NetIQ Directory and Resource Administrator-Administratorhandbuch

3.3.1 DRA-Verwaltungsserver

3.3.2 DRA-REST-Server

3.3.3 Webkonsole (IIS)

3.3.4 DRA-Delegierungs- und -Verwaltungskonsole

3.3.5 Workflowserver

3.5.1 Softwareanforderungen

3.5.2 Serverdomäne

3.5.3 Kontoanforderungen

3.5.4 DRA-Zugriffskonten mit niedrigsten Berechtigungen

Nachstehend finden Sie Informationen zu den Berechtigungen und Privilegien, die für die angegebenen Konten und für die auszuführenden Konfigurationsbefehle erforderlich sind.

Erteilen Sie dem Domänenzugriffskonto die folgenden Active Directory-Berechtigungen auf oberster Domänenebene für dieses Objekt und alle Nachfolgerobjekte:

Azure-Anwendung: Für die Azure-Anwendung sind die folgenden Rollen und Berechtigungen erforderlich:

Azure-Mandantenzugriffskonto: Für das Azure-Mandantenzugriffskonto sind die folgenden Berechtigungen erforderlich:

Netzwerkzugriff: Clients einschränken, die Remoteaufrufe an SAM ausführen dürfen

Gehen Sie wie folgt vor, um auf diese Einstellung zuzugreifen:

Weitere Informationen hierzu finden Sie im Knowledgebase-Artikel 7023292.

3.6.1 Softwareanforderungen

4.1.1 Checkliste für die interaktive Installation:

5.2.1 Dedizierten lokalen Verwaltungsserver zum Ausführen einer früheren DRA-Version festlegen

Wenn Sie einen oder mehrere dedizierte sekundäre Verwaltungsserver festlegen, die während der Aufrüstung eine frühere DRA-Version lokal am jeweiligen Standort ausführen, können Sie Ausfallzeiten und kostenaufwändige Verbindungen zu Remote-Standorten minimieren. Dieser Schritt ist optional und ermöglicht Hilfsadministratoren, während des gesamten Aufrüstungsprozesses mit einer früheren DRA-Version zu arbeiten, bis Sie die Bereitstellung fertiggestellt haben.

Erwägen Sie die Verwendung dieser Option, wenn eine oder mehrere der folgenden Aufrüstungsanforderungen auf Ihre Umgebung zutreffen:

Sie können einen neuen sekundären Verwaltungsserver installieren oder einen vorhandenen Sekundärserver verwenden, der eine frühere DRA-Version ausführt. Wenn Sie beabsichtigen, diesen Server aufzurüsten, sollten Sie diesen Server als letztes aufrüsten. Deinstallieren Sie andernfalls DRA komplett von diesem Server, nachdem Sie die Aufrüstung abgeschlossen haben.

5.2.2 Serversatz mit früherer DRA-Version synchronisieren

Bevor Sie die Registrierung der früheren DRA-Version sichern oder den Aufrüstungsprozess starten, stellen Sie sicher, dass Sie die Serversätze synchronisiert haben, damit jeder Verwaltungsserver über die neuesten Konfigurations- und Sicherheitseinstellungen verfügt.

5.2.3 Registrierung des Verwaltungsservers sichern

Wenn Sie eine Sicherung der Registrierung des Verwaltungsservers erstellen, können Sie frühere Konfigurationen wiederherstellen. Wenn Sie beispielsweise die aktuelle DRA-Version vollständig deinstallieren müssen und zur vorigen DRA-Version zurückkehren, können Sie mithilfe einer Sicherung der früheren Registrierungseinstellungen Ihre vorigen Konfigurations- und Sicherheitseinstellungen einfach wiederherstellen.

Gehen Sie jedoch mit Bedacht vor, wenn Sie die Registrierung bearbeiten. Fehler in der Registrierung können dazu führen, dass der Verwaltungsserver nicht wie erwartet funktioniert. Wenn während des Aufrüstungsprozesses ein Fehler auftritt, können Sie mithilfe der Sicherung der Registrierungseinstellungen die Registrierung wiederherstellen. Weitere Informationen finden Sie in der Registrierungseditor-Hilfe.

5.3.1 Primären Verwaltungsserver aufrüsten

Nachdem Sie den MMS erfolgreich vorbereitet haben, rüsten Sie den primären Verwaltungsserver auf. Rüsten Sie keine Benutzeroberflächen auf den Clientcomputern auf, solange die Aufrüstung des primären Verwaltungsservers noch nicht abgeschlossen ist. Weitere Informationen finden Sie in DRA-Benutzeroberflächen aufrüsten.

Informieren Sie vor dem Beginn der Aufrüstung die Hilfsadministratoren über den geplanten Start des Prozesses. Wenn Sie einen dedizierten sekundären Verwaltungsserver zum Ausführen einer früheren DRA-Version festgelegt haben, identifizieren Sie außerdem diesen Server, damit die Hilfsadministratoren während der Aufrüstung mit der früheren DRA-Version weiterarbeiten können.

5.3.2 Lokalen sekundären Verwaltungsserver für die aktuelle DRA-Version installieren

Durch das Installieren eines neuen sekundären Verwaltungsservers zum Ausführen der aktuellen DRA-Version am lokalen Standort können Sie kostenaufwändige Verbindungen zu Remotestandorten minimieren, Ausfallzeiten reduzieren und eine schnellere Bereitstellung der Benutzeroberflächen ermöglichen. Dieser Schritt ist optional und ermöglicht Hilfsadministratoren, während des gesamten Aufrüstungsprozesses sowohl mit der aktuellen DRA-Version als auch mit einer früheren DRA-Version zu arbeiten, bis Sie die Bereitstellung fertiggestellt haben.

Erwägen Sie die Verwendung dieser Option, wenn eine oder mehrere der folgenden Aufrüstungsanforderungen auf Ihre Umgebung zutreffen:

Wenn Ihr MMS beispielsweise einen primären Verwaltungsserver am Standort London und einen sekundären Verwaltungsserver am Standort Tokio umfasst, erwägen Sie die Installation eines Sekundärservers am Standort Tokio, den Sie zum entsprechenden MMS hinzufügen. Dieser zusätzliche Server ermöglicht einen besseren Ausgleich der täglichen Verwaltungsarbeitslast am Standort Tokio. Außerdem können Hilfsadministratoren beider Standorte bis zum Fertigstellen der Aufrüstung wahlweise mit einer früheren DRA-Version oder mit der aktuellen DRA-Version arbeiten. Des Weiteren sind die Hilfsadministratoren nicht mit Ausfallzeiten konfrontiert, weil Sie die Benutzeroberflächen mit der aktuellen DRA-Version sofort bereitstellen können. Weitere Informationen zum Aufrüstung der Benutzeroberflächen finden Sie in DRA-Benutzeroberflächen aufrüsten.

5.3.3 DRA-Benutzeroberflächen aufrüsten

Typischerweise sollten Sie die Benutzeroberflächen mit der aktuellen DRA-Version bereitstellen, nachdem Sie den primären Verwaltungsserver und einen sekundären Verwaltungsserver aufgerüstet haben. Rüsten Sie jedoch zuerst die Clientcomputer der Hilfsadministratoren auf, die den primären Verwaltungsserver verwenden müssen, indem Sie die Delegierungs- und Konfigurationskonsole installieren. Weitere Informationen finden Sie in Planen einer DRA-Aufrüstung.

Wenn Sie oft Stapelverarbeitungen über die Befehlszeilenschnittstelle, den ADSI-Anbieter oder PowerShell ausführen oder oft Berichte generieren, erwägen Sie die Installation dieser Benutzeroberflächen auf einem dedizierten sekundären Verwaltungsserver, um einen angemessenen Lastausgleich im MMS zu gewährleisten.

Sie können die DRA-Benutzeroberflächen von den Hilfsadministratoren installieren lassen oder diese Benutzeroberflächen über eine Gruppenrichtlinie bereitstellen. Sie können außerdem die Webkonsole schnell und einfach für mehrere Hilfsadministratoren bereitstellen.

5.3.4 Sekundäre Verwaltungsserver aufrüsten

Beim Aufrüsten von sekundären Verwaltungsservern können Sie jeden Server je nach Bedarf und Verwaltungsanforderungen aufrüsten. Berücksichtigen Sie dabei auch, wie Sie die Aufrüstung und Bereitstellung der DRA-Benutzeroberflächen geplant haben. Weitere Informationen finden Sie unter DRA-Benutzeroberflächen aufrüsten.

Ein typischer Aufrüstungspfad kann beispielsweise die folgenden Schritte umfassen:

Informieren Sie vor dem Beginn der Aufrüstung die Hilfsadministratoren über den geplanten Start des Prozesses. Wenn Sie einen dedizierten sekundären Verwaltungsserver zum Ausführen einer früheren DRA-Version festgelegt haben, identifizieren Sie außerdem diesen Server, damit die Hilfsadministratoren während der Aufrüstung mit der früheren DRA-Version weiterarbeiten können. Nachdem Sie den Aufrüstungsprozess für dieses MMS fertiggestellt haben und alle Clientcomputer der Hilfsadministratoren aufgerüstete Benutzeroberflächen ausführen, versetzen Sie alle verbleibenden Server mit früheren DRA-Versionen in den Offlinezustand.

5.3.5 Webkonsolenkonfiguration aktualisieren – nach der Installation

Führen Sie nach der Aufrüstungsinstallation eine oder beide der folgenden Aktionen aus, sofern sie auf Ihre DRA-Umgebung anwendbar sind:

<restService useDefault="Never">
<serviceLocation address="<REST server name>" port="8755"/>
</restService>

6.3.1 Beispiel 1: Ändern eines Benutzerpassworts

Wenn ein Hilfsadministrator versucht, ein neues Passwort für das Benutzerkonto „JSmith“ festzulegen, sucht der Verwaltungsserver alle Aktivansichten, die „JSmith“ enthalten. Hierbei wird nach allen Aktivansichten gesucht, die „JSmith“ direkt, über eine Platzhalterregel oder über eine Gruppenmitgliedschaft enthalten. Wenn eine Aktivansicht andere Aktivansichten enthält, durchsucht der Verwaltungsserver auch diese zusätzlichen Aktivansichten. Der Verwaltungsserver ermittelt, ob der Hilfsadministrator in einer dieser Aktivansichten über die Befugnis Reset User Account Password (Benutzerkontopasswort zurücksetzen) verfügt. Wenn der Hilfsadministrator über die Befugnis Reset User Account Password (Benutzerkontopasswort zurücksetzen) verfügt, setzt der Verwaltungsserver das Passwort für „JSmith“ zurück. Wenn er nicht über die Befugnis verfügt, verweigert der Verwaltungsserver die Anforderung.

6.3.2 Beispiel 2: Überlappende Aktivansichten

Eine Befugnis definiert die Eigenschaften eines Objekts, die ein Hilfsadministrator in der verwalteten Domäne bzw. im verwalteten Teilbaum anzeigen, ändern oder erstellen kann. Ein Objekt kann in mehreren Aktivansichten enthalten sein. Diese Konfiguration wird als überlappende Aktivansichten bezeichnet.

Im Falle von überlappenden Aktivansichten können Sie verschiedene Befugnissätze über die gleichen Objekte kumulieren. Wenn Sie beispielsweise über eine Aktivansicht die Befugnis erhalten, Benutzerkonten zu einer Domäne hinzuzufügen, und über eine andere Aktivansicht die Befugnis haben, Benutzerkonten aus der gleichen Domäne zu löschen, können Sie in der Domäne sowohl Benutzerkonten hinzufügen als auch Benutzerkonten löschen. Hier sind die Befugnisse, die Sie für ein bestimmtes Objekt haben, kumulativ.

Das Prinzip der überlappenden Aktivansichten und der sich daraus möglicherweise ergebenden höheren Befugnisse über Objekte in den Aktivansichten ist von wesentlicher Bedeutung. Betrachten Sie die Konfiguration der Aktivansichten in der folgenden Abbildung.

Die weißen Felder identifizieren die Aktivansichten nach Standort: Berlin und München. Die dunklen Felder identifizieren die Aktivansichten nach organisatorischer Funktion: Vertrieb und Marketing. In den Zellen sind die Gruppen dargestellt, die in jeder Aktivansicht enthalten sind.

Die Gruppen BER_Vertrieb und MUC_Vertrieb sind beide in der Aktivansicht „Vertrieb“ enthalten. Wenn Sie über eine Befugnis in der Aktivansicht „Vertrieb“ verfügen, können Sie Mitglieder der Gruppe BER_Vertrieb und Mitglieder der Gruppe MUC_Vertrieb verwalten. Wenn Sie außerdem über die Befugnis für die Aktivansicht für Berlin verfügen, gelten diese zusätzlichen Befugnisse für die Gruppe BER_Marketing. Auf diese Weise werden Befugnisse bei überlappenden Aktivansichten kumuliert.

Die Überlappung von Aktivansichten ermöglicht das Erstellen eines leistungsfähigen, flexiblen Delegierungsmodells. Diese Funktion kann jedoch auch unerwünschte Konsequenzen haben. Planen Sie die Aktivansichten mit Bedacht, um sicherzustellen, dass jeder Hilfsadministrator nur über die beabsichtigten Befugnisse über ein Benutzerkonto, eine Gruppe, eine organisatorische Einheit, einen Kontakt oder eine Ressource verfügt.

Gruppen in mehreren Aktivansichten

In diesem Beispiel ist die Gruppe BER_Vertrieb in mehreren Aktivansichten enthalten. Die Mitglieder der Gruppe BER_Vertrieb sind in der Aktivansicht „Berlin“ enthalten, weil der Gruppenname mit der Regel BER_* der Aktivansicht übereinstimmt. Gruppe ist auch in der Aktivansicht „Vertrieb“ enthalten, weil der Gruppennamen mit der Regel *_Vertrieb übereinstimmt. Indem sie eine Gruppe in mehrere Aktivansichten einschließen, können Sie verschiedenen Hilfsadministratoren unterschiedliche Befugnisse zum Verwalten derselben Objekte gewähren.

Befugnisse in Aktivansichten

Angenommen, es gibt den Hilfsadministrator „JSmith“, der für die Aktivansicht „Berlin“ über die Befugnis Modify General User Properties (Allgemeine Benutzereigenschaften bearbeiten) verfügt. Diese erste Befugnis erlaubt „JSmith“, alle Eigenschaften auf der Registerkarte „Allgemein“ im Eigenschaftenfenster eines Benutzers bearbeiten. „JSmith“ verfügt in der Aktivansicht „Vertrieb“ über die Befugnis Modify User Profile Properties (Benutzerprofileigenschaften ändern). Diese zweite Befugnis erlaubt „JSmith“, alle Eigenschaften auf der Registerkarte „Profil“ im Eigenschaftenfenster eines Benutzers bearbeiten.

Die folgende Abbildung präsentiert die Befugnisse von „JSmith“ über jede Gruppe.

„JSmith“ verfügt über die folgenden Befugnisse:

• Allgemeine Eigenschaften in der Aktivansicht „BER_*“

• Profileigenschaften in der Aktivansicht „*_Vertrieb“

Durch die Befugnisdelegierung in diesen überlappenden Aktivansichten kann „JSmith“ die allgemeinen Eigenschaften und die Profileigenschaften der Gruppe „BER_Vertrieb“ ändern. „JSmith“ verfügt also über alle Befugnisse, die in allen Aktivansichten für die Gruppe „BER_Vertrieb“ gewährt werden.

7.1.1 Zugriff auf integrierte Aktivansichten

Greifen sie auf die integrierten Aktivansichten zu, um das standardmäßige Delegierungsmodell zu überwachen oder eigene Sicherheitseinstellungen zu verwalten.

