本节介绍在部署 Active Directory 驱动程序之前应该熟悉的驱动程序功能。
与版本 2 相比,更改了 Active Directory 驱动程序处理多值特性的方式。
在"添加"或"修改"操作中,版本 2 会忽略除第一个更改值以外的所有更改值,从而将"订购者"通道上的多值特性视为单值特性。 Active Directory 驱动程序版本 3 完全支持多值特性。
但是,Active Directory 驱动程序将多值特性与单值特性同步时,会将多值特性视为单值特性。 例如,在 Active Directory 中,Telephone Number 特性是单值特性,而在 Identity Vault 中它是多值特性。 从 Active Directory 同步该特性时,Identity Vault 中只会储存单值。
这可以在两个特性之间创建真正的同步和映射,但是,如果已映射到单值特性的某个特性含有多个值,则这会导致潜在的数据丢失。 在多数情况下,如果您的应用环境需要的话,可以用一个策略将其它值保存在其它位置。
如果在 Microsoft 管理控制台中将帐户设置为在 2006 年 7 月 15 日失效,则 eDirectory 特性 Login Expiration Time 将设置为在 2006 年 7 月 16 日上午 12:00 失效。Microsoft 管理控制台不允许设置时间值,默认值为 12:00 AM。
驱动程序使用限制性最大的设置。 根据您的具体需求,可以在 Microsoft 中对失效时间增加一天。
在同步通过 Active Directory 工具恢复的任何 Active Directory 对象时,这些对象将删除关联的 eDirectory 对象。 Active Directory 驱动程序会查找 Active Directory 对象的 isDeleted 特性发生的更改。 如果驱动程序在该特性中检测到更改,则系统将通过驱动程序针对与 Active Directory 对象关联的对象发出删除事件。
如果不希望删除 eDirectory 对象,则必须将其它策略添加到 Active Directory 驱动程序。 Identity Manager 3.0 带有一个预定义规则,该规则可以将所有《删除》事件更改为《去除关联》事件。 有关详细信息,请参见《Policy Builder and Driver Customization Guide》(策略构建器和驱动程序自定义指南)中的《Command Transformation - Publisher Delete to Disable》(命令转换 - 发布者删除 - 禁用)。