Chat now with support
Chat with Support

Identity Manager 8.1.5 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Einrichten der Synchronisation mit einer Active Directory-Umgebung Basisdaten für die Verwaltung einer Active Directory-Umgebung
Kontendefinitionen für Active Directory Benutzerkonten Kennwortrichtlinien für Active Directory Benutzerkonten Initiales Kennwort für neue Active Directory Benutzerkonten E-Mail-Benachrichtigungen über Anmeldeinformationen Benutzerkontennamen Zielsystemverantwortliche Bearbeiten eines Servers
Active Directory Domänen Active Directory Benutzerkonten
Benutzerkonten mit Personen verbinden Unterstützte Typen von Benutzerkonten Erfassen der Stammdaten für Active Directory Benutzerkonten Zusätzliche Aufgaben für die Verwaltung von Active Directory Benutzerkonten Automatische Zuordnung von Personen zu Active Directory Benutzerkonten Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Deaktivieren von Active Directory Benutzerkonten Löschen und Wiederherstellen von Active Directory Benutzerkonten
Active Directory Kontakte Active Directory Gruppen
Erfassen der Stammdaten für Active Directory Gruppen Zulässigkeit von Gruppenmitgliedschaften Active Directory Gruppe an Active Directory Benutzerkonten, Active Directory Kontakte und Active Directory Computer zuweisen Zusätzliche Aufgaben für die Verwaltung von Active Directory Gruppen Löschen von Active Directory Gruppen Standardlösungen für die Bestellung von Active Directory Gruppen und Gruppenmitgliedschaften
Active Directory Sicherheits-IDs Active Directory Containerstrukturen Active Directory Computer Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte Anhang: Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Anhang: Standardprojektvorlage für Active Directory

Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten

Im One Identity Manager werden Änderungen der Personeneigenschaften an die verbundenen Benutzerkonten weitergereicht und anschließend in das Active Directory provisioniert. Unter Umständen kann es notwendig sein, Änderungen von Benutzerkonten im Active Directory auf die Personeneigenschaften im One Identity Manager weiterzureichen.

Beispiel

Während des Testbetriebs werden die Benutzerkonten aus dem Active Directory in den One Identity Manager nur eingelesen und Personen erzeugt. Die Verwaltung der Benutzerkonten (Erstellen, Ändern und Löschen) über den One Identity Manager soll erst zu einem späteren Zeitpunkt in Betrieb genommen werden. Während des Testbetriebs werden die Benutzerkonten weiterhin im Active Directory geändert, was zu Abweichungen der Benutzerkonteneigenschaften und Personeneigenschaften führen kann. Aus diesem Grund sollen vorübergehend die durch eine erneute Synchronisation eingelesenen Änderungen von Benutzerkonten an die bereits erzeugten Personen publiziert werden. Damit führt die Inbetriebnahme der Benutzerkontenverwaltung über den One Identity Manager nicht zu Datenverlusten.

Um Personen bei Änderungen von Benutzerkonten zu aktualisieren

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | PersonUpdate.

Während der Synchronisation werden die Änderungen der Benutzerkonten in den One Identity Manager eingelesen. Durch anschließende Skript- und Prozessverarbeitung werden diese Änderungen an die verbundenen Personen weitergereicht.

HINWEIS: Die Aktualisierung der Personen bei Änderungen von Benutzerkonten erfolgt nur für Benutzerkonten, die den Automatisierungsgrad Unmanaged besitzen und mit einer Person verbunden sind.

HINWEIS: Es wird nur die Person aktualisiert, die aus dem geänderten Benutzerkonto erzeugt wurde. Die Datenquelle, aus der eine Person erzeugt wurde, wird über die Eigenschaft Datenquelle Import der Person angezeigt. Sind der Person weitere Benutzerkonten zugeordnet, dann führen Änderungen dieser Benutzerkonten nicht zur Aktualisierung der Person.

Das Mapping von Benutzerkontoeigenschaften auf Personeneigenschaften erfolgt über das Skript ADS_PersonUpdate_ADSAccount. Das Mapping von Kontakteigenschaften auf Personeneigenschaften erfolgt über das Skript ADS_PersonUpdate_ADSContact . Um das Mapping einfacher anzupassen, sind die Skripte als überschreibbar definiert.