7.1.2 Arbeiten mit integrierten Aktivansichten

Sie können integrierte Aktivansichten nicht löschen, klonen oder ändern. Sie können diese Aktivansichten jedoch in Ihr vorhandenes Delegierungsmodell einschließen oder mit diesen Aktivansichten ein eigenes Modell gestalten.

Sie können die integrierten Aktivansichten auf folgende Weise verwenden:

Weitere Informationen über das Gestalten eines dynamischen Delegierungsmodells finden Sie in Grundlegendes zum dynamischen Delegierungsmodell.

7.2.1 Aktivansicht-Regeln

Eine Aktivansicht kann aus Regeln bestehen, die Objekte wie Benutzerkonten, Gruppen, organisatorische Einheiten, Kontakte, Ressourcen, Computer, Ressourcenpostfächer, freigegebene Postfächer, dynamische Verteilergruppen, gruppenverwaltete Servicekonten, Aktivansichten und Azure-Objekte wie Azure-Benutzer, Azure-Gastbenutzer, Azure-Gruppen und Azure-Kontakte ein- oder ausschließen. Diese Flexibilität macht Aktivansichten dynamisch.

Die Übereinstimmungsregeln verwenden Platzhalter. Sie können beispielsweise eine Regel definieren, die alle Computer enthält, deren Name mit der Zeichenfolge DOM* übereinstimmt. Diese Platzhalterspezifikation sucht alle Computerkonten, deren Name mit der Zeichenfolge „DOM“ beginnt. Diese Platzhalterregeln ermöglichen eine dynamische Verwaltung, weil alle Konten automatisch eingeschlossen werden, wenn sie die Regel erfüllen. Dank der Verwendung von Platzhaltern ist es nicht erforderlich, die Aktivansichten bei einer Änderung der Organisation neu zu konfigurieren.

Sie können Aktivansichten auch basierend auf der Gruppenmitgliedschaft definieren. Legen Sie eine Regel fest, die alle Mitglieder der Gruppen einschließt, deren Name mit „BER“ beginnt. Wenn dann Mitglieder zu einer beliebigen Gruppe hinzugefügt werden, die mit dieser Regel übereinstimmt, werden diese Mitglieder automatisch in die Aktivansicht eingeschlossen. Bei Änderungen oder Entwicklungen im Unternehmen wendet DRA die Regeln erneut an, um neue Objekte in die richtigen Aktivansichten einzuschließen bzw. daraus auszuschließen.

8.1.1 Azure Active Directory-Verwaltung

8.1.2 Administration

8.1.3 Erweiterte Abfrageverwaltung

8.1.4 Überwachungsverwaltung

8.1.5 Computerverwaltung

8.1.6 Exchange-Verwaltung

8.1.7 Gruppenverwaltung

8.1.8 Reporting-Verwaltung

8.1.9 Ressourcenverwaltung

8.1.10 Serververwaltung

8.1.11 Benutzerkontoverwaltung

8.1.12 WTS-Verwaltung

9.1.1 Azure-Befugnisse

Mit den folgenden Befugnissen können Sie die Erstellung und Verwaltung von Azure-Benutzern, -Gruppen und -Kontakten delegieren.

Befugnisse für Azure-Benutzerkonten:

Befugnisse für Azure-Gruppen:

Befugnisse für Azure-Kontakte:

Befugnis für Azure-Gastbenutzerkonten:

Die für Azure-Benutzerkonten aufgeführten Befugnisse gelten auch für Azure-Gastbenutzerkonten.

Um die Eigenschaften der Azure-Objekte auf granularer Ebene zu verwalten, können Sie benutzerdefinierte Befugnisse erstellen, indem Sie bestimmte Objektattribute auswählen.

11.3.1 Konfigurieren des Multi-Master-Sets

In einer MMS-Umgebung werden mehrere Verwaltungsserver zur Verwaltung des gleichen Satzes an Domänen und Mitgliedsservern verwendet. Ein MMS besteht aus einem primären Verwaltungsserver und mehreren sekundären Verwaltungsservern.

Der Standardmodus für den Verwaltungsserver ist der Primärmodus. Beachten Sie beim Hinzufügen von Sekundärservern zur MMS-Umgebung, dass ein sekundärer Verwaltungsserver nur zu einem Serversatz gehören kann.

Um sicherzustellen, dass jeder Server im Satz die gleichen Daten verwaltet, synchronisieren Sie die Sekundärserver regelmäßig mit dem primären Verwaltungsserver. Um die Wartung zu reduzieren, verwenden Sie das gleiche Servicekonto für alle Verwaltungsserver in der Gesamtstruktur der Domäne.

11.3.2 Verwalten von Klonausnahmen

Über Klonausnahmen können Sie Eigenschaften für Benutzer, Gruppen, Kontakte und Computer definieren, die beim Klonen dieser Objekte nicht kopiert werden sollen.

Wenn Sie über die entsprechenden Befugnisse verfügen, können Sie Klonausnahmen verwalten. Die Rolle „Manage Clone Exceptions“ (Klonausnahmen verwalten) gewährt die Befugnisse zum Anzeigen, Erstellen und Löschen von Klonausnahmen.

Um eine vorhandene Klonausnahme anzuzeigen oder zu löschen oder um eine neue Klonausnahme zu erstellen, navigieren Sie zu Configuration Management (Konfigurationsmanagement) > Clone Exceptions (Klonausnahmen) > Tasks (Aufgaben) oder öffnen Sie das Kontextmenü.

11.3.3 Dateireproduktion

Wenn Sie benutzerdefinierte Tools erstellen, müssen Sie möglicherweise unterstützende Dateien installieren, die das benutzerdefinierte Tool auf dem Computer mit der Delegierungs- und Konfigurationskonsole von DRA verwendet, damit es ausgeführt werden kann. Mit den Dateireproduktionsfunktionen von DRA können Sie Unterstützungsdateien für benutzerdefinierte Tools schnell und einfach vom primären Verwaltungsserver auf sekundäre Verwaltungsserver im MMS und auf DRA-Clientcomputer reproduzieren. Die Dateireproduktion kann auch zum Reproduzieren von Auslöserskripten vom Primär- auf Sekundärserver verwendet werden.

Benutzerdefinierte Tools und Dateireproduktionsfunktionen sind nur in der Delegierungs- und Konfigurationskonsole verfügbar.

Sie können benutzerdefinierte Tools und die Dateireproduktion zusammen verwenden, um sicherzustellen, dass DRA-Clientcomputer auf Dateien benutzerdefinierter Tools zugreifen können. DRA reproduziert Dateien benutzerdefinierter Tools zu sekundären Verwaltungsservern, um sicherzustellen, dass DRA-Clientcomputer, die eine Verbindung zu sekundären Verwaltungsservern herstellen, auf die benutzerdefinierten Tools zugreifen können.

DRA reproduziert die Dateien benutzerdefinierter Tools während des MMS-Synchronisierungsprozesses vom primären Verwaltungsserver zu den sekundären Verwaltungsservern. Wenn die DRA-Clientcomputer eine Verbindung zu den Verwaltungsservern herstellen, lädt DRA die Dateien benutzerdefinierter Tools auf die DRA-Clientcomputer herunter.

{DRAInstallDir}\FileTransfer\Replicate 

{DRAInstallDir}\FileTransfer\Download 

11.3.4 Azure Sync (Azure-Synchronisierung)

Mit Azure Sync können Sie Richtlinien in Bezug auf ungültige Zeichen und auf die Zeichenlänge erzwingen, um Verzeichnissynchronisierungsfehler zu verhindern. Wenn diese Option aktiviert ist, wird sichergestellt, dass für Eigenschaften, die mit Azure Active Directory synchronisiert werden, ungültige Zeichen eingeschränkt und Zeichenlängenlimits erzwungen werden.

11.3.5 Aktivieren mehrerer Manager für Gruppen

Wenn Sie die Unterstützung mehrerer Manager für die Verwaltung einer Gruppe aktivieren, werden die Manager der Gruppe in einem von zwei standardmäßigen Attributen gespeichert. Wenn Microsoft Exchange ausgeführt wird, ist dies das Attribut msExchCoManagedByLink. Wenn Microsoft Exchange nicht ausgeführt wird, ist das standardmäßige Attribut nonSecurityMember. Die letzte der beiden Optionen kann geändert werden. Wir empfehlen jedoch, den technischen Support zu kontaktieren, falls Sie diese Einstellung ändern möchten.

11.3.6 Verschlüsselte Kommunikation

Mit dieser Funktion können Sie die Verschlüsselung der Kommunikation zwischen dem Delegierungs- und Konfigurationsclient und dem Verwaltungsserver aktivieren und deaktivieren. Standardmäßig verschlüsselt DRA Kontopasswörter. Die Funktion betrifft nicht die Webclient- oder PowerShell-Kommunikationen, die separat von Serverzertifikaten gehandhabt werden.

Die Verwendung einer verschlüsselten Kommunikation kann die Leistung beeinträchtigen. Standardmäßig ist die verschlüsselte Kommunikation deaktiviert. Wenn Sie die Option aktivieren, werden die Daten während der Kommunikation zwischen den Benutzeroberflächen und dem Verwaltungsserver verschlüsselt. DRA verwendet die Microsoft-Standardverschlüsselung für Remoteprozeduraufruf (RPC, Remote Procedure Call).

Um die verschlüsselte Kommunikation zu aktivieren, navigieren Sie zu Configuration Management (Konfigurationsmanagement) > Update Administration Server Options (Verwaltungsserveroptionen aktualisieren) > Registerkarte General (Allgemein) und aktivieren Sie das Kontrollkästchen Encrypted Communications (Verschlüsselte Kommunikation).

11.3.7 Definieren virtueller Attribute

Mithilfe von virtuellen Attributen können Sie neue Eigenschaften erstellen und diese Eigenschaften mit Benutzern, Gruppen, dynamischen Verteilergruppen, Kontakten, Computern und organisatorischen Einheiten verknüpfen. Mit virtuellen Attributen können Sie neue Eigenschaften erstellen, ohne das Active Directory-Schema erweitern zu müssen.

Mithilfe von virtuellen Attributen können Sie neue Eigenschaften zu Objekten in Active Directory hinzufügen. Virtuelle Attribute können nur auf dem primären Verwaltungsserver erstellt, aktiviert, deaktiviert, verknüpft und aus einer Verknüpfung gelöst werden. DRA speichert die virtuellen Attribute, die Sie erstellen, in AD LDS. DRA reproduziert die virtuellen Attribute während des MMS-Synchronisierungsprozesses vom primären Verwaltungsserver zu den sekundären Verwaltungsservern.

Wenn Sie über die entsprechenden Befugnisse verfügen, können Sie virtuelle Attribute verwalten. Die Rolle „Manage Virtual Attributes“ (Virtuelle Attribute verwalten) umfasst Befugnisse zum Erstellen, Aktivieren, Verknüpfen, Lösen der Verknüpfung, Deaktivieren und Anzeigen von virtuellen Attributen.

11.3.8 Konfiguration des Caching

Der Verwaltungsserver erstellt und pflegt einen Konto-Cache, der Teile von Active Directory für die verwalteten Domänen enthält. Der Konto-Cache in DRA dient der Leistungsverbesserung beim Verwalten von Benutzerkonten, Gruppen, Kontakten und Computerkonten.

Um einen Zeitplan für das Aktualisieren des Cache zu erstellen oder den Cache-Status anzuzeigen, benötigen Sie die entsprechenden Befugnisse, beispielsweise die Befugnisse der integrierten Rolle zum Konfigurieren von Servern und Domänen.

11.3.9 Aktivieren der Active Directory-Druckersammlung

Die AD-Druckersammlung ist standardmäßig deaktiviert. Um sie zu aktivieren, navigieren Sie zu Configuration Management (Konfigurationsmanagement) > Update Administration Server Options (Verwaltungsserveroptionen aktualisieren) > Registerkarte General (Allgemein) und aktivieren Sie das Kontrollkästchen „Collect Printers“ (Drucker erfassen).

11.3.10 AD LDS

Sie können die AD LDS-Bereinigungsaktualisierung zur Ausführung nach Zeitplan für bestimmte Domänen konfigurieren. Die standardmäßige Einstellung ist „Nie“, d. h. es wird nie nach Zeitplan aktualisiert. Sie können außerdem den Bereinigungsstatus und spezifische Informationen zur AD LDS (ADAM)-Konfiguration anzeigen.

Um den Zeitplan zu konfigurieren oder den Status der AD LDS-Bereinigung anzuzeigen, klicken Sie im Knoten Account and Resource Management (Konto- und Ressourcenverwaltung) > All My Managed Objects (Alle meine verwalteten Objekte) mit der rechten Maustaste auf die gewünschte Domäne und wählen Sie Properties (Eigenschaften) > Adlds Cleanup Refresh Schedule (AD LDS-Bereinigungsaktualisierungszeitplan) bzw. Adlds Cleanup Status (AD LDS-Bereinigungsstatus) aus.

Um die AD LDS (ADAM)-Konfigurationsinformationen anzuzeigen, navigieren Sie zu Configuration Management Konfigurationsmanagement > Update Server Options (Serveroptionen aktualisieren) > ADAM Configuration (ADAM-Konfiguration).

11.3.11 Dynamische Gruppe

Eine dynamische Gruppe ist eine Gruppe, deren Mitgliedschaft basierend auf einem festgelegten Satz Kriterien variiert, die Sie in den Eigenschaften der Gruppe konfigurieren. In den Domäneneigenschaften können Sie konfigurieren, dass die Aktualisierung der dynamischen Gruppen für bestimmte Domänen nach einem Zeitplan ausgeführt wird. Die standardmäßige Einstellung ist „Nie“, d. h. es wird nie nach Zeitplan aktualisiert. Sie können den Aktualisierungsstatus auch manuell aktualisieren.

Um den Zeitplan zu konfigurieren oder den Status der Aktualisierung der dynamischen Gruppen anzuzeigen, klicken Sie im Knoten Account and Resource Management (Konto- und Ressourcenverwaltung) > All My Managed Objects (Alle meine verwalteten Objekte) mit der rechten Maustaste auf die gewünschte Domäne und wählen Sie Properties (Eigenschaften) > Dynamic group refresh (Aktualisierung der dynamischen Gruppe) bzw. Dynamic group status (Status der dynamischen Gruppe) aus.

Weitere Informationen zu dynamischen Gruppen finden Sie unter Dynamische Gruppen in DRA.

11.3.12 Konfigurieren des Papierkorbs

Sie können den Papierkorb für jede Microsoft Windows-Domäne bzw. für Objekte in jeder Domäne aktivieren oder deaktivieren. Außerdem können Sie konfigurieren, wann und wie die Papierkorbbereinigung ausgeführt werden soll.

Weitere Informationen zur Verwendung des Papierkorbs finden Sie unter Papierkorb.

11.3.13 Konfiguration der Berichterstellung

Die folgenden Abschnitte enthalten grundlegende Informationen über die Verwaltungsberichte in DRA und über die Berichtkollektoren, die Sie aktivieren können. Um auf den Assistenten zuzugreifen, in dem Sie die Kollektoren konfigurieren, navigieren Sie zu Configuration Management (Konfigurationsmanagement) > Update Reporting Service Configuration (Konfiguration des Berichterstellungsservices aktualisieren).

11.3.14 Befugnisse für die Konfiguration des Workflowautomatisierungsservers delegieren

Weisen Sie den Hilfsadministratoren zum Verwalten von Workflows die Rolle „Workflow Automation Server Administration“ (Workflowautomatisierungsserver-Administration) oder die unten aufgeführten zutreffenden Befugnisse zu:

So delegieren Sie Befugnisse für die Konfiguration des Workflowautomatisierungsservers:

11.3.15 Workflowautomatisierungsserver konfigurieren

Um Workflow Automation in DRA verwenden zu können, müssen Sie die Workflow Automation-Engine auf einem Windows-Server installieren und dann den Workflow Automation-Server in der Delegierungs- und Konfigurationskonsole konfigurieren.

