Advanced Authentication AD

Complejos entornos de Active Directory

Si usted tiene una red ms grande, o es parte de un gran Active Directory (AD) el medio ambiente que puede tener una compleja estructura de unidades organizativas AD como ste.

Entornos ms complejos AD pueden subdividirse por departamento o por regin / localidad. Spiceworks le permite llegar a una unidad organizativa especfica (y todos sus sub-unidades organizativas) para la autenticacin del usuario del portal, y la gente ve. Esto es ventajoso en entornos ms grandes, donde slo puede ser responsable de una parte de los usuarios de su dominio. Solucin de problemas Este artculo le dar una visin general para ayudarle a entender cmo configurar Spiceworks para la autenticacin de AD / para sacar informacin de usuario AD, pero no va a ayudar mucho a solucionar problemas. Si usted est teniendo problemas para conseguir que los usuarios tiran en Gente Vista desde AD se refieren a este FAQ.

Dirigida a una unidad organizativa especfica

Para hacer referencia a una unidad organizativa especfica AD (y sus sub-unidades organizativas) que debe proporcionar Spiceworks con un "DN base". Configuracin -> Configuracin de Active Directory -> Mostrar configuracin adicionales -> "DN Base de bsqueda LDAP" El valor DN base es una serie con formato especial que se enfoca a todas las comunicaciones relacionadas con AD de Spiceworks en una sola unidad organizativa de AD. Ejemplo

Vamos a echar un vistazo a la organizacin de AD ejemplo anterior. Digamos que usted es el administrador de tacos y hamburguesas de la sub-unidad organizativa. No est interesado en cualquiera de los usuarios de las otras unidades organizativas (incluyendo otherdogs, Austin y TestMGMT). Para hacer referencia a los tacos y hamburguesas unidades organizativas que le establezca el DN base como: OU = tacos, OU = Austin, OU = Testou, DC = swexchg2003, DC = Spiceworks, DC = com Como resultado la gente ve en Spiceworks slo se llena con los usuarios de tacos y su sub OU (s), hamburguesas y el portal del usuario slo autenticar a los usuarios de las mismas dos unidades organizativas. Limitaciones Para ayudar a entender las limitaciones que vamos a utilizar el ejemplo de entorno de AD anterior de nuevo. En este ejemplo, usted es el administrador de usuarios de dos unidades organizativas independientes: tacos dogbreeds Usted no quiere que los usuarios de otherdogs a aparecer en las personas Vista, y no desea que los usuarios iniciar sesin en el portal del usuario. Actualmente slo es posible dar / hacer cumplir un solo valor DN base. Esto significa que slo puede apuntar a una unidad organizativa (y sus subunidades organizativas). Por lo tanto, usted tiene tres opciones:

1. Apunte todas las unidades organizativas (incluidos los que no lo hacen administrador)

Para hacer referencia a todas las unidades organizativas dejar el espacio en blanco DN base, o dirigirse a una unidad organizativa a un nivel ms alto que dos de sus unidades organizativas deseados. En nuestro ejemplo, el Austin OU contiene dos tacos y dogbreeds. Si utiliza este DN base: OU = Austin, OU = Testou, DC = swexchg2003, DC = Spiceworks, DC = com Spiceworks permitir a los usuarios de ambos tacos y dogbreeds para autenticarse en el portal del usuario, y Spiceworks intentar agregar todos los usuarios tanto de las unidades organizativas en Gente View. Por desgracia, al dirigirse Austin incluya tambin las otras unidades organizativas no deseados, como DEMO, otherdogs y TheEnd. Significa que los usuarios de todas estas unidades organizativas tambin podrn autenticarse en el portal del usuario, y se aadi a la gente ve. 2. Meta una de las dos unidades organizativas (excluye todas las unidades organizativas de nivel superior, y excluye la segunda OU)

Alternativamente, usted puede reducir sus prdidas y de destino una de las dos unidades organizativas deseados. Esto limita la autenticacin de usuario y Portal People Ver a los usuarios en la unidad organizativa especificada. Por ejemplo, si se utiliza este DN base de nuestro ejemplo: OU = tacos, OU = Austin, OU = Testou, DC = swexchg2003, DC = Spiceworks, DC = com usuarios de tacos podrn iniciar sesin en el portal del usuario, y se aadi a People. Usuarios en dogbreeds estn excluidos y no podrn autenticarse en el portal del usuario y no se aadirn a las personas Vista. 3. Crear un segundo "sitio remoto" instalacin de Spiceworks para orientar su segunda OU

Si usted tiene los recursos para crear una segunda instalacin de Spiceworks puede configurar cada una de sus instalaciones para cubrir una de las dos unidades organizativas; Instalacin central (servidor original Spiceworks): OU = tacos, OU = Austin, OU = Testou, DC = swexchg2003, DC = Spiceworks, DC = com Instalacin de Remote Site (nuevo servidor secundario): OU = dogbreeds, OU = Austin, OU = Testou, DC = swexchg2003, DC = Spiceworks, DC = com

Esto puede parecer como un montn de problemas, y un desperdicio de recursos. Sin embargo, puede configurar tanto en instalaciones con configuraciones nicas del portal del usuario. Esto significa que el contenido del usuario del portal y el diseo puede ser personalizado para orientar a los usuarios en cada unidad organizativa. Esto tambin podra ser til si los usuarios de una unidad organizativa se encuentran en una ubicacin fsica distinta. La creacin de la instalacin del sitio remoto en un dispositivo a la ubicacin fsica de la unidad organizativa a distancia puede mejorar el rendimiento y la capacidad de respuesta del usuario del portal. Permisos de AD

Inherente en entornos ms complejos ms grandes es el uso de permisos de AD a limitar el alcance de control de los administradores tienen. En un entorno ms pequeo puede tener un grupo de administradores de AD que son todos los miembros del grupo de seguridad "Domain Admin", dando a los usuarios acceso de administrador global para AD. A medida que avanzamos por el espectro de menor a entornos de grandes AD por lo general hay ms controles establecidos para limitar el acceso a las funciones de administracin globales. Sus cuentas de AD pueden entrar en esta categora si: administrador de uno de los muchos sitios regionales son responsables de admin'ing dos de los cinco departamentos en una de las 25 oficinas regionales no son directamente responsables de los controles y la configuracin de AD en su entorno Ejemplo

Qu pasa si usted es el administrador de la unidad organizativa ELFIN en el entorno anterior. Usted puede utilizar el asistente de control de Delegado (haga clic con el OU) para configurar permisos adicionales:

o haga clic en ELFIN e ir a la pestaa Seguridad en las propiedades de:

Las cuentas con limitaciones no pueden permitir Spiceworks acceder a la informacin del perfil de usuario correctamente, evitando la autenticacin del usuario del portal, o la creacin de nuevos usuarios en la gente ve. Confirmar la cuenta que se utiliza en este campo: Configuracin -> Configuracin de Active Directory -> (Credenciales de Active Directory) -> Nombre de usuario tiene los permisos adecuados para permitir Spiceworks de lectura / acceso a la informacin en la unidad organizativa que contiene los perfiles de usuario de AD de sus usuarios finales. Uso de permisos elevados Es ms fcil obtener acceso temporal a una cuenta de administrador de dominio, o crear un nuevo usuario administrador de la marca en el ao que tiene la pertenencia al grupo Administradores de

dominio. Utilice el nuevo nombre de usuario de administrador de dominio y confirmar la autenticacin del usuario del portal sigue fallando, o que los usuarios siguen sin llenar en la gente ve. Si usted no tiene acceso a una cuenta con la adhesin de administrador de dominio puede ser necesario solicitar una nueva cuenta del administrador de AD, o tener el administrador de AD permisos afinar aadir los derechos de lectura / acceso adecuados a la cuenta que est utilizando . Nota: Al aadir las credenciales de administrador de dominio en la configuracin de Active Directory que ests ofreciendo Spiceworks (y, por lo tanto, todos los Administradores Spiceworks) con acceso de administrador en curso en el entorno de AD a travs de Spiceworks. En consecuencia, si usted tiene gente Ver configurado para sincronizar los cambios realizados en Spiceworks nuevo a AD, es posible que Spiceworks Administradores para hacer indirectamente cambios en los perfiles de AD (a travs de Spiceworks) - aunque propias credenciales de AD del Spiceworks admin no tienen la permisos para hacerlo.