Active-Directory-Domänenintegration

Bei der Arbeit mit mehreren Active-Directory-Domänen zählt die Handhabung unterschiedlicher Passwörter zu den häufigsten Schwierigkeiten. Ganz gleich, ob es um Domänenmigration oder die Unterhaltung separater Domänen für Desktop-Anmeldung und Exchange-Mailboxzugriff geht – Anwender müssen unterschiedliche Passwörter für jede Domäne verwenden. Dies verkompliziert das Passwortmanagement und führt gewöhnlich zu einer hohen Anzahl passwortbezogener Tickets; Dinge, die sich negativ auf Ihre Gesamtproduktivität auswirken.

Passwortmanagement kann in großvolumigen Umgebungen leicht zur Sisyphusarbeit werden. Wenn noch die Passwortverwaltung über mehrere Domänen hinzukommt, stehen Administratoren nicht selten vor gewaltigen Herausforderungen. Die Lösung liegt in der domänenübergreifenden Synchronisierung von Passwortänderungen.

Passwortsynchronisierung zwischen Active-Directory-Domänen

Die Passwortsynchronisierung von ADSelfService Plus repliziert Passwortänderungen an Konten von Domänenbenutzern in anderen Active-Directory-Domänen und sogar in geschäftlichen Anwendungen wie Google Workspace (vormals G Suite) oder Office 365. Der Agent zur Passwortsynchronisierung von ADSelfService Plus geht noch einen Schritt weiter und synchronisiert native Passwortänderungen (über den nach Strg + Alt + Entf angezeigten Bildschirm) und von Administratoren zurückgesetzte Passwörter über die Konsole „Active Directory Users and Computers“ (ADUC).

Wie konfiguriert man die Passwortsynchronisierung mit ADSelfService Plus?

1. Melden Sie sich mit Administratorzugangsdaten an der ADSelfService-Plus-Administratorkonsole an.
2. Wechseln Sie zu Anwendung → Neue Anwendung.
3. Wählen Sie die Anwendung Active Directory aus.
Hinweis: Sie finden die Active-Directory-Anwendung auch über die Suchleiste im linken Bereich oder durch Auswahl des ersten Buchstabens der Anwendung im rechten Bereich.



4. Geben Sie Anwendungsname und Beschreibung ein.
5. Wählen Sie den Namen der Domäne aus, mit der die Passwörter synchronisiert werden sollen. Ein Beispiel: Wenn Sie Passwörter von Domäne A mit Domäne B synchronisieren möchten, wählen Sie „Domäne B“ im Feld „Domänenname“ aus, und danach eine mit Domäne A verknüpfte SB-Richtlinie in der Auswahlliste „Richtlinie verknüpfen“.
6. Wählen Sie die passenden Richtlinien aus dem Dropdown-Menü Richtlinien verknüpfen aus. Die Passwortsynchronisierung ist nur bei Benutzern möglich, die unter die ausgewählten SB-Richtlinien fallen.
7. Klicken Sie auf Add Application.
Hinweis: Sie können in ADSelfService Plus mehrere OE- und gruppenbasierte Richtlinien erstellen, die die SelfService-Funktionen definieren, die für verschiedene Anwender zur Verfügung stehen.



8. Klicken Sie auf Anwendung hinzufügen.
Hinweis: Sie können mehrere OE- und gruppenbasierte Richtlinien zum Definieren der SB-Funktionen in ADSelfService Plus erstellen, die unterschiedlichen Anwendern zur Verfügung stehen.
9. Klicken Sie auf Speichern.

Verknüpfen von Benutzerkonten

Damit die Passwortsynchronisierung funktioniert, müssen Benutzerkonten zwischen Domänen verknüpft werden. Per Vorgabe werden Benutzerkonten automatisch anhand des Attributes „sAMAccountName AD“ verknüpft. Mit ADSelfService Plus können Sie Benutzerkonten auch anhand eines Attributes Ihrer Wahl verknüpfen.

1. Automatische Kontoverknüpfung
2. Manuelle Kontoverknüpfung

So verknüpfen Sie Konten automatisch

Zur automatischen Kontoverknüpfung müssen Sie ein Quellattribut festlegen, das sich aus einem oder mehreren Attributen in AD zusammensetzt, zusätzlich legen Sie ein Zielattribut der Geschäftsanwendung fest. Wenn Benutzer Passwort zurücksetzen oder ändern, wird die Änderung nur dann synchronisiert, wenn der Zielattributwert mit dem Quellattributwert übereinstimmt.

Schritte zur automatischen Verknüpfung von Benutzerkonten:

1. Melden Sie sich als Administrator bei der Webkonsole von ADSelfService Plus an.
2. Wechseln Sie zur Registerkarte Anwendung. Eine Liste mit konfigurierten Anwendungen wird angezeigt.
3. Klicken Sie auf die Schaltfläche Erweitert der gewünschten Anwendungskonfiguration.