So konfigurieren Sie den Workflowautomatisierungsserver:

Informationen zum Installieren der Workflow Automation-Engine finden Sie im Workflow Automation Administrator Guide (Workflow Automation-Administratorhandbuch) auf der DRA-Dokumentationswebsite.

11.3.16 Befugnisse für die LDAP-Suche delegieren

Mit DRA können Sie vom LDAP-Server in Vor-Ort-Bereitstellungen von Active Directory-Domänen nach LDAP-Objekten wie Benutzern, Kontakten, Computern, Gruppen und organisatorischen Einheiten suchen. Der DRA-Server verarbeitet den Vorgang und die Suche wird auf dem Domänencontroller ausgeführt. Verwenden Sie die Suchfilter, um effizientere und wirksamere Suchen auszuführen. Sie können Suchabfragen auch zur späteren Verwendung speichern und entweder als öffentliche Abfrage freigeben oder zur persönlichen Verwendung als privat markieren. Die gespeicherten Abfragen können Sie bearbeiten. Die Rolle „LDAP Advanced Queries“ (Erweiterte LDAP-Abfragen) erteilt Hilfsadministratoren Befugnisse zum Erstellen und Verwalten von LDAP-Suchabfragen. Mit den folgenden Befugnissen können Sie die Erstellung und Verwaltung von LDAP-Suchabfragen delegieren:

So delegieren Sie Befugnisse für LDAP-Abfragen:

Um in der Webkonsole auf die Suchfunktion zuzugreifen, wechseln Sie zu Management > LDAP Search (Management > LDAP-Suche).

11.4.1 Change Guardian-Windows-Agent installieren

Bevor Sie mit der Integration von DRA und CG beginnen, installieren Sie den Change Guardian-Windows-Agenten. Weitere Informationen finden Sie im Change Guardian Installation and Administration Guide (Installations- und Administrationshandbuch für Change Guardian).

11.4.2 Active Directory-Lizenzschlüssel hinzufügen

Sie müssen Lizenzen sowohl für den Change Guardian-Server als auch für Anwendungen oder Module hinzufügen, die Sie überwachen möchten. Weitere Informationen finden Sie im Change Guardian Installation and Administration Guide (Installations- und Administrationshandbuch für Change Guardian).

11.4.3 Active Directory konfigurieren

Beachten Sie die Informationen in den folgenden Abschnitten zur Konfiguration von Active Directory für den Änderungsverlauf:

11.4.4 Active Directory-Richtlinie erstellen und zuweisen

Sie können eine neue Richtlinie ohne vorkonfigurierte Einstellungen erstellen.

11.4.5 Active Directory-Domänen verwalten

Informationen zum Konfigurieren einer Domäne in DRA als verwaltete Domäne finden Sie unter Verwalten von Active Directory-Domänen.

11.4.6 Ereignisstempel in DRA aktivieren

Wenn die AD Domain Services-Überwachung aktiviert ist, werden DRA-Ereignisse als vom DRA-Servicekonto oder vom Domänenzugriffskonto generiert protokolliert, sofern eines dieser Konten konfiguriert ist. Ereignisstempel erweitern diese Funktion und generieren ein zusätzliches AD DS-Ereignis, das den Hilfsadministrator identifiziert, der den Vorgang ausgeführt hat.

Damit diese Ereignisse generiert werden, müssen Sie die AD DS-Überwachung konfigurieren und Ereignisstempel auf dem DRA-Verwaltungsserver aktivieren. Wenn Ereignisstempel aktiviert sind, können Sie die von den Hilfsadministratoren vorgenommenen Änderungen in den Change Guardian-Ereignisberichten anzeigen.

Weitere Informationen zu Ereignisstempeln finden Sie unter Funktionsweise von Ereignisstempeln.

11.4.7 Unified-Änderungsverlauf konfigurieren

Mit der Unified-Änderungsverlauf-Serverfunktion (UCH, Unified Change History) können Sie Berichte zu außerhalb von DRA vorgenommenen Änderungen generieren.

11.4.8 Auf Unified-Änderungsverlaufsberichte zugreifen

Informationen zum Generieren und Anzeigen von Unified-Änderungsverlaufsberichten für Active Directory-Objekte über Change Guardian finden Sie unter Generating Change History Reports (Generieren von Änderungsverlaufsberichten) im Directory and Resource Administrator User Guide (Directory and Resource Administrator-Benutzerhandbuch).

11.7.1 Starten der Webkonsole

Sie können die Webkonsole von einem beliebigen Computer, iOS-Gerät oder Android-Gerät aus mit einem Webbrowser starten. Geben Sie zum Starten der Konsole die entsprechende URL in das Adressfeld des Webbrowsers ein. Wenn Sie die Webkomponente beispielsweise auf dem Computer „HOUserver“ installiert haben, geben Sie in das Adressfeld des Webbrowsers die Zeichenfolge https://HOUserver/draclient ein.

11.7.2 Automatische Abmeldung

Sie können ein Zeitinkrement definieren und festlegen, dass die Webkonsole bei Inaktivität nach einer bestimmten Zeit eine automatische Abmeldung ausführt. Alternativ können Sie festlegen, dass die Webkonsole nie eine automatische Abmeldung ausführt.

Um die automatische Abmeldung in der Webkonsole zu konfigurieren, wechseln Sie zu Administration > Konfiguration > Automatische Abmeldung.

11.7.3 DRA-Serververbindung

Sie können eine der folgenden Optionen zur Anmeldung bei der Webkonsole verwenden. Die folgende Tabelle zeigt das Verhalten jeder Option bei der Anmeldung:

Um die DRA-Serververbindung in der Webkonsole zu konfigurieren, wechseln Sie zu Administration > Konfiguration >DRA-Serververbindung.

11.7.4 Authentifizierung

Dieser Abschnitt enthält Informationen über die Konfiguration der Smartcard-Authentifizierung, der Windows-Authentifizierung und der Multifaktor-Authentifizierung mit der Advanced Authentication-Integration.

12.1.1 Hinzufügen von verwalteten Domänen und Computern

12.1.2 Festlegen von Domänenzugriffskonten

Für jede verwaltete Domäne bzw. jeden verwalteten Teilbaum können Sie ein Konto festlegen, das anstelle des Verwaltungsserver-Servicekontos für den Zugriff auf diese Domäne verwendet werden soll. Dieses alternative Konto wird als Zugriffskonto bezeichnet. Um ein Zugriffskonto zu konfigurieren, müssen Sie über die entsprechenden Befugnisse verfügen, beispielsweise über die in der integrierten Rolle zum Konfigurieren von Servern und Domänen enthaltenen Befugnisse.

Um ein Zugriffskonto für einen Mitgliedsserver festzulegen, müssen Sie zur Verwaltung der Domäne berechtigt sein, in der das Domänenmitglied vorhanden ist. Sie können Domänenmitglieder nur verwalten, wenn sie in einer verwalteten Domäne enthalten sind, auf die Sie über den Verwaltungsserver zugreifen können.

Informationen zur Konfiguration dieses Konto mit den niedrigsten Berechtigungen finden Sie in DRA-Zugriffskonten mit niedrigsten Berechtigungen.

12.1.3 Festlegen von Exchange-Zugriffskonten

Für jede Domäne in DRA verwalten Sie Exchange-Objekte mit dem DRA-Domänenzugriffskonto oder mit einem separaten Exchange-Zugriffskonto. Um ein Exchange-Zugriffskonto zu konfigurieren, müssen Sie über die entsprechenden Befugnisse verfügen, beispielsweise über die in der integrierten Rolle zum Konfigurieren von Servern und Domänen enthaltenen Befugnisse.

Informationen zur Konfiguration dieses Konto mit den niedrigsten Berechtigungen finden Sie in DRA-Zugriffskonten mit niedrigsten Berechtigungen.

12.1.4 Hinzufügen eines verwalteten Teilbaums

Sie können verwaltete und fehlende Teilbäume von spezifischen Microsoft Windows-Domänen hinzufügen, nachdem Sie den Verwaltungsserver installiert haben. Um einen verwalteten Teilbaum hinzuzufügen, müssen Sie über die entsprechenden Befugnisse verfügen, beispielsweise über die in der integrierten Rolle zum Konfigurieren von Servern und Domänen enthaltenen Befugnisse.

Weitere Informationen zu den unterstützten Microsoft Windows-Versionen finden Sie in Anforderungen an den DRA-Verwaltungsserver und die Webkonsole.

Durch Verwalten eines Teilbaums einer Windows-Domäne können Sie DRA zum sicheren Verwalten einer Abteilung oder eines Geschäftsbereichs innerhalb einer größeren Unternehmensdomäne verwenden.

Beispielsweise können Sie einen Teilbaum für Houston in der Domäne SUEDWEST festlegen, sodass DRA zur Verwaltung nur der Objekte in der organisatorischen Einheit „Houston“ und deren untergeordneten organisatorischen Einheiten verwendet wird. Auf diese Weise können Sie flexibel einen oder mehrere Teilbäume verwalten, ohne Verwaltungsberechtigungen für die gesamte Domäne zu benötigen.

12.1.5 Hinzufügen einer verbürgten Domäne

Verbürgte Domänen ermöglichen die Benutzerauthentifizierung in verwalteten Systemen in der gesamten verwalteten Umgebung. Nachdem Sie eine verbürgte Domäne hinzugefügt haben, können Sie Domänen- und Exchange-Zugriffskonten festlegen, Cache-Aktualisierungen planen und weitere Aktionen in den Eigenschaften der Domäne wie für eine verwaltete Domäne ausführen.

So fügen Sie eine verbürgte Domäne hinzu:

12.2.1 LDAP über SSL (LDAPS) aktivieren

Befolgen Sie die unten aufgeführten Schritte, wenn Sie von DRA 9.x auf DRA 10.x aufrüsten. Wenn Sie DRA für eine Neuinstallation konfigurieren, beachten Sie die Anweisungen in Hinzufügen von verwalteten Domänen und Computern.

12.2.2 Automatische Erkennung für LDAPS konfigurieren

Die automatische Erkennung bezeichnet den Mechanismus, mit dem der Client automatisch eine Verbindung zur verfügbaren DRA-Umgebung herstellt.

Um DRA für eine Umgebung zu konfigurieren, in der sicheres Active Directory ausgeführt wird, konfigurieren Sie den Registrierungsschlüssel ClientSSLAllDomains:

12.3.1 Anzeigen und Ändern der Eigenschaften einer Domäne für öffentliche Ordner

So können Sie die Eigenschaften einer Domäne für öffentliche Ordner anzeigen und ändern:

12.3.2 Delegieren von Befugnissen für öffentliche Ordner

Mit Aktivansichten können Sie Befugnisse definieren und Delegierungen für öffentliche Ordner verwalten. Sie können Regeln zum Hinzufügen verwalteter Objekte festlegen, Domänen wählen und Befugnisse zuweisen und dann Hilfsadministratoren diese Befugnisse für öffentliche Ordner delegieren.

So erstellen Sie eine Aktivansicht und delegieren Befugnisse für öffentliche Ordner:

Nachdem Sie das Delegieren von Befugnissen für öffentliche Ordner abgeschlossen haben, können die autorisierten Benutzer Eigenschaften von öffentlichen Ordnern in konfigurierten Domänen mit der Webkonsole erstellen, lesen, aktualisieren und löschen.

12.5.1 Hinzufügen eines neuen Azure-Mandanten

Um einen neuen Azure-Mandanten zu verwalten, müssen Sie eine Azure-Anwendung offline mithilfe des von DRA bereitgestellten PowerShell-Skripts erstellen. DRA erteilt der Azure-Anwendung automatisch die erforderlichen Berechtigungen zum Verwalten der Objekte im Mandanten. Eine Liste der für die Azure-Anwendung erforderlichen Berechtigungen finden Sie unter DRA-Zugriffskonten mit niedrigsten Berechtigungen.

So erstellen Sie eine Azure-Anwendung für DRA und fügen einen Azure-Mandanten hinzu:

12.5.2 Manuelles Hochladen eines Zertifikats

Wenn Sie Ihr eigenes Zertifikat verwenden möchten oder wenn das vorhandene benutzerdefinierte Zertifikat abgelaufen ist und Sie ein neues Zertifikat angeben möchten, können Sie das Zertifikat über die Seite mit den Azure-Mandanteneigenschaften hochladen. Die unterstützten Zertifikatdateiformate sind PFX und CER.

So laden Sie ein Zertifikat hoch:

12.5.3 Konfigurieren der zertifikatbasierten Authentifizierung für eine Azure-Anwendung nach der Aufrüstung auf 10.2

Nach der Aufrüstung auf DRA 10.2 können Sie von der Standardauthentifizierung zur zertifikatbasierten Authentifizierung wechseln und die Azure-Anwendung für die Verwendung der zertifikatbasierten Authentifizierung konfigurieren. Die Azure-Anwendung erfordert zusätzliche Berechtigungen für die zertifikatbasierte Authentifizierung. Um die erforderlichen Berechtigungen auf die Azure-Anwendung anzuwenden, müssen Sie das Skript UpdateDraAzureApplicationPermission.ps1 ausführen.

Führen Sie die folgenden Schritte aus, um die Azure-Anwendung nach der Aufrüstung zur Verwendung der zertifikatbasierten Authentifizierung einzurichten:

12.5.4 Zurücksetzen des geheimen Clientschlüssels für eine Azure-Anwendung

Führen Sie die folgenden Schritte aus, wenn Sie den geheimen Clientschlüssel für eine Azure-Anwendung zurücksetzen müssen.

So setzen Sie den geheimen Clientschlüssel für eine Azure-Anwendung zurück:

12.5.5 Konfigurieren der Azure-Gastbenutzereinladung

Wenn Sie Azure-Gastbenutzer zu Azure Active Directory einladen, sendet DRA eine Email an den Azure-Gastbenutzer mit einer benutzerdefinierten Begrüßungsnachricht, die einen Einladungslink enthält. Sie können diese Begrüßungsnachricht und den Einladungslink oder die Weiterleitungs-URL, die in der Einladung angezeigt werden sollen, konfigurieren. Ein Azure-Gastbenutzer wird nach Annahme der Einladung an die konfigurierte URL umgeleitet, bei der sich Azure-Gastbenutzer mit ihrem Berechtigungsnachweis anmelden können.

So konfigurieren Sie die Gastbenutzereinladung:

12.6.1 Passwort manuell zurücksetzen

Verwenden Sie die Delegierungs- und Konfigurationskonsole, um das Passwort für ein Zugriffskonto manuell zurückzusetzen.

So setzen Sie das Passwort für ein Zugriffskonto manuell zurück:

12.6.2 Auftrag zum Zurücksetzen des Passworts planen

Sie können den Auftrag „Passwort zurücksetzen“ so planen, dass er in einem vordefinierten Intervall ausgeführt wird, um ablaufende Passwörter für Ihre Zugriffskonten zurückzusetzen. Der Auftrag setzt alle Zugriffskontopasswörter zurück, die vor der geplanten Ausführung des Auftrags ablaufen. Ein neues Passwort wird automatisch gemäß der Passwortrichtlinie generiert.

Der Auftrag ist standardmäßig deaktiviert. Sie können den Auftrag einmal pro Woche oder in einem bestimmten Intervall entsprechend Ihrer Anforderung planen. Wenn Sie in einer MMS-Umgebung den Auftrag auf dem Primärserver konfigurieren, stellen Sie sicher, dass der Auftrag auf allen Servern im MMS konfiguriert ist.

