下表說明在啟始驅動程式組態期間必須提供的參數。
NOTE:這些參數會顯示在數個畫面上,而某些參數則只會在先前提示的回答需要更多資訊才能正確設定規則的組態時顯示。
Table 4-1 組態參數
|
欄位 |
描述 |
|---|---|
|
|
指定給此驅動程式的 eDirectory™ 物件名稱。 由於每個 Active Directory 領域需要個別的驅動程式,所以驅動程式名稱中應包含領域名稱。這樣當您查看驅動程式時,便知道與之關聯的是哪個領域。 |
|
|
使用 Active Directory 進行驗證的方法。 偏好的方法是「」。 選取「交涉」以使用 Microsoft 安全性套件進行驗證的交涉。 若要使用「交涉」,裝載驅動程式的伺服器必須是領域的成員。 如果您規劃使用密碼同步化並且要在成員伺服器上執行,則需要 SSL。 「」使用 LDAP 簡易結合。 如果您選取「簡易」,建議使用 SSL。 IMPORTANT:簡易結合不支援密碼同步化或 Exchange 提供。 |
|
|
Identity Manager 所使用之具有管理特權的 Active Directory 帳戶。 使用的名稱格式由所選取的驗證機制而定。 如果是「交涉」,請提供 Active Directory 驗證機制所需的名稱格式。 例如:
如果是「簡易」,請提供 LDAP ID。 例如:
|
|
|
在驗證 ID 中指定之使用者帳戶的密碼。 |
|
|
用於同步化之 Active Directory 領域控制器的名稱。 例如,如果是「交涉」驗證法,請使用 DNS 名稱 mycontroller.domain.com。 如果是「簡易」驗證法,可以使用伺服器的 IP 位址 (例如,10.10.128.23 或 DNS 名稱)。 如果未指定值,則會使用本地主機。 NOTE:此值儲存在「驗證網路位置」屬性中。 若要在啟始組態設定後變更此值,請遵循安全性參數中的說明修改此屬性。 |
|
|
由此驅動程式管理的 Active Directory 領域。 驅動程式需要 LDAP 格式的領域名稱 dc=domain,dc=com |
|
|
由此驅動程式管理之 Active Directory 領域的 DNS 名稱。 驅動程式需要 DNS 格式的領域名稱 domain.com |
|
|
Identity Vault 會在發生變更時立即將變更傳送至 Active Directory。 但是,Active Directory 的變更只會按照設定的輪詢間隔傳送至 Identity Vault。 預設值是 1 分鐘。 IMPORTANT:輪詢間隔會影響系統效能。 輪詢間隔越小,則搜尋越頻繁,資料更新也就越快。 而較大的輪詢間隔會產生週期性的流量湧進。 雖然輪詢間隔越小整體成本越高,但是成本按時間分攤會更平均。 如果設定間隔為 0 (零),則輪詢會每十秒進行一次。 |
|
|
驅動程式嘗試同步化密碼所需花費的分鐘數。 要將此值設定得夠大,才足以處理任何已存在密碼的暫時積存。 如果要進行大量變更,請將逾時設定得夠大以處理所有的變更。 一般規則是允許一秒鐘處理一個密碼。 例如,同步化 18,000 個密碼允許花費的時間為 300 分鐘 (18,000 個密碼除以 60 秒)。 如果設定值為 -1,表示時間無限。 此設定雖然可以處理大量變更,但可能會導致問題。 例如,某個密碼可能會因為帳戶未關聯,而永遠無法同步化。 此密碼就會永遠保留在系統中。 許多類似情況都可能導致系統中儲存大量的未同步化密碼。 密碼同步化逾時必須設定為至少是輪詢間隔的三倍。 |
|
|
選取「」以設定與「遠端載入器」服務一起使用的驅動程式,或選取「」以設定供本地使用的驅動程式。 |
|
|
僅限「遠端」選項。 安裝有「遠端載入器服務」並為此驅動程式執行的主機名稱或 IP 位址和連接埠號碼。 預設的連接埠為 8090。 只有將「驅動程式為本地/遠端」設定為「遠端」時,才會顯示此設定。 |
|
|
僅限「遠端」選項。 「遠端載入器」使用「驅動程式物件密碼」向 Identity Manager 伺服器執行自我驗證。 此密碼必須與「遠端載入器」上指定的「驅動程式」物件密碼相同。 只有將「驅動程式為本地/遠端」設定為「遠端」時,才會顯示此設定。 |
|
|
僅限「遠端」選項。 「遠端載入器」密碼是用於控制對「遠端載入器」例項的存取。 此密碼必須與「遠端載入器」上指定的「遠端載入器」密碼相同。 只有將「驅動程式為本地/遠端」設定為「遠端」時,才會顯示此設定。 |
|
|
僅限「遠端」選項。 ,如果您按一下該按鈕,驅動程式精靈會繼續進行伺服器規則的組態設定。 |
|
|
指定 Identity Vault 中用於同步化的基本容器。 此容器在「訂閱者相符」規則中是用來限制要同步化的 Identity Vault 物件,而在「發行者佈置」規則中的使用時機則是在將物件新增到 Identity Vault 時。 根據預設,新使用者是放置在此容器中。 使用點格式。 例如, users.myorg 如果該容器不存在,則必須先予以建立並確保其與 Active Directory 基本容器相關聯,然後再嘗試將使用者新增到此容器。 |
|
|
「」會將物件按階層放置於基本容器中。 「」會嚴密地將物件放置於基本容器中。 此選項會建立預設的「發行者佈置」規則。 NOTE:如果選取「」,驅動程式會假設 eDirectory 資料庫的結構與 eDirectory 基本容器中之 Active Directory 資料庫的結構相同。 如果兩者的結構不同,便無法正確放置物件。 請在 Active Directory 中建立與 eDirectory 中已存在之資料庫結構相同的結構,或者在移轉「使用者」物件前先移轉 eDirectory 容器。 |
|
|
以 LDAP 格式指定 Active Directory 中的基本容器。 根據預設,新使用者是放置在此容器中。 例如, CN=Users,DC=MyDomain,DC=com 如果目標容器不存在,則必須先予以建立並確保其與 eDirectory 基本容器相關聯,然後再嘗試將使用者新增到此容器。 如果您使用或建立的是 Active Directory「使用者」以外的容器,則容器會是 OU 而不是 CN。 例如, OU=Sales,OU=South,DC=MyDomain,DC=com |
|
|
「」會將物件按階層放置於基本容器中。 「」會嚴密地將物件放置於基本容器中。 此選項會建立預設的「訂閱者佈置」規則。 NOTE:如果選取「」,驅動程式會假設 Active Directory 中資料庫的結構與 Active Directory 基本容器中之 eDirectory 資料庫的結構相同。 如果兩者的結構不同,便無法正確放置物件。 請在 eDirectory 中建立與 Active Directory 中已存在之資料庫結構相同的結構,或者在移轉「使用者」物件前先移轉 Active Directory 容器。 |
|
|
「設定資料流程」會建立啟始驅動程式過濾器,此過濾器可用來控制要進行同步化處理的類別和屬性。 此選項的目的在於設定驅動程式的組態,以最適當的方式表示一般資料流程的規則。 輸入後就可以對其進行變更以反映特定要求。 「」選項會將類別和屬性設定成可同時在「發行者」和「訂閱者」通道上進行同步化。 變更不論是發生在 Identity Vault 上還是 Active Directory 上,都會反映在另一方。 如果您想讓雙方都做為資料的授權來源,請使用此選項。 「」選項會將類別和屬性設定成僅可在「發行者」通道上進行同步化。 在 Active Directory 上發生的變更會反映在 Identity Vault 上,但反之發生在 Identity Vault 上的變更則會被忽略。 如果您想讓 Active Directory 做為資料的授權來源,請使用此選項。 「」選項會將類別和屬性設定成僅可在「訂閱者」通道上進行同步化。 在 Identity Vault 上發生的變更會反映在 Active Directory 上,但反之發生在 Active Directory 上的變更則會被忽略。 如果您想讓 Identity Vault 做為資料的授權來源,請使用此選項。 WARNING:刪除。 「移動」和「重新命名」事件與過濾器無關。 選取哪個選項並不重要,因為這些事件由驅動程式處理。 如果不想同步化這些事件,則必須變更驅動程式的預設組態。 您可以使用 Identity Manager 3.0 隨附的其中一個預先定義規則,將「刪除」事件變更為「移除關聯」事件。 如需相關資訊,請參閱《規則產生器和驅動程式自訂指南》中的「指令轉換:要停用的發行者刪除」。 若要阻止「移動」和「重新命名」事件,則必須自定驅動程式。 |
|
|
將密碼同步化規則設定為密碼更新失敗時以電子郵件通知相關使用者。 您也可以選擇將通知電子郵件的副本傳送給其他使用者,例如安全管理員。 如果想要傳送副本,請輸入或瀏覽該使用者的 DN。 否則,請將此欄位保留空白。 |
|
|
可以將驅動程式設定為使用「授權」來管理 Active Directory 中的使用者帳戶和群組成員,並提供 Exchange 信箱。 使用「授權」時,驅動程式要搭配使用外部服務 (如 Identity Manager 「使用者應用程式」或「角色授權」),以控制 Active Directory 中提供或取消提供這些功能的條件。 如需相關資訊,請參閱授權。 如果您規劃使用這些外部服務的其中一項來控制對 Active Directory 的提供,請選取「」。 如果您沒有規劃使用 Identity Manager「使用者應用程式」或提供 Exchange 信箱,請選取「」,。 |
|
|
僅限「設定元素」選項。 可以透過同步化或搭配使用「授權」與「工作流程」服務或「角色授權」,來控制 Active Directory 中的使用者帳戶。 「」讓 Identity Vault 中的「授權」可以在 Active Directory 中控制帳戶的啟用。 「」使用的是驅動程式中的規則而不是「授權」。 |
|
|
僅限「設定元素」選項。 可由驅動程式規則和「授權」來處理 Exchange 提供,或者完全忽略。 可以為使用者指定 Exchange 信箱 (使用者擁有信箱功能),或者將外部信箱的相關資訊儲存在 Identity Vault 記錄中 (使用者擁有郵件功能)。 使用驅動程式規則時,完全由規則來控制是採用信箱啟用使用者還是郵件啟用使用者,以及儲存帳戶的 Exchange 訊息資料庫。 使用「」時,外部服務 (如「工作流程」服務或「角色授權」) 會做出這些決定,而驅動程式規則只需套用它們。 「」使用驅動程式中的規則 (而不是「授權」) 來指定 Exchange 信箱。 如果選取「」,則預設組態不會建立 Exchange 信箱,但是會同步化 Identity Vault 網際網路電子郵件地址與 Active Directory 郵件屬性。 |
