Active Directory-Import

Im Menü Extras finden Sie die Option Active Directory-Import, über die Sie den gleichnamigen Assistenten starten können. Der Active Directory-Import ist erforderlich, wenn Sie möchten, dass sich Ihre Benutzer per Single Sign-On (SSO) am Enterprise Server anmelden können. In diesem Fall verwendet ein Benutzer für den Login seine Windows NT-Zugangsdaten. Zuvor ist allerdings der korrekte Active Directory-Import zwingend erforderlich.

HINWEIS: Der WinNT-Provider wurde durch einen leistungsfähigeren LDAP-Provider ersetzt. Außerdem wurde die Funktionalität des Active Directory-Imports erweitert.

Password Depot unterstützt zudem verschachtelte AD-Gruppen.

WARNUNG: Wenn Gruppe A ein Mitglied von Gruppe B ist und Gruppe A über den integrierten AD-Assistenten importiert wird, werden auch Gruppe B und ihre Benutzer importiert (sofern die Markierung nicht manuell entfernt wird).

Auf der Startseite des Assistenten müssen Sie zunächst Angaben zur Domäne machen, aus der Sie die Benutzer/Gruppen importieren möchten:

LDAP-Pfad

Geben Sie den LDAP-Pfad, den Domänennamen oder die IPv4-Adresse Ihres AD-Servers ein, um AD-Benutzer zu synchronisieren.

  • Protokoll-Dropdown: Wählen Sie das gewünschte Protokoll aus der Dropdown-Liste links neben dem Eingabefeld. Zur Auswahl stehen LDAP:// (Standard) und GC:// (Global Catalog, für die Suche über mehrere Domänen innerhalb einer Gesamtstruktur).
  • Verbindungsfeld: Geben Sie im Eingabefeld den Pfad ein, z. B. DC=meineDomäne,DC=com. Das Feld speichert bis zu 10 zuvor verwendete Einträge und schlägt automatisch den Standard-Namenskontext Ihrer Domäne vor.

Anmelden

  • Anmelden als aktueller Benutzer: Wählen Sie diese Option, wenn Sie sich mit dem aktuellen Windows-Benutzer anmelden möchten, um den Active Directory-Import durchzuführen. Der aktuelle Benutzer ist dabei der, mit dem Sie sich zuvor an Windows angemeldet haben.
  • Dieses Konto verwenden: Wählen Sie diese Option, um einen anderen Benutzer für den AD-Import anzugeben. Es werden zwei weitere Felder aktiviert:
    • Benutzername: Geben Sie hier den Benutzernamen des Kontos ein, das über Lesezugriff auf die Active Directory verfügt. Normalerweise ist dies der Domänen-Administrator.
    • Kennwort: Geben Sie hier das zugehörige Kennwort ein.

    HINWEIS: Der Password Depot Enterprise Server verwendet standardmäßig das SYSTEM-Konto des Rechners, auf dem der Server installiert ist und läuft. Stellen Sie daher sicher, dass das Konto, das zum AD-Import verwendet wird (insbesondere dann, wenn es nicht das aktuelle Benutzerkonto ist), vollen Lesezugriff auf die Active Directory Ihrer Domäne hat, da ansonsten der Import nicht korrekt erfolgen kann.

Zusätzliche Optionen

  • Explorer-Modus: Mit diesem Modus können Sie die vorhandenen Ordner im Active Directory durchsuchen. Im Anschluss wird Ihnen in einem neuen Dialogfenster die Active Directory-Struktur als Baumansicht angezeigt, aus der Sie dann die entsprechenden Benutzer/Gruppen zum Import auswählen können.
  • Suchmodus: Mit diesem Modus können Sie in der Active Directory nach Benutzern und Gruppen anhand von Name und Beschreibung suchen. Die Suchergebnisse werden in einer Liste mit Kontrollkästchen angezeigt.
  • Alle Container rekursiv scannen: Hierbei liest/scannt der Assistent das gesamte Active Directory-Verzeichnis. Dies kann in manchen Fällen sehr viel Zeit in Anspruch nehmen. Die Option sollte daher nur beim allerersten Mal nach dem Import von Daten aus älteren Versionen des Password Depot Enterprise Servers verwendet werden, um alle WinNT-Pfade zuverlässig durch LDAP-Pfade zu ersetzen. Ist die Option nicht aktiviert, arbeitet der Assistent wie ein normaler Active Directory-Explorer, d. h. er öffnet nur das angegebene Objekt und scannt den Container erst, wenn Sie diesen erweitern.
  • Gelöschte Objekte überprüfen: Mit dieser Option werden gelöschte Objekte (z. B. Benutzer oder Gruppen) in der Active Directory erkannt und mit den in Password Depot Enterprise Server vorhandenen Einträgen abgeglichen. Werden gelöschte Objekte gefunden, wird nach der Auswahl ein zusätzlicher Schritt angezeigt (siehe unten).
  • SSL verwenden: Aktivieren Sie diese Option, sofern Ihre Active Directory SSL erfordert.

