Sie können den Dienst in eine Active Directory-Umgebung integrieren, die aus einer einzelnen Active Directory-Domäne, mehreren Domänen in einer einzelnen Active Directory-Struktur oder mehreren Domänen in mehreren Active Directory-Strukturen besteht.
Active Directory-Umgebung mit einer einzelnen Domäne
Eine einzelne Active Directory-Bereitstellung ermöglicht Ihnen die Synchronisierung von Benutzern und Gruppen aus einer einzelnen Active Directory-Domäne heraus.
Wenn Sie dem Dienst ein Verzeichnis hinzufügen, wählen Sie für diese Umgebung die Option „Active Directory über LDAP“.
Weitere Informationen finden Sie unter:
Active Directory-Umgebung mit mehreren Domänen in einer einzelnen Struktur
Die Active Directory-Bereitstellung mit mehreren Domänen in einer einzelnen Struktur ermöglicht Ihnen die Synchronisierung von Benutzern und Gruppen aus mehreren Active Directory-Domänen in einer einzelnen Struktur heraus.
Sie können den Dienst für diese Active Directory-Umgebung als Active Directory-Verzeichnistyp mit einer einzelnen Struktur und integrierter Windows-Authentifizierung oder stattdessen als mit der globalen Katalogoption konfigurierten Verzeichnistyp „Active Directory über LDAP“ konfigurieren.
Empfohlen wird die Erstellung des Active Directory-Verzeichnistyps mit einer einzelnen Struktur und integrierter Windows-Authentifizierung.
Wenn Sie ein Verzeichnis für diese Umgebung hinzufügen, wählen Sie die Option „Active Directory (integrierte Windows-Authentifizierung)“.
Weitere Informationen finden Sie unter:
Falls die integrierte Windows-Authentifizierung in Ihrer Active Directory-Umgebung nicht funktioniert, erstellen Sie ein Verzeichnis vom Typ „Active Directory über LDAP“ und aktivieren die globale Katalogoption.
Die Aktivierung der globalen Katalogoption ist unter anderem mit folgenden Einschränkungen verbunden:
Die Active Directory-Objektattribute, die im globalen Katalog repliziert werden, werden im Active Directory-Schema als Teilattributsatz identifiziert. Nur diese Attribute können vom Dienst zur Attributzuordnung verwendet werden. Bearbeiten Sie das Schema bei Bedarf, um im globalen Katalog gespeicherte Attribute hinzuzufügen oder zu entfernen.
Im globalen Katalog wird nur die Gruppenmitgliedschaft (das Attribut „member“) von universellen Gruppen gespeichert. Nur universelle Gruppen werden mit dem Dienst synchronisiert. Ändern Sie bei Bedarf den Geltungsbereich einer Gruppe von „lokale Domäne“ oder „global“ in „universell“.
Das Bind-DN-Konto, das Sie beim Konfigurieren eines Verzeichnisses im Dienst definieren, muss über Berechtigungen zum Lesen des Token-Groups-Global-And-Universal (TGGAU)-Attributs verfügen.
Wenn Workspace ONE UEM in VMware Identity Manager integriert ist und mehrere Workspace ONE UEM-Organisationsgruppen konfiguriert sind, kann die Option „Globaler Active Directory-Katalog“ nicht verwendet werden.
Active Directory verwendet die Ports 389 und 636 für standardmäßige LDAP -Abfragen. Für globale Katalogabfragen werden die Ports 3268 und 3269 verwendet.
Gehen Sie beim Hinzufügen eines Verzeichnisses zur globalen Katalogumgebung während der Konfiguration wie nachfolgend dargestellt vor.
Wählen Sie die Option „Active Directory über LDAP“ aus.
Deaktivieren Sie das Kontrollkästchen für die Option Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort.
Aktivieren Sie die Option Dieses Verzeichnis verfügt über einen globalen Katalog. Nach der Auswahl dieser Option wird die Server-Portnummer automatisch in 3268 geändert. Zudem wird das Testfeld „Basis-DN“ nicht angezeigt, weil die Basis-DN beim Konfigurieren der globalen Katalogoption nicht benötigt wird.
Fügen Sie den Active Directory-Serverhostnamen hinzu.
Wenn Ihre Active Directory-Umgebung Zugriff über SSL erfordert, aktivieren Sie die Option Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL und fügen das Zertifikat in das angezeigte Testfeld ein. Nach der Auswahl dieser Option wird die Server-Portnummer automatisch in 3269 geändert.
Active Directory-Umgebung mit mehreren Strukturen und Vertrauensbeziehungen
Eine Active Directory-Bereitstellung mit mehreren Strukturen und Vertrauensbeziehungen ermöglicht Ihnen die Synchronisierung von Benutzern und Gruppen aus mehreren Active Directory-Domänen in Strukturen heraus, bei denen zwischen den Domänen gegenseitige Vertrauensbeziehungen bestehen.
Wenn Sie ein Verzeichnis für diese Umgebung hinzufügen, wählen Sie die Option „Active Directory (integrierte Windows-Authentifizierung)“.
Weitere Informationen finden Sie unter:
Active Directory-Umgebung mit mehreren Strukturen, aber ohne Vertrauensbeziehungen
Eine Active Directory-Bereitstellung mit mehreren Strukturen, aber ohne Vertrauensbeziehungen ermöglicht Ihnen die Synchronisierung von Benutzern und Gruppen aus mehreren Active Directory-Domänen in mehreren Strukturen heraus, bei denen zwischen den Domänen keine gegenseitigen Vertrauensbeziehungen bestehen. In dieser Umgebung erstellen Sie im Dienst mehrere Verzeichnisse und zwar ein Verzeichnis für jede Struktur.
Welchen Typ von Verzeichnissen Sie im Dienst erstellen, hängt von der Gesamtstruktur ab. Bei Gesamtstrukturen mit mehreren Domänen wählen Sie die Option „Active Directory (integrierte Windows-Authentifizierung)“. Bei einer Gesamtstruktur mit einer einzelnen Domäne wählen Sie die Option „Active Directory über LDAP“.
Weitere Informationen finden Sie unter: