使用者同步處理

此伺服器工作會同步處理來自 Active Directory、LDAP 參數等來源的使用者和使用者群組資訊。

若要建立新的伺服器工作,按一下 [工作] > [新增] > add_new_default[伺服器工作] 或在左側選取需要的工作類型,然後按一下 [新增] > add_new_default[伺服器工作]

基本

[基本] 區段中,輸入有關工作的基本資訊,例如 [名稱][說明] (選用)。 按一下 [選取標籤]指派標籤
[工作] 下拉式功能表中,選取您要建立和配置的工作類型。如果您先選取了特定工作類型,然後才建立新工作,則會依據您之前的選擇來預先選取 [工作][工作] (請參閱所有工作清單) 可定義工作的設定與行為。

您也可以從下列工作觸發設定中選取:

完成後立即執行工作 - 選取此選項,以在您按一下 [完成] 之後自動執行工作。

配置觸發 - 選取此選項,以啟用可在此配置觸發設定的 [觸發] 區段。

若要留待稍後再設定觸發,請將此核取方塊保留為取消選取。

設定

通用設定

使用者群組名稱 - 依預設,將使用已同步化使用者的根目錄 (預設為 [全部] 群組)。您也可以建立新的使用者群組。

[使用者建立衝突處理] - 可能出現的兩種衝突類型:

同一個群組中有兩個相同名稱的使用者。

有一位現有的使用者使用相同的 SID (系統中的任一處)。

您可以將衝突處理設定為:

略過 - 使用者不會在與 Active Directory 同步化期間新增至 ESMC。

[覆寫] - Active Directory 中的使用者會覆寫 ESMC 中的現有使用者,因此當 SID 發生衝突時,ESMC 中的現有使用者會從其先前的位置移除 (即使該使用者位於不同的群組)。

使用者移除處理 - 如果使用者不再存在,您可以 [移除] 此使用者或將其 [略過]

使用者群組移除處理 - 如果使用者群組不再存在,您可以 [移除] 此使用者群組或將其 [略過]

note

注意

如果您使用自訂屬性讓使用者將 [使用者建立衝突處理] 設定為 [略過]。否則,Active Directory 中的資料會覆寫使用者 (和所有詳細資訊),使其失去自訂屬性。如果您想要覆寫使用者,請將 [使用者移除處理] 變更為 [略過]

伺服器連線設定

伺服器 - 輸入伺服器名稱或網域控制站的 IP 位址。

登入 - 以下列格式輸入網域控制站的使用者名稱:

oDOMAIN\username (在 Windows 上執行的 ESMC 伺服器)

ousername@FULL.DOMAIN.NAMEusername (在 Linux 上執行的 ESMC 伺服器)。

important

重要

請務必以大寫字母輸入網域;需要此格式,才能正確地驗證 Active Directory 伺服器的查詢。

[密碼] - 輸入用來登入網域控制站的密碼。

important

重要

ESMC 伺服器 7.2 (在 Windows 上) 依預設對所有 Active Directory (AD) 連線使用 LDAPS (用於 SSL 的 LDAP) 通訊協定。您還可以在 ESMC 虛擬設備上配置 LDAPS

如果要將 Windows 上較早的 ESMC 版本升級到 ESMC 7.2,且您之前使用 Active Directory 同步化,則同步化工作將在 ESMC 7.2 中失敗。

若要使 AD 成功連線到 LDAPS,請配置以下內容:

1.網域控制站必須已安裝機器憑證。若要為您的網域控制站頒發憑證,請遵循以下步驟:

a)開啟 [伺服器管理員],按一下 [管理] > [新增角色和功能],然後安裝 [Active Directory 憑證服務] > [憑證授權單位]。將在受信任的根憑證授權單位中建立新的憑證授權單位。

b)瀏覽到 [開始] > 輸入 certmgr.msc 並按 Enter 以執行 [憑證] Microsoft Management Console 嵌入式管理單元 > [憑證 - 本機電腦] > [個人] > 滑鼠右鍵按一下空窗格 > [所有工作] > [請求新的憑證] > [註冊網域控制站]角色。

c)驗證頒發的憑證是否包含 FQDN 網域控制站的憑證。

d)在您的 ESMC 伺服器上,將產生的 CA (使用 certmgr.msc 工具) 匯入到憑證存放區受信任的 CA 資料夾。

 

2.向 AD 伺服器提供連線設定時,請在 [伺服器][主機] 欄位中輸入網域控制站的 FQDN (如網域控制站證書中所提供)。IP 位址不再足夠 LDAPS 使用。

若要啟用以 LDAP 通訊協定遞補,請選取 [使用 LDAP 而非 Active Directory] 核取方塊,然後輸入要和伺服器比對的特定屬性。或者您可以按一下 [選取] 來選取 [預設],系統會自動填入屬性:

Active Directory

Mac OS X Server Open Directory (電腦主機名稱)

含有 Samba 電腦記錄的 OpenLDAP - 設定 Active Directory 中的 DNS 名稱參數。

 

同步化設定

識別名稱 - Active Directory 樹狀結構中節點的路徑 (識別名稱)。將這個選項保留空白將會同步化整個 AD 樹狀結構。按一下 [識別名稱] 旁的 [瀏覽]。接著會顯示 Active Directory 樹狀結構。選取最上方項目以將所有群組與 ESMC 同步化,或僅選取您要新增的特定群組。只會同步化電腦和組織單位。當您完成時,按一下 [確定]

使用者群組和使用者屬性 - 使用者預設屬性特別提供使用者所屬目錄使用。如果您想要同步化 Active Directory 屬性,請從適當欄位的下拉式功能表中選取 AD 參數,或者輸入屬性的自訂名稱。每個已同步化的欄位旁邊為 ESMC 預留位置 (例如:${display_name}),其會在特定的 ESMC 原則設定中代表此屬性。

進階使用者屬性 - 如果想要使用進階使用者屬性,請選取 [新增]。這些欄位將繼承使用者的資訊,在 iOS MDM 的原則編輯器中系統會將此欄位處理成預留位置。

important

重要

如果發生錯誤:Server not find in Kerberos database 按一下 [瀏覽] 之後,使用伺服器的 AD FQDN 取代 IP 位址。

觸發

[觸發] 區段包含可能會執行工作之觸發的相關資訊。每個 [伺服器工作] 可以有最多一個觸發。每一個觸發都只能執行一項 [伺服器工作]。若未在 [基本] 區段內選取 [配置觸發],則不會建立觸發。工作可以不使用觸發來建立。這種工作可以手動執行,或在稍後新增觸發。

進階設定 - 節流

透過設定節流,您可以為已建立的觸發設定進階規則。設定節流為選用。

摘要

此處會顯示所有已配置的選項。檢視設定並按一下

工作中,您可以看到進度指示器欄狀態圖示以及每個已建立工作的詳細資訊