Chat now with support
Chat with Support

Identity Manager 9.1.2 - Administrationshandbuch für die Anbindung einer Active Directory-Umgebung

Verwalten einer Active Directory-Umgebung Synchronisieren einer Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einer Active Directory Domäne Anpassen der Synchronisationskonfiguration für Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Active Directory Benutzerkonten und Personen
Kontendefinitionen für Active Directory Benutzerkonten und Active Directory Kontakte Automatische Zuordnung von Personen zu Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Personen bei Änderung von Active Directory Benutzerkonten Automatisches Erzeugen von Abteilungen und Standorten anhand von Benutzerkonteninformationen Löschverzögerung für Active Directory Benutzerkonten und Active Directory Kontakte festlegen
Managen von Mitgliedschaften in Active Directory Gruppen Bereitstellen von Anmeldeinformationen für Active Directory Benutzerkonten Abbildung von Active Directory Objekten im One Identity Manager
Active Directory Domänen Active Directory Containerstrukturen Active Directory Benutzerkonten Active Directory Kontakte Active Directory Gruppen Active Directory Computer Active Directory Sicherheits-IDs Active Directory Drucker Active Directory Standorte Berichte über Active Directory Objekte
Behandeln von Active Directory Objekten im Web Portal Basisdaten für die Verwaltung einer Active Directory-Umgebung Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung Standardprojektvorlage für Active Directory Verarbeitungsmethoden von Active Directory Systemobjekten Einstellungen des Active Directory Konnektors

Erzeugen von Homeverzeichnissen über Batchdateien

Um speziellen Anforderungen einzelner Netzwerkumgebungen gerecht zu werden, können Sie bei der Erstellung eines Homeverzeichnisses durch den One Identity Manager Service eine Batchdatei einsetzen, deren Ausführung beim Erstellen des Verzeichnisses erfolgt und von deren Ausführungsergebnis die letztendliche Aktivierung des Homeverzeichnisses abhängig ist.

Um diese Funktion zu nutzen, muss auf allen Homeservern eine Netlogonfreigabe vorhanden sein. In der Netlogonfreigabe werden Unterverzeichnisse angelegt, welche dem NetBIOS Namen der Domäne entsprechen. Ist in diesen Verzeichnissen eine Batchdatei mit dem Namen HomePre.CMD vorhanden, wird diese vor dem Anlegen des Homeverzeichnisses ausgeführt. Endet die Ausführung dieser Batchdatei mit einem Fehler (das heißt, mit einem Errorlevel <> 0), wird das Anlegen des Homeverzeichnisses abgebrochen.

Der Batchdatei HomePre.CMD übergeben Sie die folgenden Kommandozeilenparameter, die innerhalb der Ausführung weiter verwendet werden können (in der Reihenfolge der Aufzählung, es werden die Spaltennamen der Datenbank verwendet):

SAMAccountName (aus Tabelle ADSAccount)

Ident_Domain (aus Tabelle ADSAccount)

Ident_Server (aus Tabelle QBMServer)

SharedAs (aus Tabelle ADSAccount)

HomeDirPath (aus Tabelle ADSAccount)

HomeShare (aus Tabelle ADSAccount)

Nach dem Anlegen eines Homeverzeichnisses können Sie nochmals eine Batchdatei ausführen. Diese muss sich an derselben Stelle, wie oben erwähnt, befinden und den Namen HomePost.CMD tragen. Die Stellung der Parameter geschieht identisch zur HomePre.CMD. Es erfolgt lediglich keine Verarbeitung des Exitcodes (Errorlevels).

Beispiel:

Es wird ein Benutzerkonto Test1 in der Domäne Dom2 angelegt. Sein Homeverzeichnis soll auf den Server Serv3 in der Freigabe Share7 mit dem Namen TestHome6 angelegt und als TestShare5 freigegeben werden. Auf dem ausführenden Homeserver ServHome befinden sich die Dateien HomePre.CMD und HomePost.CMD im Verzeichnis \\ServHome\Netlogon\Dom2.

