Active-Directory-Domänen integrieren

Eines der häufigsten Probleme beim Umgang mit mehreren Active-Directory-Domänen ist der Umgang mit den unterschiedlichen Passwortsätzen. Ob Domänenmigration oder separate Domänen für die Desktop-Anmeldung und den Exchange-Mailbox-Zugriff, die Anwender müssen unterschiedliche Passwörter für jede Domäne verwenden. Dies erschwert die Verwaltung von Benutzer-Passwörtern und führt zu einem Anstieg passwortbezogener Tickets – was letztendlich die Gesamtproduktivität beeinträchtigt.

Die Verwaltung von Benutzer-Passwörtern kann in großen Umgebungen schnell zur Sisyphusarbeit werden. Wenn zusätzlich noch das Management von domänenübergreifenden Passwort-Änderungen hinzukommt, stehen Administratoren nicht selten vor großen Herausforderungen. Die Lösung liegt in der Synchronisierung von Passwortänderungen über mehrere Domänen hinweg.

Passwortsynchronisierung zwischen Active-Directory-Domänen

Die Passwortsynchronisierungs-Funktion von ADSelfService Plus übernimmt Änderungen, die am Passwort eines Domänenbenutzers vorgenommen wurden, für dessen Benutzerkonten in anderen Active-Directory-Domänen und sogar in Unternehmensanwendungen wie G Suite und Office 365.

Der Passwortsynchronisierungs-Agent von ADSelfService Plus geht sogar noch einen Schritt weiter und synchronisiert native Passwortänderungen, die über den nach Strg + Alt + Entf angezeigten Bildschirm vorgenommen wurden sowie von Administratoren zurückgesetzte Passwörter über die „Active-Directory-Benutzer und -Computer“-Konsole.

Wie wird die Passwortsynchronisierung mit ADSelfService Plus konfiguriert?

  1. Melden Sie sich mit Administratorzugangsdaten bei der ADSelfService-Plus-Administratorkonsole an.

  2. Wechseln Sie zu Application > Add Application.

  3. Wählen Sie die Applikation Active Directory aus.

Hinweis: Sie finden die Active-Directory-Applikation auch über die Suchleiste im linken Bereich oder durch Auswahl des ersten Buchstabens der Applikation im rechten Bereich.

4. Geben Sie Applikationsname und Beschreibung ein.

5. Wählen Sie den Namen der Domäne, mit der Kennwörter synchronisiert werden sollen. Ein Beispiel: Wenn Sie Passwörter von Domäne A mit Domäne B synchronisieren möchten, wählen Sie zunächst Domäne B im Feld Domain Name und danach eine mit Domäne A verknüpfte Self-Service-Richtlinie in der Auswahlliste bei „Assign Policies“.

6.Wählen Sie die passenden Richtlinien aus der Assign-Policies-Auswahlliste. Die Passwortsynchronisierung ist nur bei Anwendern möglich, die von der ausgewählten SelfService-Richtlinie betroffen sind.

7. Klicken Sie auf Add Application.

Hinweis: Sie können in ADSelfService Plus mehrere OE- und gruppenbasierte Richtlinien erstellen, die die SelfService-Funktionen definieren, die für verschiedene Anwender zur Verfügung stehen.

8. Klicken Sie auf Speichern.

Verknüpfung von Benutzerkonten

Damit die Passwortsynchronisierung funktioniert, müssen die Benutzerkonten der verschiedenen Domänen miteinander verknüpft werden. Standardmäßig werden Benutzerkonten automatisch anhand des AD-Attributs sAMAccountName verknüpft. Mit ADSelfService Plus können Sie Benutzerkonten alternativ auch anhand eines Attributs Ihrer Wahl verknüpfen.

  1. Automatische Verknüpfung von Benutzerkonten
  2. Manuelle Verknüpfung von Benutzerkonten

So verknüpfen Sie Benutzerkonten automatisch

Um Konten automatisch miteinander zu verknüpfen, müssen Sie ein Quellattribut festlegen, das sich aus einem oder mehreren AD-Attributen und einem Zielattribut der Unternehmensanwendung zusammensetzt. Wenn ein Anwender ein Passwort zurücksetzt oder ändert, wird die Änderung nur dann synchronisiert, wenn der Wert des Zielattributs mit dem Wert des Quellattributs übereinstimmt.

Schritte zur automatischen Verknüpfung von Benutzerkonten:

1. Melden Sie sich als Administrator an der ADSelfService-Plus-Webkonsole an.
2. Gehen Sie zum Reiter Application. Eine Liste der konfigurierten Applikationen wird angezeigt.
3. Klicken Sie bei der Anwendung, die Sie konfigurieren möchten, auf das Zahnrad in der Spalte Advanced.

4. Im nun geöffneten Fenster aktivieren Sie das Kontrollkästchen bei Enable Auto Account Linking.
5. Unter Source Attributes wählen Sie ein oder mehrere Quellattribute der AD-Domäne, in der Benutzerpasswörter zurückgesetzt oder geändert werden.

Hinweis: Angenommen, Sie möchten sowohl sAMAccountName als auch initials als AD-Quellattribute verwenden. Wählen Sie dazu sAMAccountName bei den Quellattributen, klicken Sie auf die +-Schaltfläche neben dem Feld und wählen Sie danach initials aus der jetzt erscheinenden Auswahlliste aus. Achten Sie darauf, dass der kombinierte Wert der AD-Quellattribute dem entsprechenden Zielattribut in der Unternehmensanwendung entspricht. Ein Beispiel: Wenn der samAccountName-Wert „Johann“ und der initial-Wert „A“ lautet, muss der zugehörige Wert des Zielattributs „JohannA“ lauten.

6. In der Auswahlliste unter Target Attribute wählen Sie das Zielattribut, dessen Wert dem kombinierten Wert der ausgewählten Quellattribute entspricht. Der Attributwert sollte für jeden Anwender eindeutig sein. Falls mehrere Domänenkonten denselben Attributwert haben, schlägt die Synchronisierung fehl.

7. Aktivieren Sie das Kontrollkästchen Hostname anhängen, um den Domänennamen am Ende des kombinierten Wertes der ausgewählten Quellattribute hinzuzufügen. Das bedeutet, wenn das Kontrollkästchen aktiviert ist, wird sAMAccountName+Initials zu sAMAccountName+Initials@domain.

8. Klicken Sie auf Speichern.

Hinweis:

  • Falls der Wert des Quellattributs leer ist, wird sAMAccountName als Standardwert verwendet.
  • Wenn der Wert des Quellattributs im E-Mail-Format vorliegt, wird der Domänenname auch dann nicht angehängt, wenn die Option „Hostname anhängen“ aktiv ist.

So verknüpfen Sie Benutzerkonten manuell

Wenn die manuelle Verknüpfung von Benutzerkonten aktiv ist, können Anwender ihre AD-Domänenkonten selbst verknüpfen. Dazu geben sie die Zugangsdaten des Domänenkontos ein, mit dem sie ihr primäres Domänenkonto verknüpfen möchten. Ein Beispiel: Wenn ein Anwender das Passwort seines Benutzerkontos in Domäne A mit seinem Konto in Domäne B synchronisieren möchte, ist Folgendes erforderlich:

  1. Melden Sie sich am User-Portal von ADSelfService Plus an.
  2. Gehen Sie zu Applikationen.
  3. Klicken Sie auf die Unternehmensanwendung, mit der Sie das AD-Konto verknüpfen möchten.
  4. Geben Sie die Zugangsdaten für dieses Benutzerkonto an.
  5. Geben Sie zur Verknüpfung beider Konten den Benutzernamen und das Kennwort des Kontos in Domäne B an.

Schritte zum Aktivieren der manuellen Kontoverknüpfung:

1. Melden Sie sich als Administrator bei ADSelfService Plus an.
2. Gehen Sie zum Reiter Application. Eine Liste mit konfigurierten Applikationen wird angezeigt.
3. Klicken Sie auf die Erweitert-Schaltfläche der gewünschten Applikationskonfiguration.

4. Im nun geöffneten Fenster wählen Sie das Automatische Kontoverknüpfung aktivieren-Kontrollkästchen AB.

5. Klicken Sie auf Speichern.

Lizenzverbrauch

Sobald die Benutzerkonten der beiden Domänen erfolgreich miteinander verknüpft sind, benötigt nur das Benutzerkonto der Domäne, von der die Kennwortsynchronisierung ausging, eine ADSelfService-Plus-Lizenz. Die Lizenz wird beim ersten Öffnen von ADSelfService Plus in Anspruch genommen. Das verknüpfte Benutzerkonto der anderen Domäne, mit der die Passwörter synchronisiert werden, benötigt keine Lizenz. Ein Beispiel: Angenommen, 1.000 Benutzerkonten von Domäne A werden zur Passwortsynchronisierung mit 1.000 User Accounts der Domäne B verknüpft. Wenn Anwender aus Domäne A dann ihre Passwörter ändern und diese mit Domäne B synchronisiert werden, ist nur für die Benutzerkonten aus Domäne A eine Lizenz erforderlich. Konten der Domäne B verbrauchen keine Lizenzen.

Hinweis: Wenn Anwender Self-Service-Aktionen mit beiden Konten in Domäne A und Domäne B ausführen, werden für beide Konten Lizenzen abgerufen.

Vorteile von ADSelfService Plus

  • Verwenden Sie eine Identität für mehrere Active-Directory-Domänen und Unternehmensanwendungen.
  • Nutzen Sie Multi-Faktor-Authentifizierung, um Passwörter sicher zu ändern.
  • Reduzieren Sie die Anzahl an Helpdesk-Anrufen und entlasten Sie so Ihre IT-Administratoren, die sich nun auf wichtigere Aufgaben konzentrieren können.
  • Lassen Sie sich per SMS oder E-Mail über Passwortänderungen benachrichtigen.
  • Ermöglichen Sie es Ihren Anwendern, Domain-Passwörter jederzeit und von überall aus mit der ADSelfService-Plus-App zu verwalten.


ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   +49 8139 9300-13
   Support kontaktieren