Für unternehmensspezifische Anpassungen, erzeugen Sie eine Kopie des jeweiligen Skriptes und beginnen Sie den Skriptcode folgendermaßen:

Public Overrides Function ADS_PersonUpdate_ADSAccount(ByVal UID_Account As String,OldAccountDN As String, ProcID As String)

Damit wird das Skript neu definiert und überschreibt das originale Skript. Eine Anpassung der Prozesse ist in diesem Fall nicht erforderlich.

Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen

Anhand der Abteilungsinformationen oder Ortsinformationen der Benutzerkonten können neue Abteilungen und Standorte im One Identity Manager erzeugt werden. Zusätzlich werden die Abteilungen und Standorte den Personen der Benutzerkonten als primäre Abteilung und primärer Standort zugeordnet. Bei entsprechender Konfiguration des One Identity Manager können die Personen über diese Zuordnungen ihre Unternehmensressourcen erhalten.

Voraussetzung für den Einsatz dieses Verfahrens

Personen müssen beim Anlegen und Ändern von Benutzerkonten automatisch erzeugt werden. Mindestens einer der folgenden Konfigurationsparameter muss aktiviert sein und das entsprechende Verfahren eingerichtet sein.

Tabelle 48: Konfigurationsparameter für automatische Personenzuordnung
Konfigurationsparameter Wirkung bei Aktivierung

TargetSystem | ADS | PersonAutoDefault

Anhand des angegebenen Modus erfolgt die automatische Personenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem | ADS | PersonAutoFullsync

Anhand des angegebenen Modus erfolgt die automatische Personenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

TargetSystem | ADS | PersonUpdate

Es erfolgt eine fortlaufende Aktualisierung von Personenobjekten aus verbundenen Benutzerkonten.

Um dieses Verfahren zu nutzen

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | AutoCreateDepartment, um Abteilungen aus den Benutzerkonteninformationen zu erzeugen.
  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | AutoCreateLocality, um Standorte aus den Benutzerkonteninformationen zu erzeugen.
Verwandte Themen

Deaktivieren von Active Directory Benutzerkonten

Wie Sie Benutzerkonten deaktivieren, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario:
  • Die Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad Full managed werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte ADSAccount.AccountDisabled.

Szenario:
  • Die Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

Benutzerkonten, die mit Personen verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter QER | Person | TemporaryDeactivation.

  • Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Person deaktiviert, wenn die Person zeitweilig oder dauerhaft deaktiviert wird.

  • Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Person keinen Einfluss auf die verbundenen Benutzerkonten.

Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu deaktivieren

  1. Wählen Sie im Manager die Kategorie Active Directory | Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.
Szenario:
  • Benutzerkonten sind nicht mit Personen verbunden.

Um ein Benutzerkonto zu deaktivieren, das nicht mit einer Person verbunden ist

  1. Wählen Sie im Manager die Kategorie Active Directory | Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.

Ausführliche Informationen zum Deaktivieren und Löschen von Personen und Benutzerkonten finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen

Löschen und Wiederherstellen von Active Directory Benutzerkonten

Im Active Directory werden Objekte wie zum Beispiel Benutzerkonten mit einer eindeutigen Identifikationsnummer (ID) versehen, mit der auch die Berechtigungen verknüpft sind. Für Domänen mit den Funktionsebenen kleiner als Windows Server 2008 R2 gehen beim Löschen der Benutzerkonten im Active Directory die ID und die damit verbundenen Berechtigungen irreversibel verloren. Somit sind Benutzerkonten nur schwer wiederherstellbar. Für Domänen ab der Funktionsebene Windows Server 2008 R2 können Benutzerkonten über den Papierkorb gelöscht werden. Dabei werden die Benutzerkonten in den Papierkorb verschoben und können ohne Verlust der ID und der Berechtigungen innerhalb einer definierten Aufbewahrungszeit wiederhergestellt werden.

Ob beim Einfügen eines Active Directory Objektes zunächst geprüft werden soll, ob sich das Objekt im Active Directory Papierkorb befindet und von dort wiederhergestellt werden soll, legen Sie bei der Konfiguration des Synchronisationsprojektes fest.

Der One Identity Manager nutzt verschiedene Verfahren zum Löschen von Benutzerkonten.

Löschen ohne Active Directory Papierkorb

Dieses Verfahren wird für alle Domänen eingesetzt, in denen:

  • aufgrund einer Funktionsebene kleiner als Windows Server 2008 R2 kein Papierkorb vorhanden ist.