Batchaufruf vor dem Erzeugen des Homes:

\\ServHome\Netlogon\Dom2\HomePre.CMD Test1 Dom2 Serv3 TestShare5 TestHome6 Share7

Gibt die Batchausführung einen Exitcode 0 zurück, wird das Homeverzeichnis erzeugt. Sonst wird die Verarbeitung mit einem Protokolleintrag abgebrochen.

Batchaufruf nach dem Erzeugen des Homes:

\\ServHome\Netlogon\Dom2\HomePost.CMD Test1 Dom2 Serv3 TestShare5 TestHome6 Share7

Unterstützung von mehreren Profilverzeichnissen

Die unterschiedlichen Windows Betriebssystemversionen verwenden unterschiedliche Speicherorte für Roamingbenutzerprofile. Genaue Informationen zur Ablage der Roamingbenutzerprofile finden Sie in der Microsoft TechNet Library.

Um die Abbildung der Roamingbenutzerprofile im One Identity Manager zu erreichen.

  • Stellen Sie auf dem Profilserver eine Vorlagenstruktur für die Benutzerprofile zur Verfügung.

    Beispiel für eine Vorlagenstruktur für Benutzerprofile auf dem Profilserver

    PROFILE

    UserProfile

    All required folders/files

    UserProfile.V2

    All required folders/files

    UserProfile.V3

    All required folders/files

    UserProfile.V4

    All required folders/files

  • Aktivieren Sie im Designer den Konfigurationsparameter TargetSystem | ADS | Accounts | ProfileFixedString und legen Sie den Teil des Benutzerprofilverzeichnispfades fest, der an den Standardprofilpfad angehängt werden soll. Der Standardwert ist UserProfile.

Als Ergebnis werden die Verzeichnispfade für die Benutzerprofile in der Standardinstallation folgendermaßen gebildet.

  • Wenn das Profilverzeichnis im Homeverzeichnis erzeugt wird:

    \\Servername\HOMES\Username$\PROFILES\UserProfile

  • Wenn das Profilverzeichnis nicht im Homeverzeichnis erzeugt wird:

    \\Servername\PROFILES\Username\UserProfile

Nach Verarbeitung der Prozesse sind die folgenden Verzeichnisse vorhanden.

  • Wenn das Profilverzeichnis im Homeverzeichnis erzeugt wird:

    \\Servername\HOMES\Username$\PROFILES\UserProfile

    \\Servername\HOMES\Username$\PROFILES\UserProfile.v2

    \\Servername\HOMES\Username$\PROFILES\UserProfile.v3

    \\Servername\HOMES\Username$\PROFILES\UserProfile.v4

  • Wenn das Profilverzeichnis nicht im Homeverzeichnis erzeugt wird:

    \\Servername\PROFILES\Username\UserProfile

    \\Servername\PROFILES\Username\UserProfile.v2

    \\Servername\PROFILES\Username\UserProfile.v3

    \\Servername\PROFILES\Username\UserProfile.v4

Die Verzeichnispfade für die Ablage auf einem Terminalserver werden analog gebildet. Passen Sie für diesen Fall im Designer den Konfigurationsparameter TargetSystem | ADS | Accounts | TProfileFixedString an. Legen Sie im Konfigurationsparameter den Teil des Benutzerprofilverzeichnispfades fest, der an den Standardprofilpfad auf einem Terminalserver angehängt werden soll. Der Standardwert ist UserProfile.

Zugriffsberechtigungen auf Homeverzeichnisse und Profilverzeichnisse

Tabelle 65: Konfigurationsparameter für die Einrichtung von Benutzerverzeichnissen
Konfigurationsparameter Bedeutung

QER | Person | User | AccessRights

Konfiguration der Zugriffsberechtigungen auf Benutzerverzeichnisse.

HINWEIS: Für die Vergabe von Berechtigungen auf Verzeichnisse und Dateien ist es unter Umständen erforderlich die Benutzerkontennamen wie Administrators oder Domain Users sprachabhängig zu hinterlegen. Die Standardsprache für die Benutzerkontennamen ist Englisch.

HINWEIS: Stellen Sie sicher, dass in den Basisverzeichnissen, beispielsweise dem Homeverzeichnis, keine Berechtigungen für die Benutzergruppe Jeder (Everyone) an die untergeordneten Verzeichnisse vererbt werden. Andernfalls besteht die Möglichkeit, dass die Benutzergruppe ungewollte Berechtigungen auf alle Homeverzeichnisse erhält.

Um Zugriffsberechtigungen auf das Homeverzeichnis zu vergeben

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Person | User | AccessRights | HomeDir und seine untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsberechtigungen in den Konfigurationsparametern ein.

    Die Vergabe der Zugriffsberechtigungen auf das Homeverzeichnis erfolgt durch den One Identity Manager Service.

    Tabelle 66: Konfigurationsparameter für Zugriffsberechtigungen auf das Homeverzeichnis
    Konfigurationsparameter Wirkung bei Aktivierung

    QER | Person | User | AccessRights | HomeDir

    Konfiguration der Zugriffsberechtigungen auf das Homeverzeichnis eines Benutzers. Die Berechtigungen werden über die untergeordneten Parameter festgelegt.

    QER | Person | User | AccessRights | HomeDir | User

    Berechtigung des Benutzers auf sein Homeverzeichnis.

    Standard: +r+w-x

Um Zugriffsberechtigungen auf das Profilverzeichnis zu vergeben

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Person | User | AccessRights | ProfileDir und sein untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsberechtigungen in den Konfigurationsparametern ein.

    Die Vergabe der Zugriffsberechtigungen auf das Profilverzeichnis erfolgt durch den One Identity Manager Service.

    Tabelle 67: Konfigurationsparameter für Zugriffsberechtigungen auf das Profilverzeichnis
    Konfigurationsparameter Wirkung bei Aktivierung

    QER | Person | User | AccessRights | ProfileDir

    Konfiguration der Zugriffsberechtigungen auf das Profilverzeichnis eines Benutzers. Die Berechtigungen werden über die untergeordneten Parameter festgelegt.

    QER | Person | User | AccessRights | ProfileDir | User

    Berechtigung des Benutzers auf sein Profilverzeichnis.

    Standard: +r+w-x

Um Zugriffsberechtigungen auf das Homeverzeichnis auf einem Terminalserver zu vergeben

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Person | User | AccessRights | TerminalHomeDir und seine untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsberechtigungen in den Konfigurationsparametern ein.

    Die Vergabe der Zugriffsberechtigungen auf das Homeverzeichnis erfolgt durch den One Identity Manager Service.

    Tabelle 68: Konfigurationsparameter für Zugriffsberechtigungen auf das Homeverzeichnis auf einem Terminalserver
    Konfigurationsparameter Wirkung bei Aktivierung

    QER | Person | User | AccessRights | TerminalHomeDir

    Konfiguration der Zugriffsberechtigungen auf das Terminalserver-Homeverzeichnis eines Active Directory Benutzerkontos. Die Berechtigungen werden über die untergeordneten Parameter festgelegt.

    QER | Person | User | AccessRights | TerminalHomeDir | User

    Berechtigung des Benutzers auf sein Terminalserver-Homeverzeichnis.

    Standard: +r+w-x

Um Zugriffsberechtigungen auf das Profilverzeichnis auf einem Terminalserver zu vergeben

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | Person | User | AccessRights | TerminalProfileDir und seine untergeordneten Konfigurationsparameter und tragen Sie die Zugriffsberechtigungen in den Konfigurationsparametern ein.

    Die Vergabe der Zugriffsberechtigungen auf das Profilverzeichnis erfolgt durch den One Identity Manager Service.

    Tabelle 69: Konfigurationsparameter für Zugriffsberechtigungen auf das Profilverzeichnis auf einem Terminalserver
    Konfigurationsparameter Wirkung bei Aktivierung

    QER | Person | User | AccessRights | TerminalProfileDir

    Konfiguration der Zugriffsberechtigungen auf das TerminalServer-Profilverzeichnis eines Active Directory Benutzerkontos. Die Berechtigungen werden über die untergeordneten Parameter festgelegt.

    QER | Person | User | AccessRights | TerminalProfileDir | User

    Berechtigung des Benutzers auf sein Terminalserver-Profilverzeichnis.

    Standard: +r+w-x

Verwandte Themen

Konfigurationsparameter für die Verwaltung einer Active Directory-Umgebung

Mit der Installation des Moduls sind zusätzlich folgende Konfigurationsparameter im One Identity Manager verfügbar.

Tabelle 70: Konfigurationsparameter
Konfigurationsparameter Beschreibung

QER | ITShop | AutoPublish | ADSGroup

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der automatischen Übernahme von Active Directory Gruppen in den IT Shop. Ist der Parameter aktiviert, werden alle Gruppen automatisch als Produkte dem IT Shop zugewiesen. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

QER | ITShop | AutoPublish | ADSGroup | AutoFillDisplayName

Der Konfigurationsparameter legt fest, ob die Bildungsregel für die Spalte ADSGroup.DisplayName angewendet werden soll.

QER | ITShop | AutoPublish | ADSGroup | ExcludeList

Auflistung aller Active Directory Gruppen, für die keine automatische Zuordnung zum IT Shop erfolgen soll. Jeder Eintrag ist Bestandteil eines regulären Suchmusters und unterstützt die Notation für reguläre Ausdrücke.

Beispiel:

.*Administrator.*|Exchange.*|.*Admins|.*Operators|IIS_IUSRS

TargetSystem | ADS

Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Verwaltung des Zielsystems Active Directory. Ist der Parameter aktiviert, sind die Bestandteile des Zielsystems verfügbar. Die Änderung des Parameters erfordert eine Kompilierung der Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

TargetSystem | ADS | Accounts

Erlaubt die Konfiguration der Angaben zu Benutzerkonten.

TargetSystem | ADS | Accounts | InitialRandomPassword

Gibt an, ob bei Neuanlage von Benutzerkonten ein zufällig generiertes Kennwort vergeben wird. Das Kennwort muss mindestens die Zeichenklassen enthalten, die in der zugewiesenen Kennwortrichtlinie definiert sind.

TargetSystem | ADS | Accounts | InitialRandomPassword | SendTo

Person, die eine E-Mail mit dem zufällig generierten Kennwort erhalten soll (Verantwortlicher der Kostenstelle/Abteilung/Standort/Geschäftsrolle, Verantwortlicher der Person oder XUserInserted). Ist kein Empfänger ermittelbar, dann wird an die im Konfigurationsparameter TargetSystem | ADS | DefaultAddress hinterlegte Adresse versandt.

TargetSystem | ADS | Accounts | InitialRandomPassword | SendTo | MailTemplateAccountName

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Anmeldeinformationen zum Benutzerkonto zu versorgen. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto verwendet.

TargetSystem | ADS | Accounts | InitialRandomPassword | SendTo | MailTemplatePassword

Name der Mailvorlage, welche versendet wird, um Benutzer mit den Informationen zum initialen Kennwort zu versorgen. Es wird die Mailvorlage Person - Initiales Kennwort für neues Benutzerkonto verwendet.

TargetSystem | ADS | Accounts | MailTemplateDefaultValues

Mailvorlage, die zum Senden von Benachrichtigungen genutzt wird, wenn bei der automatischen Erstellung eines Benutzerkontos Standardwerte der IT Betriebsdatenabbildung verwendet werden. Es wird die Mailvorlage Person - Erstellung neues Benutzerkonto mit Standardwerten verwendet.

TargetSystem | ADS | Accounts | NotRequirePassword

Gibt an, ob bei der Neuanlage von Active Directory Benutzerkonten im One Identity Manager die Angabe eines Kennwortes erforderlich ist. Ist der Konfigurationsparameter deaktiviert, wird bei der Neuanlage eines Active Directory Benutzerkontos die Eingabe eines Kennworts entsprechend der definierten Kennwortrichtlinien gefordert. Ist der Konfigurationsparameter aktiviert, ist bei der Neuanlage von Active Directory Benutzerkonten die Angabe eines Kennwortes nicht erforderlich.

TargetSystem | ADS | Accounts | PrivilegedAccount

Erlaubt die Konfiguration der Einstellungen für privilegierte Active Directory Benutzerkonten.

TargetSystem | ADS | Accounts |
PrivilegedAccount | SAMAccountName_Postfix

Postfix zur Bildung des Anmeldenamens für privilegierte Benutzerkonten.

TargetSystem | ADS | Accounts | PrivilegedAccount |
SAMAccountName_Prefix

Präfix zur Bildung des Anmeldenamens für privilegierte Benutzerkonten.

TargetSystem | ADS | Accounts | ProfileFixedString

Feste Zeichenkette, die an den Standardprofilpfad eines Benutzerprofils angehängt wird.

TargetSystem | ADS | Accounts | TransferJPegPhoto

Gibt an, ob bei Änderung des Bildes in den Stammdaten der Person dieses an bestehende Benutzerkonten publiziert wird. Das Bild ist nicht Bestandteil der normalen Synchronisation, es wird nur bei Änderung der Personenstammdaten publiziert.

TargetSystem | ADS | Accounts | TransferSIDHistory

Gibt an, ob die Historie einer SID aus dem Zielsystem gelesen werden soll.

TargetSystem | ADS | Accounts | TSProfileFixedString

Feste Zeichenkette, die an den Standardprofilpfad eines Benutzerprofils auf einem Terminalserver angehängt wird.

TargetSystem | ADS | Accounts | UnlockByCentralPassword

Gibt an, ob das Active Directory Benutzerkonto der Person bei der Synchronisation des zentralen Kennworts ebenfalls entsperrt wird.

TargetSystem | ADS | Accounts | UserMustChangePassword

Gibt an, ob bei Neuanlage von Benutzerkonten die Option Kennwort bei der nächsten Anmeldung ändern gesetzt wird.

TargetSystem | ADS | AuthenticationDomains

Pipe (|) getrennte Liste von Domänen, gegen die manuelle Active Directory Authentifizierungsmodule die Benutzer authentifizieren sollen. Die Liste wird in der Reihenfolge abgearbeitet, in der sie hier angegeben ist. Die Liste sollte nur Domänen enthalten, die synchronisiert werden.

Beispiel:

MyDomain|MyOtherDomain

Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

TargetSystem | ADS | AutoCreateDepartment

Gibt an, ob beim Synchronisieren oder Ändern von Benutzerkonten automatisch Abteilungen erzeugt werden.

TargetSystem | ADS | AutoCreateLocality

Gibt an, ob beim Synchronisieren oder Ändern von Benutzerkonten automatisch Standorte erzeugt werden.

TargetSystem | ADS | AutoCreateHardwaretype

Gibt an, ob für importierte Druckerobjekte automatisch entsprechende Gerätetypen in der Datenbank erzeugt werden.

TargetSystem | ADS | AutoCreateServers

Gibt an, ob bei der Synchronisation der Benutzerkonten automatisch Einträge für fehlende Homeserver und Profileserver erstellt werden.