Klicken Sie auf Anmelden, sobald Sie alle notwendigen Einstellungen gesetzt haben.

Benutzer und Gruppen auswählen

Wenn die Anmeldung erfolgreich war, wird je nach gewähltem Modus das entsprechende Fenster angezeigt:

  • Explorer-Modus: Sie sehen den Active Directory-Baum mit Kontrollkästchen. Die Spalten Name, Typ, Abteilung und Beschreibung zeigen Details zu jedem Objekt. Falls Sie sehr viele Einträge haben, können Sie die Ansicht unten links im Feld Filter einschränken. Über die Funktion Auswahl umkehren können Sie alle Kontrollkästchen invertieren.
  • Suchmodus: Geben Sie einen Suchbegriff im Feld Name und/oder Beschreibung ein, um die gewünschten Benutzer und Gruppen zu finden. Die Ergebnisse werden in einer Liste angezeigt, in der Sie die gewünschten Einträge per Kontrollkästchen markieren können.

TIPP: Sollte der Filter keine Benutzer oder Gruppen finden, gehen Sie zurück, aktivieren Sie die Option Alle Container rekursiv scannen und führen Sie den Vorgang noch einmal durch.

Wählen Sie die gewünschten Benutzer und/oder Gruppen aus, indem Sie die entsprechenden Kontrollkästchen markieren. Klicken Sie abschließend auf Importieren.

Gelöschte Objekte behandeln

Wenn die Option Gelöschte Objekte überprüfen aktiviert war und Objekte gefunden wurden, die in der Active Directory gelöscht, aber noch im Enterprise Server vorhanden sind, wird ein zusätzliches Fenster angezeigt. Für jedes betroffene Objekt können Sie eine der folgenden Aktionen auswählen:

  • Ignorieren: Das Objekt bleibt im Enterprise Server unverändert.
  • Deaktivieren: Das Objekt wird im Enterprise Server deaktiviert, aber nicht gelöscht.
  • Löschen: Das Objekt wird endgültig aus dem Enterprise Server entfernt.

Wählen Sie einen oder mehrere Einträge aus und klicken Sie auf die gewünschte Aktionsschaltfläche. Klicken Sie anschließend auf Importieren, um den Vorgang fortzusetzen.

Import-Ergebnisse

Nach Abschluss des Imports werden Ihnen die Ergebnisse in einer Übersicht angezeigt. Für jeden importierten oder aktualisierten Benutzer bzw. jede Gruppe wird der Status angezeigt (z. B. „Erfolgreich hinzugefügt" oder „Erfolgreich aktualisiert"). Klicken Sie auf Schließen, um den Assistenten zu beenden.

HINWEIS: Grundsätzlich kann Password Depot Enterprise Server nicht mit OUs (Organisationseinheiten) arbeiten. Diese werden zwar im Import-Assistenten der Einfachheit halber angezeigt, es werden prinzipiell aber nur AD-Objekte wie Benutzer oder Gruppen mit dem Server synchronisiert.

TIPP: Sie können Benutzer und Gruppen auch einzeln mit der Active Directory synchronisieren. Wählen Sie hierzu den entsprechenden Benutzer oder die entsprechende Gruppe aus und klicken Sie im Anschluss im Server-Manager rechts auf Synchronisieren.

HINWEIS: Welche Einstellungen für die Anmeldung am Enterprise Server per Integrierter Windows-Authentifizierung (SSO) sowohl im Server-Manager als auch im Client notwendig sind, erfahren Sie hier: Anmeldung des Clients am Server per Single Sign-On (SSO). Bitte beachten Sie zudem, dass der PC, von dem die Anmeldung stattfinden soll, Mitglied im AD sein muss, ansonsten kann die Anmeldung nicht erfolgen. Ein Computer muss im AD sein, damit die Authentifizierung überhaupt stattfinden kann. Wenn Sie AD-Benutzer mit dem Enterprise Server synchronisieren, dann „kennt" Password Depot die Kennwörter der Benutzer nicht und speichert diese auch nicht auf dem Server ab. Bei der Authentifizierung wird das vom Benutzer eingegebene Kennwort an die Active Directory gesendet und Password Depot erhält als Antwort, ob das Kennwort korrekt ist oder nicht. Daher ist es erforderlich, dass der Computer im AD angemeldet ist.