    - ODER-

  • der Papierkorb ab der Funktionsebene Windows Server 2008 R2 nicht aktiviert ist.

Nach Bestätigung der Sicherheitsabfrage wird das Benutzerkonto im One Identity Manager zunächst zum Löschen markiert. Das Benutzerkonto wird im One Identity Manager gesperrt und je nach Einstellung der Löschverzögerung endgültig aus der One Identity Manager-Datenbank und aus dem Active Directory gelöscht.

Löschen über den Active Directory Papierkorb

Dieses Verfahren wird für Domänen ab Funktionsebene Windows Server 2008 R2 eingesetzt, bei denen der Papierkorb aktiviert ist.

Nach Bestätigung der Sicherheitsabfrage wird das Benutzerkonto im One Identity Manager zunächst zum Löschen markiert. Das Benutzerkonto wird im One Identity Manager gesperrt und nach Ablauf der Löschverzögerung endgültig aus der One Identity Manager-Datenbank gelöscht. Das Benutzerkonto wird im Active Directory in den Papierkorb verschoben und nach Ablauf der Aufbewahrungszeit endgültig aus dem Active Directory gelöscht. Die Aufbewahrungszeit für Objekte im Papierkorb ist an der Domäne in der Eigenschaft Aufbewahrungsdauer eingetragen.

HINWEIS: Beim Löschen eines Benutzerkontos wird im One Identity Manager ein Eintrag für die Active Directory SID erzeugt.

HINWEIS: Solange eine Kontendefinition für eine Person wirksam ist, behält die Person ihr daraus entstandenes Benutzerkonto. Wird die Zuweisung einer Kontendefinition entfernt, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht.

Um ein Benutzerkonto zu löschen

  1. Wählen Sie die Kategorie Active Directory | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Löschen Sie das Benutzerkonto.
  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Um ein Benutzerkonto wiederherzustellen

  1. Wählen Sie die Kategorie Active Directory | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Klicken Sie in der Ergebnisliste die Schaltfläche Löschen rückgängig machen.

Beim Löschen eines Benutzerkontos werden die Konfigurationsparameter zur Behandlung der Benutzerverzeichnisse berücksichtigt.

  • Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.
    Tabelle 49: Konfigurationsparameter für das Löschen von Benutzerkonten
    Konfigurationsparameter Wirkung bei Aktivierung

    QER | Person | User | DeleteOptions

    Der Konfigurationsparameter steuert das Verhaltens beim Löschen von Benutzerkonten.

    QER | Person | User | DeleteOptions | FolderAnonymPre

    Wenn in den Löschoptionen festgelegt ist, dass ein Verzeichnis oder eine Freigabe nicht gelöscht werden soll, so wird es umbenannt und erhält das angegebene Präfix.

    QER | Person | User | DeleteOptions | HomeDir

    Das Homeverzeichnis des Benutzers wird gelöscht.

    QER | Person | User | DeleteOptions | HomeShare

    Die Homefreigabe des Benutzers wird gelöscht.

    QER | Person | User | DeleteOptions | ProfileDir

    Das Profilverzeichnis des Benutzers wird gelöscht.

    QER | Person | User | DeleteOptions | ProfileShare

    Die Profilfreigabe des Benutzers wird gelöscht.

    QER | Person | User | DeleteOptions | TerminalHomeDir

    Das Terminalhomeverzeichnis des Benutzers wird gelöscht.

    QER | Person | User | DeleteOptions | TerminalHomeShare

    Die Terminalhomefreigabe des Benutzers wird gelöscht.

    QER | Person | User | DeleteOptions | TerminalProfileDir

    Das Terminalprofilverzeichnis des Benutzers wird gelöscht.

    QER | Person | User | DeleteOptions | TerminalProfileShare

    Die Terminalprofilfreigabe des Benutzers wird gelöscht.

Konfigurieren der Löschverzögerung

Standardmäßig werden Benutzerkonten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Die Benutzerkonten werden zunächst deaktiviert. Bis zum Ablauf der Löschverzögerung besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren. Nach Ablauf der Löschverzögerung werden die Benutzerkonten aus der Datenbank gelöscht und ein Wiederherstellen ist nicht mehr möglich. Eine abweichende Löschverzögerung konfigurieren Sie im Designer an der Tabelle ADSAccount.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating