Benutzersynchronisierung

Dieser Server-Task synchronisiert Daten von Benutzern und Benutzergruppen aus einer Quelle wie z. B. Active Directory, LDAP-Parameter usw..

Um einen neuen Server-Task zu erstellen, klicken Sie auf Tasks > Neu > add_new_defaultServer-Task, oder wählen Sie links den gewünschten Tasktyp aus und klicken Sie auf Neu > add_new_defaultServer-Task.

Einfach

Geben Sie im Abschnitt Einfach grundlegende Informationen zum Task ein, z. B. Name und Beschreibung (optional). Klicken Sie auf Tags auswählen, um Tags zuzuweisen.
Wählen Sie im Dropdownmenü Task den Tasktyp aus, den Sie erstellen und konfigurieren möchten. Wenn Sie vor der Erstellung eines neuen Tasks einen bestimmten Tasktyp auswählen, wird der Task anhand Ihrer Auswahl vorkonfiguriert. Unter Task (siehe Liste aller Tasks) werden die Einstellungen und das Verhalten des Tasks festgelegt.

Außerdem haben Sie die folgenden Task-Trigger-Einstellungen zur Auswahl:

Task sofort nach dem Beenden ausführen - Wählen Sie diese Option aus, um den Task sofort auszuführen, wenn Sie auf Fertig stellen klicken.

Trigger konfigurieren - Wählen Sie diese Option aus, um den Bereich Trigger zu erweitern, in dem Sie die Triggereinstellungen konfigurieren können.

Markieren Sie dieses Kontrollkästchen nicht, falls Sie den Trigger später festlegen möchten.

Einstellungen

Allgemeine Einstellungen

Name der Benutzergruppe - Standardmäßig wird das Stammverzeichnis für synchronisierte Benutzer verwendet. Dies ist standardmäßig die Gruppe Alle. Alternativ können Sie eine neue Benutzergruppe erstellen.

Kollisionsbehandlung bei der Benutzererstellung – Zwei mögliche Arten von Konflikten:

Eine Gruppe enthält zwei Benutzer mit demselben Namen.

Es existiert ein Benutzer mit derselben SID (irgendwo im System).

Sie haben die folgenden Optionen für die Kollisionsbehandlung:

Überspringen – Benutzer wird bei der Active Directory-Synchronisierung nicht zu ESMC hinzugefügt.

Überschreiben – Ein vorhandener Benutzer wird in ESMC mit dem Active Directory-Benutzer überschrieben. Bei einem SID-Konflikt wird der vorhandene Benutzer in ESMC von seinem bisherigen Ort gelöscht (selbst wenn der Benutzer Mitglied einer anderen Gruppe war).

Verfahren für Benutzerlöschung – Für nicht mehr vorhandene Benutzer können Sie die Option Entfernen oder Überspringen auswählen.

Verfahren für Benutzergruppenlöschung – Für nicht mehr vorhandene Benutzergruppen können Sie die Option Entfernen oder Überspringen auswählen.

note

Hinweis

Wenn Sie benutzerdefinierte Attribute für einen Benutzer verwenden, müssen Sie die Option Kollisionsbehandlung bei der Benutzererstellung auf Überspringen festlegen. Andernfalls wird der Benutzer (mit allen Details) mit den Daten aus Active Directory überschrieben, und die benutzerdefinierten Attribute gehen verloren. Wenn Sie den Benutzer überschreiben möchten, müssen Sie die Option Aktion bei Benutzerlöschung auf Überspringen festlegen.

Serververbindungseinstellungen

Server - Geben Sie Servername oder IP-Adresse Ihres Domänencontrollers ein.

Benutzername - Geben Sie den Benutzernamen für Ihren Domänencontroller im folgenden Format ein:

oDOMAIN\username (ESMC Server unter Windows)

ousername@FULL.DOMAIN.NAME oder username (ESMC Server unter Linux).

important

WICHTIG

Geben Sie die Domäne immer in Großbuchstaben an. Dieses Format ist erforderlich, um Anfragen an einen Active Directory-Server korrekt authentifizieren zu können.

Passwort – Geben Sie das Passwort für die Anmeldung bei Ihrem Domänencontroller ein.

important

WICHTIG

ESMC Server 7.2 Windows verwendet standardmäßig das verschlüsselte Protokoll LDAPS (LDAP über SSL) für alle Active Directory-Verbindungen (AD). Sie können LDAPS auch in der virtuellen ESMC-Appliance konfigurieren.

Wenn Sie eine ältere ESMC-Version in Windows auf ESMC 7.2 aktualisieren und Sie die Active Directory-Synchronisierung verwendet haben, schlagen Synchronisierungstasks in ESMC 7.2 fehl.

Konfigurieren Sie Folgendes für eine erfolgreiche AD-Verbindung mit LDAPS:

1.Auf dem Domänencontroller muss ein Computerzertifikat installiert sein. Führen Sie die folgenden Schritte aus, um ein Zertifikat für Ihren Domänencontroller auszustellen:

a)Öffnen Sie den Server-Manager, klicken Sie auf Verwalten > Hinzufügen von Rollen und Features und installieren Sie Active Directory-Zertifikatdienste > Zertifizierungsstelle. Daraufhin wird eine neue Zertifizierungsstelle in den vertrauenswürdigen Stammzertifizierungsstellen erstellt.

b)Navigieren Sie zu Start > geben Sie certmgr.msc ein und drücken Sie die Eingabetaste, um das Zertifikat-Snap-In der Microsoft Management Console zu öffnen. Wählen Sie Zertifikate - lokaler Computer > Persönlich aus, klicken Sie mit der rechten Maustaste auf das leere Fenster > Alle Tasks > Neues Zertifikat anfordern > Domänencontroller registrieren.

c)Stellen Sie sicher, dass das ausgestellte Zertifikat den FQDN des Domänencontrollers enthält.

d)Importieren Sie auf Ihrem ESMC Server die generierte ZS in den Ordner für vertrauenswürdige Zertifizierungsstellen im Zertifikatspeicher (mit dem Tool certmgr.msc).

 

2.Wenn Sie die Verbindungseinstellungen für den AD-Server bereitstellen, geben Sie den FQDN des Domänencontrollers (wie im Domänencontroller-Zertifikat angegeben) im Feld Server bzw. Host ein. Die IP-Adresse ist für LDAPS nicht mehr ausreichend.

Aktivieren Sie das Kontrollkästchen LDAP anstelle von Active Directory verwenden und geben Sie die Attribute für Ihren Server ein, um das Fallback zum LDAP-Protokoll zu aktivieren. Alternativ können Sie eine Voreinstellung auswählen, indem Sie auf Auswählen klicken. In diesem Fall werden die Attribute automatisch ausgefüllt:

Active Directory

Mac OS X Server Open Directory (Computer-Hostnamen)

OpenLDAP mit Samba-Computereinträgen – Einrichtung der Parameter DNS-Name in Active Directory.

 

Synchronisierungseinstellungen

Distinguished Name – Pfad (Distinguished Name) zum Knoten im Active Directory-Baum. Wenn Sie diese Option nicht ausfüllen, wird der gesamte AD-Baum synchronisiert. Klicken Sie auf Durchsuchen neben Distinguished Name. Ihre Active Directory-Baumstruktur wird angezeigt. Wählen Sie den obersten Eintrag aus, um alle Gruppen mit zu synchronisieren, oder nur die gewünschten Gruppen, die Sie zu ESMChinzufügen möchten. Nur Computer und Organisationseinheiten werden synchronisiert. Klicken Sie anschließend auf OK.

Benutzergruppe und Benutzerattribute – Die Standardattribute eines Benutzers hängen vom Verzeichnis des Benutzers ab. Wenn Sie Active Directory-Attribute synchronisieren möchten, wählen Sie den AD-Parameter im Dropdownmenü für die entsprechenden Felder aus oder geben Sie einen benutzerdefinierten Namen für das Attribut ein. Neben jedem synchronisierten Feld befindet sich ein ESMC-Platzhalter (z. B.: ${display_name}), der dieses Attribut in bestimmten ESMC-Policy-Einstellungen repräsentiert.

Erweiterte Benutzerattribute – Klicken Sie auf Neue hinzufügen, falls Sie erweiterte benutzerdefinierte Attribute verwenden möchten. Diese Felder erben die Daten des Benutzers und können in einem Policy-Editor für iOS MDM als Platzhalter referenziert werden.

important

WICHTIG

Falls der Fehler Server not find in Kerberos database angezeigt wird, wenn Sie auf Durchsuchen klicken, verwenden Sie den AD FQDN des Servers anstelle der IP-Adresse.

Trigger

Der Bereich Trigger enthält Informationen zu den Triggern, die einen Task auslösen. Für jeden Server-Task kann maximal ein Trigger konfiguriert werden. Jeder Trigger kann nur einen Server-Task ausführen. Wenn die Option Trigger konfigurieren nicht im Bereich Einfach ausgewählt ist, wird kein Trigger erstellt. Tasks können ohne Trigger erstellt werden. Diese Tasks können anschließend manuell ausgeführt oder später mit einem Trigger konfiguriert werden.

Erweiterte Einstellungen – Drosselung

Mit der Drosselung können Sie erweiterte Regeln für den erstellten Trigger festlegen. Die Drosselung ist optional.

Zusammenfassung

Hier werden alle konfigurierten Optionen angezeigt. Überprüfen Sie die Einstellungen und klicken Sie auf Fertig.

Unter Tasks werden die Fortschrittsanzeige, das Statussymbol und die Details zu den einzelnen erstellten Tasks angezeigt.