Active Directory-Synchronisation

Im Menü Extras finden Sie die Option  Active Directory-Synchronisation, über die Sie den gleichnamigen Assistenten starten können. Die Active Directory-Synchronisation ist erforderlich, wenn Sie möchten, dass sich Ihre Benutzer per Single Sign-On (SSO) am Enterprise Server anmelden sollen. In diesem Fall verwendet ein Benutzer für den Login dann seine Windows NT-Zugangsdaten. Zuvor ist allerdings die korrekte Active Directory-Synchronisation zwingend erforderlich.

HINWEIS: Mit Version 14 wurde der WinNT Provider durch einen leistungsfähigeren LDAP Provider ersetzt. Außerdem wurde die Funktionalität der Active Directory-Synchronisation erweitert.

Password Depot unterstützt seit Version 17 verschachtelte AD-Gruppen.

WARNUNG: Wenn Gruppe A ein Mitglied von Gruppe B ist und Gruppe A über den integrierten AD-Assistenten importiert wird, werden auch Gruppe B und ihre Benutzer importiert (sofern die Markierung nicht manuell entfernt wird).

Auf der Startseite des Assistenten müssen Sie zunächst Angaben zur Domäne machen, aus der Sie die Benutzer/Gruppen importieren möchten:

LDAP-Pfad

Geben Sie den LDAP-Pfad, den Domänennamen oder die IPv4-Adresse Ihres AD-Servers ein, um AD-Benutzer zu synchronisieren:

Anmelden

  • Anmelden als aktueller Benutzer: Wählen Sie diese Option, wenn Sie sich mit dem aktuellen Benutzer anmelden möchten, um die Active Directory-Synchronisation durchzuführen. Der aktuelle Benutzer ist dabei der, mit dem Sie sich zuvor an Windows angemeldet haben.
  • Dieses Konto verwenden: Geben Sie hier den Benutzernamen und das Kennwort eines anderen Benutzers ein, der ebenfalls die Berechtigung besitzt, Daten aus Active Directory Ihrer bzw. der zuvor gewählten Domäne auszulesen. Normalerweise ist dies der Domänen-Administrator. Bitte denken Sie daran, dass der Password Depot Server standardmäßig das SYSTEM-Konto des Rechners verwendet, auf dem der Server installiert ist und läuft. Stellen Sie daher bitte sicher, dass das Konto, das zur AD-Synchronisation verwendet wird (insbesondere dann, wenn es nicht das aktuelle Benutzerkonto ist), vollen Lesezugriff auf AD Ihrer Domäne hat, da ansonsten die Synchronisation nicht korrekt erfolgen kann.  

Zusätzliche Optionen

  • Explorer-Modus: Mit diesem Modus können Sie die vorhandenen Ordner im Active Directory durchsuchen. Im Anschluss wird Ihnen in einem neuen Dialogfenster die Active Directory-Struktur angezeigt, aus der Sie dann die entsprechenden Benutzer/Gruppen zur Synchronisation auswählen können.
  • Suchen-Modus: Mit diesem Modus können Sie in Active Directory nach Benutzern und Gruppen suchen.  
  • Alle Container rekursiv scannen: Hierbei liest/scannt der Assistent das gesamte Active Directory-Verzeichnis. Dies kann in manchen Fällen sehr viel Zeit in Anspruch nehmen. Die Option sollte daher nur beim allerersten Mal nach dem Import von Daten aus älteren Versionen des Password Depot Enterprise Servers verwendet werden, um alle WinNT-Pfade zuverlässig durch LDAP-Pfade zu ersetzen. Ist die Option nicht aktiviert, arbeitet der Assistent wie ein normaler Active Directory-Explorer, das heißt, er öffnet nur das angegebene Objekt und scannt im Anschluss den Container, sofern Sie diesen erweitern.
  • Gelöschte Objekte überprüfen: Mit dieser Option werden gelöschte Objekte (zum Beispiel Benutzer oder Gruppen) in Active Directory und Password Depot Enterprise Server überprüft bzw. miteinander abgeglichen. 
  • SSL verwenden: Diese Option sollten Sie anhaken, sofern Sie in Active Directory mit SSL arbeiten.

Klicken Sie auf Anmelden, sobald Sie alle notwendigen Einstellungen gesetzt haben. Wenn Die Anmeldung erfolgreich war, sehen Sie im nächsten Fenster den passenden Active Directory-Baum. Hier können Sie Benutzer und/oder Gruppen auswählen, die in Password Depot Enterprise Server importiert oder aktualisiert werden sollen. Falls Sie sehr viele Einträge haben, können Sie die Einträge unten links im Feld Filter filtern.

HINT: Sollte der Filter keine Benutzer oder Gruppen finden, gehen Sie zurück, aktivieren Sie die Option Alle Container rekursiv scannen und führen Sie den Vorgang noch einmal durch.

Wählen Sie die gewünschten Benutzer und/oder Gruppen aus, indem Sie die entsprechenden Kontrollkästchen markieren. Klicken Sie abschließend auf Synchronisieren und es werden Ihnen im nächsten Fenster die Ergebnisse der Synchronisation angezeigt.

HINWEIS: Grundsätzlich ist es so, dass Password Depot Server im Allgemeinen nicht mit OUs arbeiten kann. Diese werden zwar im Synchronisations-Assistenten der Einfachheit halber angezeigt, es werden prinzipiell aber nur AD-Objekte wie Benutzer oder Gruppen mit dem Server synchronisiert. 

TIPP: Sie können Benutzer und Gruppen nun auch einzeln mit Active Directory synchronisieren. Wählen Sie hierzu den entsprechenden Benutzer oder die entsprechende Gruppe aus und klicken Sie im Anschluss im Server-Manager rechts auf Synchronisieren.

HINWEIS: Welche Einstellungen für die Anmeldung am Enterprise Server per Integrierter Windows-Authentifizierung (SSO) sowohl im Server-Manager als auch im Client notwendig sind, erfahren Sie hier: Anmeldung des Clients am Server per Single Sign-On (SSO)Bitte beachten Sie zudem, dass der PC, von dem die Anmeldung stattfinden soll, Mitglied im AD sein muss, ansonsten kann die Anmeldung nicht erfolgen. Ein Computer muss im AD sein, damit die Authentifizierung überhaupt stattfinden kann. Wenn Sie nämlich AD-Benutzer mit dem Enterprise Server synchronisieren, dann "kennt" Password Depot die Kennwörter der Benutzer nicht und speichert diese auch nicht auf dem Server ab, sondern bei Authentifizierung wird das vom Benutzer eingegebene Kennwort an AD gesendet und Password Depot erhält ein richtig oder falsch zurück. Deshalb ist es erforderlich, dass der Computer im AD angemeldet ist.