Verwalten von Zugriffs- und Automatisierungsfunktionen

Voraussetzungen

• Die Authentifizierungsoption, über die Sie eine Verbindung mit dem externen Verzeichnis herstellen, ist aktiviert.
• Während der Authentifizierungskonfiguration wurde eine gültige Domäne angegeben. Alle Domänen und Unterdomänen aus bidirektionalen Gesamtstrukturen mit der angegebenen Domäne sind verfügbar, wenn Benutzer/Gruppen hinzugefügt werden.
• Die Maschine, auf der der Orchestrator installiert ist, wird der festgelegten Domäne hinzugefügt. Um zu überprüfen, ob das Gerät zur Domäne hinzugefügt wurde, führen Sie dsregcmd /status über die Eingabeaufforderung aus, und gehen Sie zum Abschnitt Gerätestatus.
• Die Identität, unter welcher der Orchestrator-Anwendungspool ausgeführt wird, muss Teil der Windows Authorization Access-Gruppe (WAA) sein.

Verhalten

• Durch Hinzufügen einer AD-Gruppe wird eine Benutzerentität im Orchestrator mit dem Namen „Verzeichnisgruppe“ erstellt, für die Sie Zugriffsrechte beliebig konfigurieren. Dieser Eintrag dient als Referenz für die Gruppe, wie sie in AD zu finden ist.
• Wenn Sie sich anmelden, überprüft der Orchestrator Ihre Gruppenmitgliedschaft bei der AD-Datenbank. Wenn sie bestätigt wird, wird Ihr Benutzer automatisch als Verzeichnisbenutzer bereitgestellt und den von der Verzeichnisgruppe übernommenen Zugriffsrechten zugeordnet (Schritt 1). Übernommene Rechte werden nur für die Dauer der Benutzersitzung beibehalten.
• Die automatische Bereitstellung erfolgt bei der ersten Anmeldung. Ein automatisch bereitgestellter Benutzer wird beim Abmelden nicht gelöscht, da Sie den Eintrag möglicherweise für Überwachungszwecke benötigen.

• Änderungen der Gruppenmitgliedschaft im Verzeichnis werden bei jeder Anmeldung mit dem Orchestrator synchronisiert, bei aktiven Benutzer-Sitzungen einmal pro Stunde.

  • Dieser Wert kann mit WindowsAuth.GroupMembershipCacheExpireHours geändert werden.

• Sie melden sich an, der Orchestrator überprüft Ihre Gruppenmitgliedschaft und bestätigt dann Ihre Identität gegenüber der AD-Datenbank und Identity Server. Sie erhalten dann Zugriffsrechte gemäß Ihrer Orchestrator-Konfiguration. Wenn Ihr Systemadministrator Ihre Gruppenmitgliedschaft von Gruppe X zu Gruppe Y ändert, während Sie eine aktive Sitzung haben, werden die Änderungen vom Orchestrator einmal pro Stunde oder beim nächsten Anmelden abgefragt.

• Die einzige Möglichkeit, Zugriffsrechte zu konfigurieren, die zwischen Sitzungen bestehen bleiben, unabhängig davon, wie sich die Gruppenmitgliedschaft ändert, besteht darin, dem Benutzerkonto direkt und nicht über die Gruppenmitgliedschaft eine Rolle zuzuweisen.
• AD-Benutzer, deren geerbte Zugriffsrechte (aus Gruppenmitgliedschaften) nicht ermittelt werden können, verhalten sich wie lokale Benutzer, d. h. sie verfügen ausschließlich über Rollen, die dem Benutzerkonto zugewiesen sind.
• Gruppen im AD werden mit dem Orchestrator synchronisiert, aber die im Orchestrator vorgenommenen Änderungen haben keine Auswirkungen auf die Benutzerkonfiguration im AD.

Bekannte Probleme (Known Issues)

• Aufgrund verschiedener Netzwerk- oder Konfigurationsprobleme kann es sein, dass nicht alle Domänen zugänglich sind, die in der Dropdownliste Domänenname angezeigt werden.
• Änderungen an Benutzer- oder Gruppennamen im AD werden nicht an den Orchestrator weitergegeben.
• Es kann bis zu einer Stunde dauern, die Domänenliste mit neu hinzugefügten Domänen mit bidirektionaler Vertrauensstellung zu aktualisieren.
• Die Anforderungen GetOrganizationUnits(Id) und GetRoles(Id) geben nur Ordner und Rollen zurück, die explizit für einen automatisch bereitgestellten Benutzer festgelegt wurden. Die von der Gruppenkonfiguration übernommen können über den Endpunkt /api/DirectoryService/GetDirectoryPermissions?userId={userId} abgerufen werden.
• Das gleiche gilt für die Benutzeroberfläche, bei der nur explizit festgelegte Ordner und Rollen auf der Seite Benutzer angezeigt werden, wohingegen übernommene einen neuen dedizierten Speicherort haben, das Fenster Benutzerberechtigungen (Benutzer > Weitere Aktionen > Berechtigungen überprüfen).
• Benutzer übernehmen keine Warnungsabonnementeinstellungen von der übergeordneten Gruppe und sie erhalten standardmäßig keine Warnungen. Um Zugriff auf Warnungen zu erhalten, müssen Sie dem jeweiligen Benutzer die entsprechenden Berechtigungen explizit erteilen.
• Wenn eine Verzeichnisgruppe entfernt wird, wird die Lizenz eines zugeordneten Verzeichnisbenutzers nicht entfernt, auch wenn die Zuweisung des Benutzers zu einem Ordner durch das Entfernen der Gruppe aufgehoben wird. Die einzige Möglichkeit, die Lizenz freizugeben, besteht darin, den Roboter-Tray zu schließen.
• In bestimmten Browsern erfordert die Anmeldung beim Orchestrator mit Ihren AD-Anmeldeinformationen nur Ihren Benutzernamen. Es ist nicht erforderlich, auch die Domäne anzugeben. Wenn also die Syntax Domäne\Benutzername nicht funktioniert, versuchen Sie es damit, nur den Benutzernamen einzugeben.

Prüfungsüberlegungen

• Benutzermitgliedschaft: Benutzer [Benutzername] wurde den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] zugewiesen.
• Automatische Bereitstellung: Benutzer [Benutzername] wurde automatisch von den folgenden Verzeichnisgruppen [Verzeichnisgruppen, von denen der Benutzer in der aktuellen Sitzung Zugriffsrechte erbt] bereitgestellt.