So konfigurieren Sie den Auftrag:

13.2.1 Grundlegendes zu integrierten Richtlinien

Integrierte Richtlinien stellen Geschäftsregeln zur Bewältigung allgemeiner Aspekte in Bezug auf die Gewährleistung der Sicherheit und der Datenintegrität bereit. Diese Richtlinien sind Bestandteil des standardmäßigen Sicherheitsmodells und ermöglichen die Integration der DRA-Sicherheitsfunktionen in die vorhandene Unternehmenskonfiguration.

DRA bietet zwei Möglichkeiten zum Erzwingen von Richtlinien. Sie können benutzerdefinierte Richtlinien erstellen oder aus verschiedenen integrierten Richtlinien wählen. Die integrierten Richtlinien ermöglichen ein einfaches Anwenden von Richtlinien, ohne dass benutzerdefinierte Skripte entwickelt werden müssen. Wenn Sie eine benutzerdefinierte Richtlinie müssen, können Sie eine vorhandene integrierte Richtlinie verwenden und an Ihre Anforderungen anpassen. Für die meisten Richtlinien können Sie den Fehlermeldungstext ändern, die Richtlinie umbenennen, eine Beschreibung hinzufügen und festlegen, wie die Richtlinie angewendet werden soll.

Bei der Installation von DRA werden mehrere integrierte Richtlinien aktiviert. Die folgenden Richtlinien werden standardmäßig implementiert. Wenn Sie diese Richtlinien nicht erzwingen möchten, können Sie sie deaktivieren oder löschen.

13.2.2 Verfügbare Richtlinien

DRA stellt mehrere Richtlinien bereit, die Sie für ihr Sicherheitsmodell anpassen können.

13.2.3 Arbeiten mit integrierten Richtlinien

Integrierte Richtlinien sind Bestandteil des standardmäßigen Sicherheitsmodells. Sie können diese Richtlinien zum Erzwingen des aktuellen Sicherheitsmodells verwenden oder sie an Ihre besonderen Anforderungen anpassen. Sie können den Namen, die Regeleinstellungen, den Umfang, die Richtlinienbeziehung und die Fehlermeldung verschiedener integrierter Richtlinien ändern. Sie können jede integrierte Richtlinie aktivieren oder deaktivieren.

Außerdem können Sie ganz einfach neue Richtlinien erstellen.

13.4.1 Einschränkbare native integrierte Sicherheitsgruppen

Mit DRA-Richtlinien können Sie die Befugnisse der folgenden integrierten Microsoft Windows-Sicherheitsgruppen einschränken:

13.4.2 Einschränken der Aktionen auf nativen integrierten Sicherheitsgruppen

Mithilfe einer Richtlinie beschränkt DRA die Befugnisse, die von den nativen integrierten Sicherheitsgurten und deren Mitgliedern ausgeübt werden können. Diese Richtlinie, $SpecialGroupsPolicy, schränkt die Aktionen ein, die ein Mitglied einer nativen integrierten Sicherheitsgruppe auf andere Mitglieder oder andere native integrierte Sicherheitsgruppen ausführen kann. Diese Richtlinie ist in DRA standardmäßig aktiviert. Wenn Sie die Aktionen für native integrierte Sicherheitsgruppen und deren Mitglieder nicht einschränken möchten, können Sie diese Richtlinie deaktivieren.

Wenn diese Richtlinie aktiviert ist, verwendet DRA die folgenden Validierungstests, um zu bestimmen, ob eine Aktion auf eine native integrierte Sicherheitsgruppe oder deren Mitglieder zulässig ist:

Wenn Sie beispielsweise Mitglied der Gruppen der Serveroperatoren und der Kontenoperatoren sind und über die entsprechenden Befugnisse verfügen, können Sie Aktionen für Mitglieder der Gruppe der Serveroperatoren, Mitglieder der Gruppe der Kontenoperatoren und Mitglieder beider Gruppen ausführen. Sie können jedoch keine Aktionen für ein Benutzerkonto ausführen, das Mitglied der Gruppe der Druckoperatoren und der Gruppe der Kontenoperatoren ist.

DRA verhindert, dass Sie die folgenden Aktionen in nativen integrierten Sicherheitsgruppen ausführen:

DRA schränkt außerdem die Aktionen ein, um sicherzustellen, dass keine Befugnisse über ein Objekt erlangt werden. Wenn Sie beispielsweise ein Benutzerkonto zu einer Gruppe hinzufügen, überprüft DRA, ob Sie dadurch zusätzliche Befugnisse über das Benutzerkonto erhalten. Diese Überprüfung trägt zum Schutz vor einer Befugniseskalation bei.

13.5.1 Microsoft Exchange-Richtlinie

Exchange stellt mehrere Richtlinien bereit, mit denen Sie Microsoft Exchange-Objekte effizienter verwalten können. Mit der Microsoft Exchange-Richtlinie können Sie die Postfachverwaltung automatisieren, Benennungskonventionen für Aliasse erzwingen und Postfachspeicher erzwingen und automatisch Email-Adressen erzeugen.

Mit diesen Richtlinien können Sie Ihre Workflows optimieren und die Datenintegrität erhalten. Beispielsweise können Sie festlegen, wie Exchange Postfächer verwaltet, wenn Sie Benutzerkonten erstellen, ändern oder löschen. Zum Definieren und Verwalten von Microsoft Exchange-Richtlinien müssen Sie über die erforderlichen Befugnisse verfügen, beispielsweise über die Befugnisse der integrierten Rolle „Manage Policies and Automation Triggers“ (Richtlinien und Automatisierungsauslöser verwalten).

13.5.2 Office 365-Lizenzrichtlinie

Zum Festlegen von Office 365-Lizenzrichtlinien müssen Sie über die erforderlichen Befugnisse verfügen, beispielsweise über die Befugnisse der integrierten Rolle „Manage Policies and Automation Triggers“ (Richtlinien und Automatisierungsauslöser verwalten). Außerdem muss Ihre Lizenz das Microsoft Exchange-Produkt unterstützen.

13.5.3 Erstellen und Implementieren einer Basisverzeichnis-Richtlinie

Wenn Sie eine große Anzahl an Benutzerkonten verwalten, kann das Erstellen und Pflegen der Basisverzeichnisse und Freigaben sehr zeitaufwendig und eine Quelle von Sicherheitsfehlern sein. Jedes Mal, wenn ein Benutzer erstellt, umbenannt oder gelöscht wird, ist möglicherweise eine zusätzliche Wartung erforderlich. Die Basisverzeichnisrichtlinien unterstützen Sie beim Warten der Basisverzeichnisse und Basisfreigaben.

Mit DRA können Sie das Erstellen und Pflegen von Benutzerbasisverzeichnissen automatisieren. Sie können DRA beispielsweise ganz einfach so konfigurieren, dass der Verwaltungsserver ein Basisverzeichnis erstellt, wenn ein Benutzerkonto erstellt wird. Wenn Sie beim Erstellen eines Benutzerkontos einen Basisverzeichnispfad angeben, erstellt der Server in diesem Fall automatisch das Basisverzeichnis am festgelegten Pfad. Wenn Sie keinen Pfad angeben, erstellt der Server kein Basisverzeichnis.

DRA unterstützt DFS-Pfade (Distributed File System) für das Erstellen von Benutzerbasisverzeichnissen und das Konfigurieren der Basisverzeichnisrichtlinien für Benutzer in zulässigen übergeordneten Pfaden. Sie können Basisverzeichnisse in Netapp Filers und DFS-Pfade oder Partitionen erstellen, umbenennen und löschen.

13.5.4 Passwortgenerierung zulassen

Mit dieser Funktion können Sie Richtlinieneinstellungen für die von DRA generierten Passwörter festlegen. DRA erzwingt diese Einstellungen nicht für Passwörter, die von Benutzern erstellt werden. Beim Konfigurieren der Eigenschaften der Passwortrichtlinie darf die Passwortlänge nicht auf weniger als 6 Zeichen oder mehr als 127 Zeichen festgelegt werden. Alle Werte außer der Passwortlänge und der Höchstgrenze können auf null gesetzt werden.

Um Richtlinien für die Passwortgenerierung zu konfigurieren, navigieren Sie zu Policy and Automation Management (Richtlinien- und Automatisierungsmanagement) > Configure Password Generation Policies (Richtlinien für die Passwortgenerierung konfigurieren) und aktivieren Sie das Kontrollkästchen Enable Password Policy (Passwortrichtlinie aktivieren). Klicken Sie auf Password Settings (Passworteinstellungen) und konfigurieren Sie die Eigenschaften der Passwortrichtlinie.

13.5.5 Richtlinienaufgaben

Zum Löschen, Aktivieren oder Deaktivieren von Richtlinien müssen Sie über die erforderlichen Befugnisse verfügen, beispielsweise über die Befugnisse der integrierten Rolle „Manage Policies and Automation Triggers“ (Richtlinien und Automatisierungsauslöser verwalten).

Um eine dieser Aktionen auszuführen, navigieren Sie zu Policy and Automation Management (Richtlinien- und Automatisierungsmanagement) > Policy (Richtlinie). Klicken Sie im rechten Bereich mit der rechten Maustaste auf die Richtlinie, die Sie löschen, aktivieren oder deaktivieren möchten, und wählen Sie die gewünschte Aktion aus.

13.6.1 Festlegen einer Richtlinie für die automatische Postfachbenennung

Um Optionen für die automatisierte Benennung von Postfächern festzulegen, müssen Sie über die entsprechenden Befugnisse verfügen, beispielsweise über die Befugnisse, die in der integrierten Rolle „Manage Policies and Automation Triggers“ (Richtlinien und Automatisierungsauslöser verwalten) enthalten sind. Außerdem muss Ihre Lizenz das Exchange-Produkt unterstützen.

13.6.2 Festlegen einer Richtlinie für die Ressourcenbenennung

Um Optionen für die Benennung von Ressourcen festzulegen, müssen Sie über die entsprechenden Befugnisse verfügen, beispielsweise über die Befugnisse, die in der integrierten Rolle „Manage Policies and Automation Triggers“ (Richtlinien und Automatisierungsauslöser verwalten) enthalten sind. Außerdem muss Ihre Lizenz das Exchange-Produkt unterstützen.

13.6.3 Festlegen einer Richtlinie für die Archivbenennung

Um Optionen für die Benennung von Archiven festzulegen, müssen Sie über die entsprechenden Befugnisse verfügen, beispielsweise über die Befugnisse, die in der integrierten Rolle „Manage Policies and Automation Triggers“ (Richtlinien und Automatisierungsauslöser verwalten) enthalten sind. Außerdem muss Ihre Lizenz das Exchange-Produkt unterstützen.

16.1.1 Aktivieren und Deaktivieren der Windows-Ereignisprotokollrevision für DRA

Bei der Installation von DRA werden Revisionsereignisse standardmäßig nicht im Windows-Ereignisprotokoll protokolliert. Sie können diese Art der Protokollierung durch Änderung eines Registrierungsschlüssels aktivieren.

16.1.2 Gewährleisten der Revisionsintegrität

Um sicherzustellen, dass alle Benutzeraktionen überwacht werden, stellt DRA alternative Protokollierungsmethoden zur Verfügung, wenn das Produkt die Protokollierungsaktivität nicht überprüfen kann. Bei der Installation von DRA werden der AuditFailsFilePath-Schlüssel und -Pfad zur Registrierung hinzugefügt, um die folgenden Aktionen zu gewährleisten:

Um Schreibvorgänge zu ermöglichen, während das Protokollarchiv nicht verfügbar ist, müssen Sie außerdem einen Wert für den Registrierungsschlüssel „AllowOperationsOnAuditFailure“ festlegen.

16.2.1 Arbeiten mit dem Dienstprogramm „Log Archive Viewer“ (Protokollarchivanzeige)

Mit dem Dienstprogramm für die Protokollarchivanzeige können Sie die in den Protokollarchivdateien gespeicherten Daten anzeigen. Das Dienstprogramm wird mit NetIQ DRA Log Archive Resource Kit (LARK) bereitgestellt, einem Ressourcenkit, den Sie wahlweise mit DRA installieren können. Weitere Informationen finden Sie in der NetIQ DRA Log Archive Resource Kit Technical Reference (Technische Referenz zu NetIQ DRA Log Archive Resource Kit).

16.2.2 Sichern von Protokollarchivdateien

Eine Protokollarchivdatei ist eine Sammlung an Datensatzblöcken. Da Protokollarchivdateien komprimierte Dateien im Binärformat sind, die sich außerhalb einer physischen Datenbank befinden, benötigen Sie Microsoft SQL Server Management Studio nicht zum Sichern der Protokollarchive. Wenn ein automatisiertes Dateisicherungssystem eingerichtet ist, werden die Protokollarchivdateien automatisch wie Ihre anderen Dateien gesichert.

Zur Planung der Sicherungsstrategie haben sich die folgenden Methoden bewährt:

16.2.3 Ändern der Einstellungen für die Protokollarchivbereinigung

Bei der Installation von DRA ist die Protokollarchivbereinigung standardmäßig deaktiviert. Wenn Sie regelmäßige Sicherungsprozeduren für Protokollarchivdateien einrichten, sollten Sie die Protokollarchivbereinigung archivieren, um den Speicherplatz zu erhalten. Im Konfigurationsprogramm für das Protokollarchiv können Sie die Anzahl der Tage ändern, nach der Protokollarchivpartitionen bereinigt werden.

17.1.1 Anzeigen des Kollektor-Status

Auf der Registerkarte „Collectors Status“ (Kollektorstatus) können Sie Details zu jedem Daten-Kollektor anzeigen.

17.1.2 Aktivieren der Berichterstellung und Datensammlung

Nachdem Sie die Komponenten der DRA-Berichterstellung installiert haben, aktivieren und konfigurieren Sie die Sammlung von Berichterstellungsdaten für den Zugriff auf Reporting Center-Berichte.

Informationen über das Konfigurieren von spezifischen Kollektoren finden Sie in Konfiguration der Berichterstellung.

17.2.1 Berichterstellung zu Objektänderungen

Durch Generieren von Aktivitätsdetailberichten können Sie in Echtzeit Informationen zu Änderungen an Objekten in den Domänen anzeigen. Sie können beispielsweise eine Liste der Änderungen anzeigen, die innerhalb eines bestimmten Zeitraums an einem Objekt oder von einem Objekt vorgenommen wurden. Sie können die Aktivitätsdetailberichte auch exportieren und drucken.

17.2.2 Berichterstellung zu Objektlisten

Sie können Daten aus Objektlisten exportieren oder drucken. Mit dieser Funktion können Sie schnell und einfach Berichte über allgemeine Informationen zu den verwalteten Objekte erstellen und verteilen.

Beim Exportieren einer Objektliste können Sie den Speicherort, den Namen und das Format der Datei angeben. DRA unterstützt die Formate HTML, CSV und XML, d. h. Sie können diese Informationen zu Datenbankanwendungen exportieren oder Listenergebnisse auf einer Website publizieren.

17.2.3 Berichterstellung zu Objektdetails

Sie können Daten aus den Detail-Registerkarten, die Objektattribute wie Gruppenmitgliedschaften enthalten, exportieren oder drucken. Mit dieser Funktion können Sie schnell und einfach Berichte zu häufig benötigten Details über bestimmte Objekte erstellen und verteilen.

Beim Exportieren einer Objektdetails-Registerkarte können Sie den Speicherort, den Namen und das Format der Datei angeben. DRA unterstützt die Formate HTML, CSV und XML, d. h. Sie können diese Informationen zu Datenbankanwendungen exportieren oder Listenergebnisse auf einer Website publizieren.