4. Im nun geöffneten Fenster wählen Sie das Markierungsfeld Automatische Kontoverknüpfung aktivieren aus.
5. Im Dropdown-Menü Quellattribute wählen Sie ein oder mehrere Attribute der AD-Domäne aus, in der Benutzerpasswörter zurückgesetzt oder geändert werden sollen.
Hinweis: Angenommen, Sie möchten sowohl sAMAccountName als auch initials als AD-Quellattribute verwenden. Dazu können Sie sAMAccountName unter den Quellattributen auswählen, auf die +-Schaltfläche neben dem Feld klicken und danach „Initials“ aus dem zweiten Dropdown-Menü auswählen, die nun erscheint. Achten Sie darauf, dass der kombinierte Wert der AD-Quellattribute dem entsprechenden Zielattribut in der betrieblichen Applikation entspricht. Ein Beispiel: Wenn der Wert samAccountName „Johann“ und der ursprüngliche Wert „A“ lauten, dann muss der Zielattributwert „JohannA“ betragen.
6. Im Dropdown-Menü Target Attribute wählen Sie das Attribut aus, dessen Wert dem kombinierten Wert der ausgewählten Quellattribute entspricht. Der Attributwert muss zu jedem Nutzer eindeutig sein; wenn sich mehrere Domänenkonten denselben Attributwert teilen, schlägt die Synchronisierung fehl.



7. Wählen Sie zum Anhängen des Domänennamens an den kombinierten Wert der ausgewählten Quellattribute das Markierungsfeld Domäne anhängen aus. Nach Auswahl des Markierungsfelds wird sAMAccountName+Initials zu sAMAccountName+Initials@domain.
8. Klicken Sie auf Speichern.

Hinweis:

• Falls der Wert des Quellattributes leer ist, wird sAMAccountName als Standardwert verwendet.
• Wenn der Wert des Quellattributes im E-Mail-Format vorliegt, wird der Domänenname auch dann nicht angehängt, wenn die entsprechende Option aktiv ist.

So verknüpfen Sie Konten manuell

Wenn die manuelle Verknüpfung aktiv ist, können Benutzer ihre AD-Domänenkonten selbst verknüpfen. Dazu geben sie die Zugangsdaten des Domänenkontos ein, mit dem sie ihr primäres Domänenkonto verknüpfen möchten. Ein Beispiel: Wenn Anwender Passwörter ihres Benutzerkontos in Domäne A mit ihrem Konto in Domäne B synchronisieren möchten, ist Folgendes erforderlich:

1. Melden Sie sich beim ADSelfService-Plus-Benutzerportal an.
2. Wechseln Sie zu Anwendung.
3. Klicken Sie auf die geschäftliche Anwendung aus, mit der Sie das AD-Konto verknüpfen möchten.
4. Geben Sie die Zugangsdaten des Benutzerkontos an.
5. Geben Sie zur Verknüpfung beider Konten den Benutzernamen und das Passwort des Kontos in Domäne B an.

Schritte zum Aktivieren der manuellen Kontoverknüpfung:

1. Melden Sie sich als Administrator bei ADSelfService Plus an.
2. Wechseln Sie zur Registerkarte Anwendung. Eine Liste mit konfigurierten Anwendungen wird angezeigt.
3. Klicken Sie auf die Schaltfläche Erweitert der gewünschten Anwendungskonfiguration.



4. Im nun geöffneten Fenster wählen Sie das Markierungsfeld Automatische Kontoverknüpfung aktivieren aus.



5. Klicken Sie auf Speichern.

Lizenzverbrauch

Nachdem die Benutzerkonten der beiden Domänen erfolgreich verknüpft wurden, verbraucht nur das Benutzerkonto der Domäne, von der die Passwortsynchronisierung ausging, eine ADSelfService-Plus-Lizenz, wenn ein Benutzer ADSelfService Plus zum ersten Mal aufruft. Das verknüpfte Nutzerkonto der anderen Domäne, mit der die Passwörter synchronisiert werden, verbraucht keine Lizenz. Ein Beispiel: Angenommen, 1000 Benutzerkonten von Domäne A werden zur Passwortsynchronisierung mit 1000 Benutzerkonten der Domäne B verknüpft. Wenn Nutzer aus Domäne A ihre Passwörter ändern und die neuen Passwörter mit Domäne B synchronisiert werden, verbrauchen nur die Benutzerkonten aus Domäne A eine Lizenz. Konten der Domäne B verbrauchen keine Lizenzen.

Hinweis: Wenn Benutzer SB-Aktionen mit beiden Konten in Domäne A und Domäne B ausführen, werden für beide Konten Lizenzen verbraucht.

Vorteile

• Unterhaltung einer Identität in mehreren Active-Directory-Domänen und geschäftlichen Anwendungen.
• Einsatz vonMultifaktorauthentifizierung zur sicheren Passwortänderung.
• Weniger Helpdesk-Anrufe, Entlastung von IT-Administratoren, die sich nun auf wichtigere Aufgaben konzentrieren können.
• Sie erhalten Benachrichtigungen über Passwortänderungen per SMS oder E-Mail.
• Benutzer können Domänenpasswörter jederzeit und überall mit der ADSelfService-Plus-Mobilapp verwalten.