Anda di halaman 1dari 7

Advanced Authentication AD

Complejos entornos de Active Directory

Si usted tiene una red más grande, o es parte de un gran Active Directory (AD) el medio ambiente que puede tener una compleja estructura de unidades organizativas AD como éste.

Advanced Authentication AD Complejos entornos de Active Directory Si usted tiene una red más grande, o

Entornos más complejos AD pueden subdividirse por departamento o por región / localidad. Spiceworks le permite llegar a una unidad organizativa específica (y todos sus sub-unidades organizativas) para la autenticación del usuario del portal, y la gente ve. Esto es ventajoso en entornos más grandes, donde sólo puede ser responsable de una parte de los usuarios de su dominio.

Solución de problemas

Este artículo le dará una visión general para ayudarle a entender cómo configurar Spiceworks para la autenticación de AD / para sacar información de usuario AD, pero no va a ayudar mucho a solucionar problemas. Si usted está teniendo problemas para conseguir que los usuarios tiran en Gente Vista desde AD se refieren a este FAQ.

Dirigida a una unidad organizativa específica

Para hacer referencia a una unidad organizativa específica AD (y sus sub-unidades organizativas) que debe proporcionar Spiceworks con un "DN base".

Configuración -> Configuración de Active Directory -> Mostrar configuración adicionales -> "DN Base de búsqueda LDAP"

El valor DN base es una serie con formato especial que se enfoca a todas las comunicaciones relacionadas con AD de Spiceworks en una sola unidad organizativa de AD.

Ejemplo

Vamos a echar un vistazo a la organización de AD ejemplo anterior. Digamos que usted es el administrador de tacos y hamburguesas de la sub-unidad organizativa. No está interesado en cualquiera de los usuarios de las otras unidades organizativas (incluyendo otherdogs, Austin y TestMGMT). Para hacer referencia a los tacos y hamburguesas unidades organizativas que le establezca el DN base como:

OU = tacos, OU = Austin, OU = Testou, DC = swexchg2003, DC = Spiceworks, DC = com

Como resultado la gente ve en Spiceworks sólo se llena con los usuarios de tacos y su sub OU (s), hamburguesas y el portal del usuario sólo autenticar a los usuarios de las mismas dos unidades organizativas.

Limitaciones

Para ayudar a entender las limitaciones que vamos a utilizar el ejemplo de entorno de AD anterior de nuevo. En este ejemplo, usted es el administrador de usuarios de dos unidades organizativas independientes:

tacos

dogbreeds

Usted no quiere que los usuarios de otherdogs a aparecer en las personas Vista, y no desea que los usuarios iniciar sesión en el portal del usuario. Actualmente sólo es posible dar / hacer cumplir un solo valor DN base. Esto significa que sólo puede apuntar a una unidad organizativa (y sus sub- unidades organizativas).

Por lo tanto, usted tiene tres opciones:

1.

Apunte todas las unidades organizativas (incluidos los que no lo hacen administrador)

Para hacer referencia a todas las unidades organizativas dejar el espacio en blanco DN base, o dirigirse a una unidad organizativa a un nivel más alto que dos de sus unidades organizativas deseados. En nuestro ejemplo, el Austin OU contiene dos tacos y dogbreeds. Si utiliza este DN base:

OU = Austin, OU = Testou, DC = swexchg2003, DC = Spiceworks, DC = com

Spiceworks permitirá a los usuarios de ambos tacos y dogbreeds para autenticarse en el portal del usuario, y Spiceworks intentará agregar todos los usuarios tanto de las unidades organizativas en Gente View.

Por desgracia, al dirigirse Austin incluya también las otras unidades organizativas no deseados, como DEMO, otherdogs y TheEnd. Significa que los usuarios de todas estas unidades organizativas también podrán autenticarse en el portal del usuario, y se añadió a la gente ve.

  • 2. Meta una de las dos unidades organizativas (excluye todas las unidades organizativas de nivel

superior, y excluye la segunda OU)

Alternativamente, usted puede reducir sus pérdidas y de destino una de las dos unidades organizativas deseados. Esto limita la autenticación de usuario y Portal People Ver a los usuarios en la unidad organizativa especificada. Por ejemplo, si se utiliza este DN base de nuestro ejemplo:

OU = tacos, OU = Austin, OU = Testou, DC = swexchg2003, DC = Spiceworks, DC = com

usuarios de tacos podrán iniciar sesión en el portal del usuario, y se añadió a People. Usuarios en dogbreeds están excluidos y no podrán autenticarse en el portal del usuario y no se añadirán a las personas Vista.

