Chat now with support
Chat with Support

Identity Manager 8.1.5 - Administrationshandbuch für die Anbindung einer IBM Notes-Umgebung

Verwalten einer IBM Notes-Umgebung Einrichten der Synchronisation mit einer IBM Notes-Umgebung Basisdaten zur Konfiguration Notes Domänen Notes Zertifikate Notes Schablonen Notes Richtlinien Notes Benutzerkonten Notes Gruppen Mail-In-Datenbanken Notes Server Nutzung von AdminP-Aufträgen zur Verarbeitung von IBM Notes Prozessen Berichte über Notes Domänen Anhang: Konfigurationsparameter für die Synchronisation mit einer Notes Domäne Anhang: Standardprojektvorlage für IBM Notes

Zusatzeigenschaften an Notes Gruppen zuweisen

Zusatzeigenschaften sind Meta-Objekte, für die es im One Identity Manager-Datenmodell keine direkte Abbildung gibt, wie beispielsweise Buchungskreise, Kostenrechnungskreise oder Kostenstellenbereiche.

Um Zusatzeigenschaften für eine Gruppe festzulegen

  1. Wählen Sie im Manager die Kategorie IBM Notes | Gruppen.

  2. Wählen Sie in der Ergebnisliste die Gruppe.

  3. Wählen Sie die Aufgabe Zusatzeigenschaften zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Zusatzeigenschaften zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Zusatzeigenschaften entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die Zusatzeigenschaft und doppelklicken Sie .
  5. Speichern Sie die Änderungen.

Ausführliche Informationen zur Einrichtung von Zusatzeigenschaften finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Sperrgruppen

Tabelle 51: Konfigurationsparameter für die Einrichtung von Sperrgruppen
Konfigurationsparameter Wirkung bei Aktivierung
TargetSystem\NDO\DenyAccessGroups Beim Sperren von Notes Benutzerkonten werden Sperrgruppen verwendet.
TargetSystem\NDO\DenyAccessGroups\Memberlimit Der Konfigurationsparameter enthält die Maximalanzahl von Mitgliedern pro Sperrgruppe. Bei Erreichen dieses Limits wird automatisch eine weitere Sperrgruppe erzeugt.
TargetSystem\NDO\DenyAccessGroups\Prefix Der Konfigurationsparameter enthält das Präfix, welches zur Bildung des Gruppennamens einer Sperrgruppe verwendet wird.

Ein Benutzerkonto gilt in einer IBM Notes-Umgebung dann als gesperrt, wenn der Benutzer keine Möglichkeit mehr hat, sich mit diesem Benutzerkonto an Servern der Domäne anzumelden. Dadurch verliert er auch den Zugriff auf seine Postfachdatei. Der Zugriff auf einen Server kann unterbunden werden, indem das Benutzerkonto auf dem entsprechenden Serverdokument den Berechtigungstyp "Not Access Server" erhält. In Umgebungen mit mehreren Servern ist dies sehr aufwändig, da ein zu sperrendes Benutzerkonto auf jedem Serverdokument diesen Berechtigungstyp erhalten muss.

Aus diesem Grund werden Sperrgruppen verwendet. Eine solche Sperrgruppe erhält zunächst auf jedem Serverdokument den Berechtigungstyp "Not Access Server". Ein Benutzer, der gesperrt werden soll, wird nur noch Mitglied der Sperrgruppe und hat somit automatisch keinen Zugriff mehr auf die Server der Domäne.

Sobald ein Benutzerkonto im One Identity Manager gesperrt wird, wird eine Sperrgruppe ermittelt, in der das Benutzerkonto Mitglied werden soll. Ist eine solche Sperrgruppe nicht vorhanden, wird vom One Identity Manager Service eine Gruppe mit dem Gruppentyp "Nur Negativliste" angelegt und automatisch mit dem Berechtigungstyp "Not Access Server" auf den einzelnen Servern versehen. Der Gruppenname besteht dabei aus einem Präfix und einem fortlaufenden Index (beispielsweise "viDenyAccess0001"). Des Weiteren wird diese Gruppe mit der Option Sperrgruppe gekennzeichnet.

