在测试环境中,请一直使用管理员帐户,直到 Active Directory 驱动程序开始工作。 然后创建一个具有适当权限(包括受限权限)的管理帐户,Active Directory 驱动程序可专门使用此帐户鉴定到 Active Directory。
如果采取这种做法,更改其它管理帐户时 Identity Manager 管理帐户不受影响。 此设计的优势为:
此帐户的名称和口令储存在驱动程序配置中。 因此,只要帐户口令发生更改,就必须更改此口令。 如果更改帐户口令但不更新驱动程序配置,则下一次重启动驱动程序时,鉴定将会失败。
要使《发布者》通道运行,此帐户的域根至少必须有《读》和《复制目录更改》权限。 对于《订购者》通道修改的任何对象,还需要有《写》权限。 可以将《写》权限限制到由《订购者》通道写入的那些树枝和特性。
要衡量 Exchange 邮箱,Identity Manager 帐户必须具有对登录帐户的"起操作系统的部分作用"许可权限。
要查看删除的对象,Windows 2003 要求具有其它权限。请参见Section A.0, 更改对 CN=Deleted Objects 树枝的许可权限。