Personen ein zentrales Benutzerkonto besitzen und über die Zuordnung zu einer primären Abteilung, einem primären Standort oder einer primären Kostenstelle ihre IT Betriebsdaten erhalten.

Um die Stammdaten eines Kontaktes zu bearbeiten

  1. Wählen Sie die Kategorie Active Directory | Kontakte.
  2. Wählen Sie in der Ergebnisliste den Kontakt und führen Sie die Aufgabe Stammdaten bearbeiten aus.

    - ODER -

    Klicken Sie in der Ergebnisliste .

  3. Bearbeiten Sie die Stammdaten für einen Kontakt.
  4. Speichern Sie die Änderungen.

Um einen Kontakt für eine Person manuell zuzuweisen oder zu erstellen

  1. Wählen Sie die Kategorie Personen | Personen.
  2. Wählen Sie in der Ergebnisliste die Person aus und führen Sie die Aufgabe Active Directory Kontakte zuweisen aus.
  3. Weisen Sie einen Kontakt zu.

    - ODER -

    Wählen Sie die Aufgabe Neuer Kontakt und bearbeiten Sie die Stammdaten.

  4. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema

 

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating