Siirry pääsisältöön
Ohita sisällysluettelo

AD-ryhmien tuominen Identum eADM:ään

Tässä oppaassa kerrotaan yksityiskohtaisesti, miten olemassa olevat Active Directory (AD) -ryhmät tuodaan Identum eADM:ään. Näin eADM voi ottaa näiden ryhmien hallinnan haltuunsa poistamatta tai luomatta niitä uudelleen. Prosessi sisältää ryhmätietojen viennin CSV-tiedostoon, synkronointimallien määrityksen ja tietojen tuonnin eADM:ään.

Edellytykset

  • Hallinnollinen käyttöoikeus Active Directory -toimialueen ohjaimeen.

  • Hallinnollinen pääsy eADM-vuokralaiselle.

  • PowerShell asennettuna palvelimelle, jolla vienti suoritetaan.

Vaihe 1: AD-ryhmien vienti CSV-tiedostoksi

Jos haluat tuoda ryhmiä, sinun on ensin luotava muotoiltu CSV-tiedosto, joka sisältää ryhmän tiedot. Käytämme PowerShell-skriptiä tarvittavien tietojen poimimiseen Active Directorysta.

  1. Avaa PowerShell ISE tai tekstieditori koneessa, johon on asennettu Active Directory -moduulit.

  2. Kopioi alla oleva skripti.

  3. Tärkeää: Päivitä muuttujat kohdissa Yleiset asetukset, Järjestelmäarvot ja Ryhmät / OY:t vastaamaan ympäristöäsi.

  4. Varmista, että muuttuja $exportmembers asetetaan "false" tätä erityistä tuontiskenaariota varten.

KOODI 
PowerShell
KOODI 
<# 
Description: Exports AD groups to CSV for eADM import.
Usage: Update variables in the "Setup" section before running.
#>

#------ General Setup ------
$customer = "utfjord"          # Short customer name, used in file extensions.
$eadm_path = "C:\eadm"         # Path to eAdm installation.
$outputfolder = "C:\eadm\tmp\groupexport"  # Output directory. Folder must exist.
$exportmembers = "false"       # Set to "false" for initial group import.

# ------ System Values ------
$domaincontroller = "DC01"     # Name of the DC used for extraction.
$domain = "domain.local"
$mergeAttribute = "employeeNumber"  # Unique user attribute (e.g., samaccountName or employeeNumber).
$sourceId = "objectGuid"       # Source ID type (objectGuid or samaccountName).

#------ Groups / OUs ------
# Define OUs to export. Add specific OUs to the array below.

$groupOUs = @()

# Add an object for each OU
$groupOUs += @{
    DN    = "OU=Grupper,OU=Resurser,DC=utfjord,DC=local" # Full DN of the OU.
    alias = "Felles"           # Short name for the OU (used in filenames).
    scope = "SubTree"          # Search scope: "SubTree" or "OneLevel".
    synctemplateid = "ImportedGroups"  # ID of the sync template.
}

#------ Members ------
$userSearchBase = "OU=Brukere,DC=utfjord,DC=local" # Parent OU for member fetch.

<# 
Limit user selection to specific OUs if necessary. 
Set equal to $userSearchbase if no limitations are needed. 
#>
$userOUs = @(
    "OU=Brukere,DC=utfjord,DC=local"
) 

# // End of Setup

#------ Export Logic ------

# Create Regex for User OU validation
$regex = ""
$userOUs | ForEach-Object { $regex += ".*," + [Regex]::Escape($_) + "$|" }
$regex = $regex.Substring(0,$regex.Length-1)

foreach ($ou in $groupOUs) {

    Write-Host "Fetching groups for OU $($ou.DN)"    
    $groups = Get-ADGroup -filter '*' -searchbase "$($ou.DN)" -searchscope "$($ou.scope)" -properties name,samaccountname,description,ManagedBy,mailnickname,grouptype,groupscope,GroupCategory,Mail,distinguishedName,ObjectGuid 

    Write-Host "Writing group list to file for OU $($ou.DN) --> $($outputfolder)"    
    
    $groups | Select-Object @{Label="name";Expression = {("$($_.samaccountname)")}},`
                            @{Label="displayname";Expression = {("$($_.name)")}},`
                            @{Label="sourceid";Expression = {("$($_.$($sourceid))")}},`
                            mail,description,`
                            @{Label="GroupType";Expression = {("$($_.groupScope)$($_.GroupCategory)")}},`
                            @{n='parentPath';e={$_.DistinguishedName -replace '^.*?,(?=[A-Z]{2}=)'}},`
                            @{Label="groupScope";Expression = {("OnPremAD")}},`
                            @{Label="ImportedAnchor";Expression = {($_.objectguid)}},`
                            @{Label="parent";Expression = {($ou.synctemplateid)}} | 
                            ConvertTo-Csv -NoTypeInformation -Delimiter ";" | 
                            ForEach-Object { $_ -replace '"' } | 
                            Out-file -Encoding utf8 -filepath "$($outputfolder)\groups-$($ou.alias).csv"

    # Member export logic (Skipped if $exportmembers is false)
    if($exportmembers -eq "true") {    
        foreach ($group in $groups) {
            Write-Host "Fetching and writing members to file for group $($group.samaccountname) --> $($outputfolder)" 
            (Get-ADGroupMember -identity $group.samaccountname -Recursive | 
            Where-Object {$_.objectClass -eq "user"} | 
            Get-ADUser -Properties $($mergeattribute) | 
            Where-Object { $_.DistinguishedName -match $regex -and $_.enabled -eq $True -and $($mergeattribute) -like "*"} | 
            ForEach-Object { $_.$($mergeattribute) }) -join "," | 
            Out-file -filepath "$($outputfolder)\members-$($group.samaccountname)_$($customer).csv" -Encoding UTF8
        }
    }
}

Vaihe 2: Päivitä olemassa olevat synkronointisäännöt

Ennen uusien ryhmien tuontia on varmistettava, että nykyiset ryhmien synkronointimallit eivät yritä viedä näitä ryhmiä takaisin AD:hen, mikä aiheuttaisi päällekkäisyyksiä tai virheitä.

  1. Tarkista kaikki aktiiviset ryhmäsynkronointimallien mallit.

  2. Etsi kuhunkin malliin liittyvä sääntökokonaisuus.

  3. Lisää sääntö sulje pois ryhmät, joissa Parent attribuutti on yhtä kuin ImportedGroups.

Varoitus: Tämän vaiheen laiminlyönti voi johtaa ryhmien päällekkäisyyteen Active Directoryssa.

Vaihe 3: Tuo synkronointimallien määrittäminen

Tarvitset eADM:ssä erityisen synkronointimallien mallin, jotta voit käsitellä tuotuja ryhmiä. Voit joko kopioida valmiiksi tehdyn mallin tai luoda sellaisen manuaalisesti.

Vaihtoehto A: Kopioi mallin vuokralaiselta

Jos sinulla on pääsy "Mallit"-vuokralle, kopioi malli nimeltä "Mallit". AD: Imported groups (sourceid = objectguid). Sääntökokonaisuus AD: Imported groups from OnPremAD objectguid myös kopioidaan.

Vaihtoehto B: Manuaalinen konfigurointi

Jos et voi kopioida mallia, luo uusi malli seuraavilla asetuksilla:

Mallin asetukset:

  • Nimi: AD: Imported groups (sourceid = objectguid)

  • Aktiivinen: Kyllä

  • Esineen tyyppi: Ryhmä:

  • Synkronointivaihe: AD:n vienti

  • Kohteen polku: [IFEMPTYUSE;[ExtensionAttribute2];OU=Groups DC=domain DC=local]

    • Huomautus: Korvaa yllä oleva DN oletusarvoisen ryhmän OU:lla.

Vientiominaisuudet:

image-20251129-154643.png

Lähde

Kohde

Tyhjä kohde

Ulkoinen avain

[description]

kuvaus

Ei

[Name]

cn

Ei

[Name]

samAccountName

Ei

[IFEMPTYUSE;[TRANSFORM;[GroupType];DomainLocalDistribution|4;GlobalDistribution|2;UniversalDistribution|8;DomainLocalSecurity|-2147483644;GlobalSecurity|-2147483646;UniversalSecurity|-2147483640];-2147483646]

GroupType

Ei

eAdm

extensionAttribute1

Ei

[Manager]

managedBy

Ei

User.Manager

[IFEMPTYUSE;[ExtensionAttribute3];[Name]]

displayName

Ei

ReservedForFutureUse

extensionAttribute3

Ei

ReservedForFutureUse

extensionAttribute4

Ei

Sääntöjoukon määritys:

image-20251129-154532.png

Luo sääntökokonaisuus nimeltä "AD: Tuodut ryhmät OnPremAD:stä" ja linkitä se malliin.

  • Attribuutti: Parent

  • Termi: On yhtä suuri kuin jokin seuraavista

  • Väite: ManualGroupWizard,ImportedGroups

Vaihe 4: Tuo CSV-tiedosto eADM:ään.

Kun CSV-tiedostot on luotu ja mallit määritetty, jatka tuontia.

  1. Kirjaudu sisään eADM:ään.

  2. Siirry sivupalkin kohtaan Ryhmät.

  3. Valitse Manuaalisten ryhmien lähdetiedot.

  4. Käynnistä ohjattu toiminto manuaalisten ryhmien lataamista varten.

  5. Lataa vaiheessa 1 luotu CSV-tiedosto (tiedostot).

    • Huomautus: Oikeat sarakekuvioinnit tunnistetaan automaattisesti.

  6. Suorita ohjatun toiminnon loppuun viimeistelemällä tuonti.

Tulos: Seuraavassa synkronointisyklissä luodaan ankkuri, joka yhdistää eADM-objektit olemassa oleviin AD-ryhmiin niiden objectGuidin kautta. Voit nyt hallita näitä ryhmiä eADM:n avulla.

4. Yhteenveto tekoälyä ja hakua varten

Tässä asiakirjassa annetaan ohjeet olemassa olevien Active Directory -ryhmien tuomiseen Identum eADM:ään hallintaa varten. Siinä kuvataan PowerShell-skriptin suorittaminen AD-ryhmien viemiseksi CSV-tiedostoon, olemassa olevien synkronointisääntöjen muuttaminen päällekkäisyyksien estämiseksi, oman "Tuodut ryhmät" -synkronointimallin konfigurointi ja "Ohjattu manuaalisten ryhmien lataaminen" eADM:ssä. Tällä menettelyllä luodaan pysyvä yhteys (ankkuri) eADM:n ja AD:n välille poistamatta olemassa olevia tietoja.

JavaScript-virheitä havaittu

Huomaa, että nämä virheet voivat riippua selaimesi asetuksista.

Jos ongelma jatkuu, ota yhteyttä asiakaspalveluumme.

Ota yhteyttä tukeen Sulje