Automaattisten AD-ryhmien synkronointimallien määrittäminen

Tässä oppaassa kuvataan synkronointimallien määrittämisen vakiomenettely automaattisten ryhmien viemiseksi tiloissa olevaan Active Directoryyn.

Kun määrität ryhmien synkronointimallia, sinun on määritettävä kolme ensisijaista elementtiä:

Sääntösarja: Määrittää, mitä ryhmiä malli vie.
Kohteen polku: Organizational Unit (OU) Active Directoryssa, jossa ryhmät luodaan.
Attribuuttikartoitukset: Määrittää, miten lähdejärjestelmän tiedot täyttävät Active Directoryn ryhmäobjektien attribuutit.

Sääntöjoukko

Ensimmäinen vaihe on valita sääntökokonaisuus, joka määrittää ne ryhmät, joita tämän mallin pitäisi hallita. Lisätietoja automaattisten ja manuaalisten ryhmien sääntökokonaisuuksien määrittämisestä on tässä artikkelissa.

Mallin päätiedot-välilehdellä on yhteenveto, joka sisältää valitun sääntökokonaisuuden.

Kenttä	Kuvaus
Nimi	Mallin kuvaava nimi, esim. "Automaattiset osastoryhmät".
Aktiivinen	Määrittää, onko malli käytössä. Pitää olla asetettu arvoon "Kyllä".
Kohteen tyyppi	Pitäisi olla "Ryhmä".
Synkronointivaihe	Aseta "Vie AD".
Sääntöjoukko	Sääntökokonaisuus, jolla valitaan vietävät ryhmät.
Pysyvä poisto	Jos asetuksena on "Ei", ryhmät poistetaan AD:stä käytöstä poistamisen yhteydessä sen sijaan, että ne poistettaisiin pysyvästi.

Kohteen polku

Objektin polku määrittää tarkan sijainnin Active Directory -hakemistossa, jossa uudet ryhmät luodaan.

Sinun on annettava kohteen OU:n täydellinen, absoluuttinen polku, toimialueen komponentit mukaan lukien. On tavallista käyttää yhtä tai useampaa absoluuttista polkua tähän tarkoitukseen.

Esimerkki:

OU=Security-Groups,OU=Utfjord,DC=utfjord,DC=kommune,DC=no

Attribuuttikartoitukset

Liitännät määrittelevät, miten Active Directoryn ryhmäobjektin attribuutit täytetään. Alla on suositeltuja määrityksiä yleisimmille attribuuteille.

Kohdeattribuutti	Esimerkki Lähde Arvo	Kommentit
`cn`	`[CNCLEAN; [description]]`	Ryhmän yhteinen nimi. Nimi on peräisin `kuvaus` attribuutilla ja käsitellään `CNCLEAN` funktiota, joka puhdistaa arvon ja estää erikoismerkeistä johtuvat virheet.
`samAccountName`	`sourceid`	On erittäin suositeltavaa asettaa `samAccountName` osoitteeseen `sourceID`, joka on osaston tai yksikön yksilöllinen sisäinen sarjanumero.
`displayName`	`[OrgUnitNr] [CNCLEAN; [description]]]`	Asettaa käyttäjäystävällisen näyttönimen, jossa usein yhdistyvät osaston numero ja puhdistettu osaston nimi (esim. "0123 Myyntiosasto").
`kuvaus`	`Turvallisuusryhmä työntekijöille osoitteessa [Kuvaus]`	Tarjoaa yksityiskohtaisemman selityksen ryhmän tarkoituksesta.
`groupType`	`-2147483640`	Defines the group type and scope in Active Directory. Common values include: <br> •-2147483646: Global Security Group <br> • -2147483644: Domain Local Security Group <br> • -2147483640: Universal Security Group
`vanhempi`	`[Nimi]` (vieraan avaimen kautta)	Käytetään sisäkkäisten ryhmien luomiseen (ryhmä toisen ryhmän jäsenenä).
`createScript`	`C:eadm.ps1`	Määrittää koko polun komentosarjaan, joka suoritetaan, kun ryhmä luodaan. Tätä voidaan käyttää esimerkiksi uuden suojausryhmän aktivoimiseen sähköpostitse.

Varoitus: Ryhmien asettaminen sisäkkäin käyttämällä vanhempi attribuuttia ei suositella palomuureihin liitetyille suojausryhmille tai Azure AD:hen synkronoiduille ryhmille.

Huomautus: Voit käyttää alisääntöjä soveltaaksesi eri attribuuttikartoituksia saman mallin sisällä oleviin eri ryhmävalintoihin.