|
|
僅限「設定元素」選項。 可以透過同步化成員清單或使用「授權」來控制 Active Directory 中的群組成員。 「」使用「工作流程」服務或「角色授權」來指定群組成員。 「」使用規則來同步化群組成員清單。 「」不會同步化群組成員資訊。 |
|
|
僅限「Exchange 規則」選項。 可以透過呼叫 Microsoft Exchange 管理系統 (而不是一般的屬性同步) 來控制 Exchange 信箱。 啟用此選項後,驅動程式 Shim 會攔截對 Active Directory homeMDB 屬性的變更,並呼叫 CDOEXM (Collaboration Data Objects for Exchange Management) 子系統。 您在此處選擇的值會被記錄到驅動程式 Shim 組態中。 「」同步化 Exchange 信箱。 「」不同步化 Exchange 信箱。 |
|
|
僅限「Exchange 規則」選項。 啟用此選項後,驅動程式 Shim 會攔截對 Active Directory homeMDB 屬性的修改,並呼叫 CDOEXM 將信箱移至新的訊息資料儲存庫。 「」移動 Exchange 信箱。 「」不移動 Exchange 信箱。 |
|
|
僅限「Exchange 規則」選項。 啟用此選項後,驅動程式 Shim 會攔截對 Active Directory homeMDB 屬性的移除,並呼叫 CDOEXM 刪除信箱。 「」允許刪除 Exchange 信箱。 「」不允許刪除 Exchange 信箱。 |
|
|
僅限規則選項中的「Exchange 規則」>「實作」。 輸入預設 Exchange 訊息資料庫 (MDB)。 例如, [CN=Mailbox Store (CONTROLLER),CN=First Storage Group,CN=InformationStore,CN=CONTROLLER,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Domain,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Domain,DC=com] 完成輸入後,驅動程式即會進行更新,以管理其他 MDB。 |
|
|
僅限「Exchange 規則」選項。 允許您在「授權」移除「使用者」帳戶時,選擇要執行的動作。
|
|
|
驅動程式會將 Identity Vault Full Name 屬性映射至 Active Directory 物件名稱,並將 Windows 2000 以前的 Active Directory 登入名稱映射至 Identity Vault 使用者名稱。 您可以接受全部規則,也可以手動選取部份規則。 如果規則不符合您的需求,則可以在輸入後修改規則,只要在完成輸入之後,對「訂閱者和發行者指令轉換」規則中的 NameMap 規則進行編輯即可。 「」使用全部規則。 「」可以使用部份規則。 |
|
|
僅限「名稱映射規則選取」>「手動」選項。 「」允許驅動程式將 Identity Vault Full Name 屬性與 Active Directory 物件名稱和顯示名稱保持同步。 「」不會將 Identity Vault Full Name 屬性與 Active Directory 物件名稱和顯示名稱保持同步。 在 Active Directory 中使用「Microsoft Management Console 使用者與電腦」嵌入程式建立使用者帳戶時,可以使用此規則。 |
|
|
僅限「名稱映射規則選取」>「手動」選項。 「」允許驅動程式將 Identity Vault 物件名稱與 Windows 2000 以前的 Active Directory 登入名稱 (也稱為「NT 登入名稱」或 sAMAccountName) 保持同步。 「」不會將 Identity Vault 物件名稱與 Windows 2000 以前的 Active Directory 登入名稱保持同步。 |
|
|
僅限「名稱映射規則選取」>「手動」選項。 |
|
|
允許您選擇一種方法,以便管理 Active Directory Windows 2000 登入名稱 (也稱為 userPrincipalName)。userPrincipalName 會採用電子郵件地址的格式,如 usere@domain.com。 雖然 Shim 可以將任意值放入 userPrincipalName,但它不能充當登入名稱,除非將領域設定為允許領域名稱使用該名稱。 「」會將 userPrincipalName 設定為 Active Directory 郵件屬性的值。 如果您要將使用者的電子郵件地址用於驗證,並且 Active Directory 可以為電子郵件地址授權,則可以使用此選項。 「」會將 userPrincipalName 設定為 Identity Vault 電子郵件地址屬性的值。 如果您要將使用者的電子郵件地址用於驗證,並且 Identity Vault 可以為電子郵件地址授權,則可以使用此選項。 如果您要從使用者登入名稱 (加上在規則中定義的硬式編碼字串) 產生 userPrincipalName,則可以使用「」。 如果您不想控制 userPrincipalName 或不想實作自己的規則,則可以使用「」。 |