Hvordan konfigurere synkroniseringsmaler for automatiske AD-grupper

Denne veiledningen beskriver standardprosedyren for konfigurering av synkroniseringsmaler for å eksportere automatiske grupper til en lokal Active Directory.

Når du konfigurerer en synkroniseringsmal for grupper, må du konfigurere tre hovedelementer:

Regelsett: Definerer hvilke grupper malen skal eksportere.
Objektbane: Angir destinasjonsorganisasjonsenheten (OU) i Active Directory der gruppene skal opprettes.
Attributttilordninger: Bestemmer hvordan data fra kildesystemet fyller ut attributtene til gruppeobjektene i Active Directory.

Regelsett

Det første trinnet er å velge et regelsett som identifiserer de spesifikke gruppene som denne malen skal administrere. Du finner detaljert informasjon om hvordan du konfigurerer regelsett for automatiske og manuelle grupper i denne artikkelen.

Hovedinformasjonsfanen i malen gir et sammendrag, inkludert det valgte regelsettet.

Felt	Beskrivelse
Navn	Et beskrivende navn for malen, f.eks. "Automatiske avdelingsgrupper".
Aktiv	Bestemmer om malen er aktivert. Må være satt til "Ja".
Objekttype	Bør være satt til "Gruppe".
Synkroniseringstrinn	Sett til "Eksporter AD".
Regelsett	Regelsettet som velger hvilke grupper som skal eksporteres.
Permanent sletting	Hvis den er satt til "Nei", deaktiveres grupper i AD når de slettes, i stedet for å bli fjernet permanent.

Objektsti

Objektbanen definerer den nøyaktige plasseringen i Active Directory der de nye gruppene skal opprettes.

Du må oppgi den fullstendige, absolutte banen til mål-OU-en, inkludert domenekomponentene. Det er vanlig å bruke én eller flere absolutte baner for dette formålet.

Eksempel:

OU=Security-Groups,OU=Utfjord,DC=utfjord,DC=kommune,DC=no

Mappinger av attributter

Tilordninger definerer hvordan attributter for gruppeobjektet i Active Directory fylles ut. Nedenfor finner du anbefalte konfigurasjoner for vanlige attributter.

Målattributt	Eksempel Kildeverdi	Kommentarer
`cn`	`[CNCLEAN; [beskrivelse]]`	Gruppens vanlige navn. Navnet er hentet fra `beskrivelse` attributtet og behandles med `CNCLEAN` funksjon for å rense verdien og forhindre feil fra spesialtegn.
`samKontonavn`	`sourceid`	Det anbefales på det sterkeste å stille inn `samKontonavn` til `kildeID`som er det unike interne serienummeret for avdelingen eller enheten.
`visningsnavn`	`[OrgUnitNr] [CNCLEAN; [description]]`	Angir et brukervennlig visningsnavn, ofte en kombinasjon av avdelingsnummeret og det rensede avdelingsnavnet (f.eks. "0123 Salgsavdeling").
`beskrivelse`	`Sikkerhetsgruppe for ansatte på [Beskrivelse]`	Gir en mer detaljert forklaring av gruppens formål.
`groupType`	`-2147483640`	Defines the group type and scope in Active Directory. Common values include: <br> •-2147483646: Global Security Group <br> • -2147483644: Domain Local Security Group <br> • -2147483640: Universal Security Group
`forelder`	`[Navn]` (via fremmednøkkel)	Brukes til å opprette nestede grupper (en gruppe som medlem av en annen gruppe).
`createScript`	`C:eadm.ps1`	Angir den fullstendige banen til et skript som kjøres når en gruppe opprettes. Dette kan for eksempel brukes til å aktivere en ny sikkerhetsgruppe via e-post.

Advarsel: Hekking av grupper ved hjelp av forelder attributtet anbefales ikke for sikkerhetsgrupper som er knyttet til brannmurer eller for grupper som er synkronisert med Azure AD.

Merk: Du kan bruke underregelsett for å bruke ulike attributttilordninger for ulike utvalg av grupper innenfor samme mal.