  • 3. Crear un segundo "sitio remoto" instalación de Spiceworks para orientar su segunda OU

Si usted tiene los recursos para crear una segunda instalación de Spiceworks puede configurar cada una de sus instalaciones para cubrir una de las dos unidades organizativas; Instalación central (servidor original Spiceworks):

OU = tacos, OU = Austin, OU = Testou, DC = swexchg2003, DC = Spiceworks, DC = com Instalación de Remote Site (nuevo servidor secundario):

OU = dogbreeds, OU = Austin, OU = Testou, DC = swexchg2003, DC = Spiceworks, DC = com

Esto puede parecer como un montón de problemas, y un desperdicio de recursos. Sin embargo, puede configurar tanto en instalaciones con configuraciones únicas del portal del usuario. Esto significa que el contenido del usuario del portal y el diseño puede ser personalizado para orientar a los usuarios en cada unidad organizativa. Esto también podría ser útil si los usuarios de una unidad organizativa se encuentran en una ubicación física distinta. La creación de la instalación del sitio remoto en un dispositivo a la ubicación física de la unidad organizativa a distancia puede mejorar el rendimiento y la capacidad de respuesta del usuario del portal.

Permisos de AD

Inherente en entornos más complejos más grandes es el uso de permisos de AD a limitar el alcance de control de los administradores tienen. En un entorno más pequeño puede tener un grupo de administradores de AD que son todos los miembros del grupo de seguridad "Domain Admin", dando a los usuarios acceso de administrador global para AD.

A medida que avanzamos por el espectro de menor a entornos de grandes AD por lo general hay más controles establecidos para limitar el acceso a las funciones de administración globales.

Sus cuentas de AD pueden entrar en esta categoría si:

administrador de uno de los muchos sitios regionales

son responsables de admin'ing dos de los cinco departamentos en una de las 25 oficinas regionales

no son directamente responsables de los controles y la configuración de AD en su entorno Ejemplo

¿Qué pasa si usted es el administrador de la unidad organizativa ELFIN en el entorno anterior.

¿Qué pasa si usted es el administrador de la unidad organizativa ELFIN en el entorno anterior. Usted puede utilizar el asistente de control de Delegado (haga clic con el OU) para configurar permisos adicionales:

o haga clic en ELFIN e ir a la pestaña Seguridad en las propiedades de:

Las cuentas con limitaciones no pueden permitir Spiceworks acceder a la información del perfil de usuario

Las cuentas con limitaciones no pueden permitir Spiceworks acceder a la información del perfil de usuario correctamente, evitando la autenticación del usuario del portal, o la creación de nuevos usuarios en la gente ve. Confirmar la cuenta que se utiliza en este campo:

Configuración -> Configuración de Active Directory -> (Credenciales de Active Directory) -> Nombre de usuario

tiene los permisos adecuados para permitir Spiceworks de lectura / acceso a la información en la unidad organizativa que contiene los perfiles de usuario de AD de sus usuarios finales.

Uso de permisos elevados

Es más fácil obtener acceso temporal a una cuenta de administrador de dominio, o crear un nuevo usuario administrador de la marca en el año que tiene la pertenencia al grupo Administradores de

dominio. Utilice el nuevo nombre de usuario de administrador de dominio y confirmar la autenticación del usuario del portal sigue fallando, o que los usuarios siguen sin llenar en la gente ve.

Si usted no tiene acceso a una cuenta con la adhesión de administrador de dominio puede ser necesario solicitar una nueva cuenta del administrador de AD, o tener el administrador de AD permisos afinar añadir los derechos de lectura / acceso adecuados a la cuenta que está utilizando .

Nota: Al añadir las credenciales de administrador de dominio en la configuración de Active Directory que estás ofreciendo Spiceworks (y, por lo tanto, todos los Administradores Spiceworks) con acceso de administrador en curso en el entorno de AD a través de Spiceworks. En consecuencia, si usted tiene gente Ver configurado para sincronizar los cambios realizados en Spiceworks nuevo a AD, es posible que Spiceworks Administradores para hacer indirectamente cambios en los perfiles de AD (a través de Spiceworks) - aunque propias credenciales de AD del Spiceworks admin no tienen la permisos para hacerlo.