|
<< Klicken Sie hier um das Inhaltsverzeichnis anzuzeigen >> Navigation: Detailbeschreibung > Active Directory Anbindung > Allgemeine Funktionsweise |
Mithilfe des AD02 werden aus dem AD Benutzer und Gruppen importiert. Hat man den AD02 richtig konfiguriert, wird empfohlen den AD02 per Batch Scheduler automatisch laufen zu lassen. Auf diese Weise können Benutzer und Gruppen automatisch synchron gehalten werden.
Die Vergabe der Berechtigungen erfolgt weiterhin ausschliesslich über das AD02. D.h. im AD können keine konkreten Berechtigungen gesetzt werden. Das hat aber auch den Vorteil, dass das AD Schema nicht erweitert werden muss.
Hat man die Berechtigungen für die importierten Gruppen einmal im AD02 vorgenommen, erfolgt die Benutzerverwaltung zentral im AD. Lediglich die Vergabe und Änderung von Berechtigungen an die Gruppen, müssen übers AD02 erfolgen.
Welche Gruppen und Benutzer aus dem Active Directory importiert werden, resp. gelöscht werden wenn sie dort nicht mehr vorhanden sind wird im Kapitel Gruppenstruktur AD vs. AD02 beschrieben. Wenn eine Gruppe oder ein Benutzer noch keine GUID vom Active Directory besitzen, erfolgt der Abgleich über den Namen. Gruppen und Benutzer vom AD werden mit DABiS assoziiert, wenn der sAMAccountName (AD) mit dem Kurzzeichen (DABiS) übereinstimmt. Wenn bereits eine GUID vorhanden ist, erfolgt der Abgleich über die GUID. Wenn dann ein Benutzer oder eine Gruppe umbenannt wird, wird der neue Name auch in DABiS übernommen.
Manueller Abgleich |
Batchmodus |
|
AD Gruppen welche nicht in DABiS existieren werden importiert |
Auf Anfrage |
bei InsertNewGroup=1 |
AD Benutzer welche nicht in DABiS exisiteren werden importiert |
Auf Anfrage |
bei InsertNewUser=1 |
AD Benutzer- und Gruppennamen werden in DABiS geupdated, wenn diese im AD ändern. Dies wird gemacht, wenn die betroffenen Gruppen und Benutzer über die GUID abgeglichen werden. Das ist der Fall, wenn das Objekt aus dem AD importiert wurde, oder zuvor bereits eine Assoziierung über den Namen erfolgt ist. |
Immer |
Immer |
Benutzerzugehörigkeiten werden aus dem AD übernommen, sofern es sich nicht um eine DB-Only Gruppe handelt (Siehe Mischmodus). Eine Ausnahme ergibt sich beim Löschen einer Gruppe, wenn es noch Benutzer gibt, welche diese Gruppe als Standardgruppe definiert haben. Die Standardgruppe bleibt für diese Benutzer erhalten und die Gruppe wird nicht gelöscht, wenn der Schalter ForceDeleteGroup=0 ist im Batchmodus, oder auf Anfrage im manuellen Modus. |
Immer |
Immer |
Bei SyncDBOnlyObjects=1 (default) werden alle Benutzer in DABiS gelöscht, welche im AD nicht vorhanden sind. Wenn ein Benutzer nicht mehr im AD vorhanden ist, aber nicht entfernt wurde (Auf Anfrage, oder weil DeleteUser=0), dann ist der Benutzer anschliessend ein DB-Only Benutzer. |
Auf Anfrage |
bei DeleteUser=1 |
Bei SyncDBOnlyObjects=1 (default) werden alle Gruppen in DABiS gelöscht, welche im AD nicht vorhanden sind. Wenn eine Gruppe nicht mehr im AD vorhanden ist, aber nicht entfernt wurde (Auf Anfrage, oder weil DeleteGroup=0), dann ist die Gruppe anschliessend eine DB-Only Gruppe. Eine Ausnahme ergibt sich beim Löschen einer Gruppe, wenn es noch Benutzer gibt, welche diese Gruppe als Standardgruppe definiert haben. Die Standardgruppe bleibt für diese Benutzer erhalten und die Gruppe wird nicht gelöscht, wenn der Schalter ForceDeleteGroup=0 ist im Batchmodus, oder auf Anfrage im manuellen Modus. |
Auf Anfrage |
bei DeleteGroup=1 |