TargetSystem | ADS | AutoCreateServers | PreferredLanguage

Sprache der automatisch angelegten Server.

TargetSystem | ADS | DefaultAddress

Standard-E-Mail-Adresse des Empfängers von Benachrichtigungen über Aktionen im Zielsystem.

TargetSystem | ADS | HardwareInGroupFromOrg

Gibt an , ob Computer aufgrund von Gruppenzuordnung zu Rollen in Gruppen aufgenommen werden.

TargetSystem | ADS | MaxFullsyncDuration

Maximale Laufzeit in Minuten für eine Synchronisation. Während dieser Zeit erfolgt keine Neuberechnung der Gruppenmitgliedschaften durch den DBQueue Prozessor. Bei Überschreitung der festgelegten maximalen Laufzeit werden die Berechnungen von Gruppenmitgliedschaften wieder ausgeführt.

TargetSystem | ADS | MembershipAssignCheck

Gibt an, ob bei Zuweisungen von Gruppenmitgliedschaften in der One Identity Manager-Datenbank bereits beim Speichern die Zulässigkeit dieser Mitgliedschaft geprüft wird.

Sollen in der Datenbank mehrere getrustete Domänen mit übergreifenden Mitgliedschaften verwaltet werden, so ist dieser Konfigurationsparameter zu deaktivieren.

TargetSystem | ADS | MemberShipRestriction

Allgemeiner Konfigurationsparameter zur Einschränkung der Mitgliedschaften für Active Directory.

TargetSystem | ADS | MemberShipRestriction | Container

Anzahl von Active Directory Objekten pro Container, bei deren Überschreitung eine Warnmail gesendet werden soll.

TargetSystem | ADS | MemberShipRestriction | Group

Anzahl von Active Directory Objekten pro Gruppe, bei deren Überschreitung eine Warnmail gesendet werden soll.

TargetSystem | ADS | MemberShipRestriction | MailNotification

Standard-Mailadresse zum Versenden von Warnmails.

TargetSystem | ADS | PersonAutoDefault

Modus für die automatische Personenzuordnung für Benutzerkonten, die außerhalb der Synchronisation in der Datenbank angelegt werden.

TargetSystem | ADS | PersonAutoDisabledAccounts

Gibt an, ob an deaktivierte Benutzerkonten automatisch Personen zugewiesen werden. Die Benutzerkonten erhalten keine Kontendefinition.

TargetSystem | ADS | PersonAutoFullSync

Modus für die automatische Personenzuordnung für Benutzerkonten, die durch die Synchronisation in der Datenbank angelegt oder aktualisiert werden.

TargetSystem | ADS | PersonExcludeList

Auflistung aller Benutzerkonten, für die keine automatische Personenzuordnung erfolgen soll. Angabe der Namen in einer Pipe (|) getrennten Liste, die als reguläres Suchmuster verarbeitet wird.

Beispiel:

ADMINISTRATOR|GUEST|KRBTGT|TSINTERNETUSER|IUSR_.*|IWAM_.*|SUPPORT_.*|.* | $

TargetSystem | ADS | PersonUpdate

Gibt an, ob Personen bei Änderung ihrer Benutzerkonten aktualisiert werden. Aktivieren Sie diesen Konfigurationsparameter, um eine fortlaufende Aktualisierung von Personenobjekten aus verbundenen Benutzerkonten zu erreichen.

TargetSystem | ADS | ReplicateImmediately

Beschleunigung der Synchronisation von Änderungen zwischen den Domänen-Controllern. Bei Aktivierung werden die aufgelaufenen Änderungen im Active Directory sofort zwischen den Domänen-Controllern repliziert.

TargetSystem | ADS | VerifyUpdates

Gibt an, ob bei einem Update geänderte Eigenschaften im Zielsystem überprüft werden. Ist der Parameter aktiviert, werden nach jedem Update die Eigenschaften des Objektes im Zielsystem verifiziert.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating