Omgeving met één Active Directory-domein

In een implementatie met één Active Directory-domein kunt u gebruikers en groepen van één Active Directory-domein synchroniseren.

Selecteer de optie Active Directory via LDAP wanneer u een directory aan de service toevoegt voor deze omgeving.

Voor meer informatie raadpleegt u:

• Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd

• Rechten vereist voor toevoegen aan een domein (alleen voor Linux-gebaseerde virtual appliance)

• Verbinding van Active Directory met de service configureren

Active Directory-omgeving met één forest en meerdere domeinen

In een Active Directory-implementatie met één forest en meerdere domeinen kunt u gebruikers en groepen van meerdere Active Directory-domeinen binnen één forest synchroniseren.

U kunt de service voor deze Active Directory-omgeving configureren als één Active Directory-directorytype met geïntegreerde Windows-verificatie of, als alternatieve optie, als het directorytype Active Directory via LDAP met de optie voor de globale catalogus geconfigureerd.

• De aanbevolen optie is om het enkele Active Directory-type met geïntegreerde Windows-verificatie te maken.

  Wanneer u een directory voor deze omgeving toevoegt, selecteert u de optie Active Directory (geïntegreerde Windows-verificatie).

  Voor meer informatie raadpleegt u:

  • Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd

  • Rechten vereist voor toevoegen aan een domein (alleen voor Linux-gebaseerde virtual appliance)

  • Verbinding van Active Directory met de service configureren

• Als Geïntegreerde Windows-verificatie niet werkt in uw Active Directory-omgeving, maakt u een directory van het type Active Directory via LDAP en selecteert u de optie globale catalogus.

  Hier volgen een aantal beperkingen in verband met het selecteren van de optie globale catalogus:

  • De Active Directory-objectkenmerken die worden gekopieerd naar de globale catalogus worden in het Active Directory-schema vermeld als gedeeltelijke kenmerkreeks (PAS). Alleen deze kenmerken zijn beschikbaar voor het toewijzen van kenmerken door de service. Indien nodig kunt u het schema bewerken of kenmerken die in de globale catalogus zijn opgeslagen, toevoegen of verwijderen.

  • In de globale catalogus wordt uitsluitend het groepslidmaatschap (het lidmaatschapskenmerk) van universele groepen opgeslagen. Er worden alleen universele groepen gesynchroniseerd met de service. Indien nodig wijzigt u het bereik van een groep van een lokaal of globaal domein naar een universeel domein.

  • Het account van de bindings-DN dat u opgeeft wanneer u een directory in de service configureert, moet over toestemmingen beschikken om het kenmerk Token-Groups-Global-And-Universal (TGGAU) te kunnen lezen.

  • Wanneer Workspace ONE UEM met VMware Identity Manager is geïntegreerd en meerdere Workspace ONE UEM-organisatiegroepen worden geconfigureerd, kan de optie Active Directory Global Catalog niet worden gebruikt.

  Active Directory gebruikt poorten 389 en 636 voor standaard LDAP-query's. Voor globale catalogusquery's worden poorten 3268 en 3269 gebruikt.

  Wanneer u een directory toevoegt voor de globale catalogusomgeving, geeft u het volgende op tijdens de configuratie.

  • Selecteer de optie Active Directory via LDAP.

  • Schakel het selectievakje voor de optie Deze directory ondersteunt de locatie van de DNS-service.

  • Selecteer de optie Deze directory heeft een Global Catalog. Wanneer u deze optie selecteert, wordt het serverpoortnummer automatisch gewijzigd in 3268. Omdat de basis-DN niet noodzakelijk is tijdens het configureren van de optie globale catalogus, wordt het tekstvak Basis-DN niet weergegeven.

  • Voeg de serverhostnaam van de Active Directory toe.

  • Als voor uw Active Directory toegang via SSL is vereist, selecteert u de optie Voor deze directory is vereist dat alle verbindingen SSL gebruiken en plakt u het certificaat in het daarvoor bestemde tekstvak. Wanneer u deze optie selecteert, wordt het serverpoortnummer automatisch gewijzigd in 3269.

Active Directory-omgeving met meerdere forests met vertrouwensrelaties

In een Active Directory-implementatie met meerdere forests met vertrouwensrelaties kunt u gebruikers en groepen uit meerdere Active Directory-domeinen met meerdere forests synchroniseren als er een vertrouwensrelatie in twee richtingen bestaat tussen de domeinen.

Wanneer u een directory voor deze omgeving toevoegt, selecteert u de optie Active Directory (geïntegreerde Windows-verificatie).

Voor meer informatie raadpleegt u:

• Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd

• Rechten vereist voor toevoegen aan een domein (alleen voor Linux-gebaseerde virtual appliance)

• Verbinding van Active Directory met de service configureren

Active Directory-omgeving met meerdere forests zonder vertrouwensrelaties

In een Active Directory-implementatie met meerdere forests zonder vertrouwensrelaties kunt u gebruikers en groepen uit meerdere Active Directory-domeinen met meerdere forests synchroniseren zonder dat er een vertrouwensrelatie in twee richtingen bestaat tussen de domeinen. In deze omgeving kunt u meerdere directory's maken in de service: één directory voor elk forest.

Het type directory's dat u in de service maakt, is afhankelijk van het forest. Voor forests met meerdere domeinen selecteert u de optie Active Directory (geïntegreerde Windows-verificatie). Voor een forest met één domein kiest u de optie Active Directory via LDAP.

Voor meer informatie raadpleegt u:

• Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd

• Rechten vereist voor toevoegen aan een domein (alleen voor Linux-gebaseerde virtual appliance)

• Verbinding van Active Directory met de service configureren