Um das Präfix für Sperrgruppen zu ändern

  1. Bearbeiten Sie im Designer den Wert des Konfigurationsparameters "TargetSystem\NDO\DenyAccessGroups\Prefix".
  2. Erfassen Sie das Präfix, das beim Erstellen von Sperrgruppen verwendet werden soll.
  3. Speichern Sie die Änderungen.

Es ist außerdem möglich, die maximale Anzahl von Benutzerkonten in einer Sperrgruppe festzulegen. Dies ist in Umgebungen mit einer sehr großen Menge an Benutzerkonten notwendig, um die maximale Anzahl der Benutzernamen in einer Gruppe nicht zu überschreiten. Wird dieses Limit erreicht, wird eine neue Sperrgruppe mit einem um den Wert "1" erhöhten Index angelegt und ebenfalls mit dem Berechtigungstyp "Not Access Server" auf sämtlichen Servern der Domäne eingetragen.

Um die zulässige Anzahl von Benutzerkonten in einer Sperrgruppe zu ändern

  • Bearbeiten Sie im Designer den Wert des Konfigurationsparameters "TargetSystem\NDO\DenyAccessGroups\Memberlimit".

TIPP: Die Sperrgruppen werden durch das Skript VI_Notes_GetOrCreateRestrictGroup ermittelt und angelegt. Sind in einer IBM Notes-Umgebung bereits Sperrgruppen vorhanden, werden diese wie normale Gruppen behandelt.

Um diese Gruppen für Sperrprozesse im One Identity Manager zu verwenden

  1. Aktivieren Sie für diese Gruppen die Option Sperrgruppe.
  2. Passen Sie bei Bedarf das Präfix im Konfigurationsparameter "TargetSystem\NDO\DenyAccessGroups\Prefix" an.
  3. Passen Sie das Skript VI_Notes_GetOrCreateRestrictGroup entsprechend Ihren Erfordernissen an.

Dynamische Gruppen

Seit der IBM Domino Version 8.5 ist es möglich, Benutzerkonten über bestimmte Auswahlkriterien an Gruppen zuzuweisen. Ein Kriterium ist beispielsweise der Mailserver eines Benutzerkontos. Benutzerkonten können darüber hinaus explizit aus einer Gruppe ausgeschlossen oder zusätzlich aufgenommen werden. Eine Gruppe wird im One Identity Manager als dynamische Gruppe abgebildet, wenn in der Eigenschaft "Dynamische Mitglieder einlesen" die Methode "Home server" ausgewählt ist (Spalte AutoPopulateInput = '1'). An diese Gruppen können keine Mitglieder direkt zugewiesen werden.

Dynamische Gruppen sind von der Vererbung über hierarchische Rollen ausgeschlossen. Damit können Systemrollen, Geschäftsrollen und Organisationen nicht an dynamische Gruppen zugewiesen werden. Es kann kein Vererbungsausschluss festgelegt werden. Dynamische Gruppen können nicht im IT Shop bestellt werden.

Erweiterungsgruppen

IBM Notes legt sogenannte Erweiterungsgruppen an, wenn die maximale Anzahl der Mitglieder einer dynamischen Gruppe erreicht ist. Diese Erweiterungsgruppen werden durch die Synchronisation in die One Identity Manager-Datenbank eingelesen, können jedoch nicht bearbeitet werden. Die Verbindung zur dynamischen Gruppe wird über die Eigenschaft Übergeordnete Notes Gruppe (Spalte UID_NotesGroupParent) hergestellt. Ausschluss- und Einschlusslisten werden ausschließlich an der übergeordneten dynamischen Gruppe gepflegt. Erweiterungsgruppen werden nur im Überblicksformular angezeigt.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating