Active Directory-Integration: Unterschied zwischen den Versionen
[unmarkierte Version] | [unmarkierte Version] |
Admin (Diskussion | Beiträge) |
|||
Zeile 1: | Zeile 1: | ||
− | |||
− | |||
Neben der manuellen Anlage von Benutzern (diese wird im Kapitel [[Benutzer,_Archive_und_Berechtigungen#Verwalten_von_Benutzern|Verwalten von Benutzern]] beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem Active Directory Ihres Unternehmens abgleichen. | Neben der manuellen Anlage von Benutzern (diese wird im Kapitel [[Benutzer,_Archive_und_Berechtigungen#Verwalten_von_Benutzern|Verwalten von Benutzern]] beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem Active Directory Ihres Unternehmens abgleichen. | ||
Zeile 6: | Zeile 4: | ||
<p class="msnote">'''Hinweis:''' Bitte beachten Sie, dass MailStore Server keine Subdomänen und Vertrauensstellungen unterstützt. | <p class="msnote">'''Hinweis:''' Bitte beachten Sie, dass MailStore Server keine Subdomänen und Vertrauensstellungen unterstützt. | ||
− | Der MailStore Server Dienst muss unter dem 'Lokalem Systemkonto' laufen und der Server muss Mitglied der Domäne sein, damit die Windows Authentifizierung funktioniert</p> | + | Der MailStore Server Dienst muss unter dem 'Lokalem Systemkonto' laufen und der Server muss Mitglied der Domäne sein, damit die Windows Authentifizierung bei der Anmeldung von Benutzers am MailStore Server funktioniert.</p> |
== Aufruf der Verzeichnisdienste-Integration == | == Aufruf der Verzeichnisdienste-Integration == | ||
Zeile 20: | Zeile 18: | ||
Für die Synchronisierung benötigt MailStore Server Informationen darüber, wie das Active Directory angesprochen werden kann. | Für die Synchronisierung benötigt MailStore Server Informationen darüber, wie das Active Directory angesprochen werden kann. | ||
− | *''' | + | *'''Servername'''<br/>Der DNS-Name oder die IP-Adresse eines Active Directory-Domänencontrollers. Ist der MailStore Server-Computer Mitglied in einem Active Directory, wird diese Einstellung automatisch erkannt. |
− | *'''Basis-DN | + | *'''Protokoll'''<br/>Das zu verwendende Protokoll zur Kommunikation mit dem Active Directory. |
+ | ** ''LDAP''<br/>Das Standardprotokoll zum Zugriff auf das Active Directory. Auch wenn Teile der Verbindung unverschlüsselt übertragen werden, sind die eigentlichen Nutzdaten verschlüsselt. | ||
+ | ** ''LDAPS''<br/>Dies zusätzlich mit SSL-gesicherte Variante. Beachten Sie, dass dies eine funktionierende Zertifikatsinfrastruktur benötigt, bei welcher der MailStore Server Computer das SSL-Zertifikat der Domänencontroller als vertrauenswürdig einstufen muss. | ||
+ | *'''Basis-DN'''<br/>Der Basis-DN Ihres Active Directories. Dieser lässt sich häufig vom Namen Ihrer Active Directory-Domäne ableiten. Ist der Name Ihrer Active Directory-Domäne beispielsweise ''meinefirma.local'' lautet der Basis-DN in der Regel ''dc=meinefima, dc=local''. Der Basis-DN kann auch über die Schaltfläche neben dem Eingabefeld ausgewählt werden, sofern ein Zugriff auf einen Active Directory-Domänencontroller möglich ist. Ist der MailStore Server-Computer Mitglied in einem Active Directory, wird diese Einstellung automatisch erkannt. | ||
*'''Authentifizierung'''<br/>Legen Sie fest, wie der MailStore Server Dienst gegenüber dem Active Directory authentifiziert werden soll:<br/><br/> | *'''Authentifizierung'''<br/>Legen Sie fest, wie der MailStore Server Dienst gegenüber dem Active Directory authentifiziert werden soll:<br/><br/> | ||
− | **''Standard-Authentifizierung''<br/>Sofern Sie den MailStore Server nicht direkt auf einem Active Directory-Domänencontroller installiert haben, ist meist die Nutzung der ''Standard-Authentifizierung'' erforderlich. Füllen Sie in diesem Fall die Felder ''Benutzername'' und ''Kennwort'' aus. Geben Sie den Benutzernamen in der UPN-Notation an, z.B. ''[email protected]''. | + | **''Standard-Authentifizierung''<br/>Sofern Sie den MailStore Server nicht direkt auf einem Active Directory-Domänencontroller oder Microsoft Exchange Server installiert haben, ist meist die Nutzung der ''Standard-Authentifizierung'' erforderlich. Füllen Sie in diesem Fall die Felder ''Benutzername'' und ''Kennwort'' aus. Geben Sie den Benutzernamen in der UPN-Notation an, z.B. ''[email protected]''. |
− | **''Windows-Authentifizierung''<br/>Wurde MailStore Server direkt auf einem Active Directory-Domänencontroller installiert, besitzt der MailStore Server-Dienst genügend Rechte, um sich per ''Windows-Authentifizierung'' am Active Directory anzumelden. | + | **''Windows-Authentifizierung''<br/>Wurde MailStore Server direkt auf einem Active Directory-Domänencontroller oder Microsoft Exchange Server installiert, besitzt der MailStore Server-Dienst genügend Rechte, um sich per ''Windows-Authentifizierung'' am Active Directory anzumelden. |
− | |||
− | |||
+ | === Synchronisierung der Benutzerdatenbank === | ||
Nachdem Sie die Verbindungseinstellungen wie oben beschrieben angegeben haben, können Sie in diesem Abschnitt Filterkriterien für den Abgleich mit dem Active Directory festlegen. | Nachdem Sie die Verbindungseinstellungen wie oben beschrieben angegeben haben, können Sie in diesem Abschnitt Filterkriterien für den Abgleich mit dem Active Directory festlegen. | ||
Zeile 34: | Zeile 34: | ||
* '''Nur in Adresslisten sichtbare Benutzer synchronisieren'''<br/>Hierdurch werden bei der Synchronisierung nur Active Directory Benutzerkonten berücksichtigt, deren Exchange-Postfächer in den Exchange Adresslisten nicht ausgeblendet sind. | * '''Nur in Adresslisten sichtbare Benutzer synchronisieren'''<br/>Hierdurch werden bei der Synchronisierung nur Active Directory Benutzerkonten berücksichtigt, deren Exchange-Postfächer in den Exchange Adresslisten nicht ausgeblendet sind. | ||
* '''Nur diese Gruppen:'''<br/>Wählen Sie eine oder mehrere Active Directory-Sicherheitsgruppen aus, wenn Sie nur deren Mitglieder als MailStore Server-Benutzer anlegen wollen. Dadurch lässt sich z.B. verhindern, dass System-Konten nach MailStore Server synchronisiert werden. | * '''Nur diese Gruppen:'''<br/>Wählen Sie eine oder mehrere Active Directory-Sicherheitsgruppen aus, wenn Sie nur deren Mitglieder als MailStore Server-Benutzer anlegen wollen. Dadurch lässt sich z.B. verhindern, dass System-Konten nach MailStore Server synchronisiert werden. | ||
− | + | * '''Benutzernamen-Format:'''<br/>Legen Sie fest, wie die MailStore Benutzernamen aussehen sollen: | |
+ | ** ''SAM Account Name''<br/>Der Prä-Windows 2000 Benutzername. | ||
+ | ** ''User Principal Name (UPN)''<br/>Der Windows Benutzername einschließlich der Domäne, z.B. ''[email protected]'' | ||
+ | ** ''User Principal Name (UPN) Local Part''<br/>Der Windows Benutzername nach entfernen der Domäne, z.B. ''max.musermann'' | ||
{{:Includes:Verzeichnisdienste_Optionen|Active Directory}} | {{:Includes:Verzeichnisdienste_Optionen|Active Directory}} | ||
{{:Includes:Standard-Berechtigungen_festlegen|Active Directory}} | {{:Includes:Standard-Berechtigungen_festlegen|Active Directory}} | ||
Zeile 47: | Zeile 50: | ||
Weitere Informationen zum Einsatz des MailStore Clients in einer Active Directory Umgebung finden Sie im Artikel [[MailStore_Client_Deployment|MailStore Client Deployment]]. | Weitere Informationen zum Einsatz des MailStore Clients in einer Active Directory Umgebung finden Sie im Artikel [[MailStore_Client_Deployment|MailStore Client Deployment]]. | ||
+ | [[de:Active Directory-Integration]] | ||
[[en:Active Directory Integration]] | [[en:Active Directory Integration]] |
Version vom 13. Juni 2014, 14:16 Uhr
Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem Active Directory Ihres Unternehmens abgleichen.
Bei der Synchronisierung werden aus dem Active Directory Benutzerinformationen, wie z.B. der Benutzername und die E-Mail-Adressen, ausgelesen und in die MailStore Server Benutzerdatenbank übertragen. Es werden von MailStore Server keine Änderungen am Active Directory selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.
Hinweis: Bitte beachten Sie, dass MailStore Server keine Subdomänen und Vertrauensstellungen unterstützt. Der MailStore Server Dienst muss unter dem 'Lokalem Systemkonto' laufen und der Server muss Mitglied der Domäne sein, damit die Windows Authentifizierung bei der Anmeldung von Benutzers am MailStore Server funktioniert.
Aufruf der Verzeichnisdienste-Integration
- Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
- Klicken Sie auf Verwaltung > Benutzer und Berechtigungen und dann auf Verzeichnisdienste.
- Wählen Sie im Bereich Integration den Verzeichnisdienste-Typ Active Directory.
Verbindung zum Active Directory
Für die Synchronisierung benötigt MailStore Server Informationen darüber, wie das Active Directory angesprochen werden kann.
- Servername
Der DNS-Name oder die IP-Adresse eines Active Directory-Domänencontrollers. Ist der MailStore Server-Computer Mitglied in einem Active Directory, wird diese Einstellung automatisch erkannt. - Protokoll
Das zu verwendende Protokoll zur Kommunikation mit dem Active Directory.- LDAP
Das Standardprotokoll zum Zugriff auf das Active Directory. Auch wenn Teile der Verbindung unverschlüsselt übertragen werden, sind die eigentlichen Nutzdaten verschlüsselt. - LDAPS
Dies zusätzlich mit SSL-gesicherte Variante. Beachten Sie, dass dies eine funktionierende Zertifikatsinfrastruktur benötigt, bei welcher der MailStore Server Computer das SSL-Zertifikat der Domänencontroller als vertrauenswürdig einstufen muss.
- LDAP
- Basis-DN
Der Basis-DN Ihres Active Directories. Dieser lässt sich häufig vom Namen Ihrer Active Directory-Domäne ableiten. Ist der Name Ihrer Active Directory-Domäne beispielsweise meinefirma.local lautet der Basis-DN in der Regel dc=meinefima, dc=local. Der Basis-DN kann auch über die Schaltfläche neben dem Eingabefeld ausgewählt werden, sofern ein Zugriff auf einen Active Directory-Domänencontroller möglich ist. Ist der MailStore Server-Computer Mitglied in einem Active Directory, wird diese Einstellung automatisch erkannt. - Authentifizierung
Legen Sie fest, wie der MailStore Server Dienst gegenüber dem Active Directory authentifiziert werden soll:
- Standard-Authentifizierung
Sofern Sie den MailStore Server nicht direkt auf einem Active Directory-Domänencontroller oder Microsoft Exchange Server installiert haben, ist meist die Nutzung der Standard-Authentifizierung erforderlich. Füllen Sie in diesem Fall die Felder Benutzername und Kennwort aus. Geben Sie den Benutzernamen in der UPN-Notation an, z.B. [email protected]. - Windows-Authentifizierung
Wurde MailStore Server direkt auf einem Active Directory-Domänencontroller oder Microsoft Exchange Server installiert, besitzt der MailStore Server-Dienst genügend Rechte, um sich per Windows-Authentifizierung am Active Directory anzumelden.
- Standard-Authentifizierung
Synchronisierung der Benutzerdatenbank
Nachdem Sie die Verbindungseinstellungen wie oben beschrieben angegeben haben, können Sie in diesem Abschnitt Filterkriterien für den Abgleich mit dem Active Directory festlegen.
- Nur Microsoft Exchange-Benutzer synchronisieren
Hierdurch werden bei der Synchronisierung nur Benutzerkonten mit im Active Directory hinterlegten E-Mail-Adressen berücksichtigt. Nehmen Sie dieses Häkchen nur dann heraus, wenn Sie wirklich alle im Active Directory angelegten Benutzer auch als MailStore Server-Benutzer anlegen lassen wollen. - Nur aktivierte Benutzer synchronisieren
Hierdurch werden bei der Synchronisierung nur aktive Active Directory Benutzerkonten berücksichtigt. Das Deaktivieren dieser Option kann sinnvoll sein, wenn z.B. bestimmte Exchange-Postfächer archiviert werden sollen, deren zugehörige Active Directory Benutzerkonten standardmäßig deaktiviert sind. - Nur in Adresslisten sichtbare Benutzer synchronisieren
Hierdurch werden bei der Synchronisierung nur Active Directory Benutzerkonten berücksichtigt, deren Exchange-Postfächer in den Exchange Adresslisten nicht ausgeblendet sind. - Nur diese Gruppen:
Wählen Sie eine oder mehrere Active Directory-Sicherheitsgruppen aus, wenn Sie nur deren Mitglieder als MailStore Server-Benutzer anlegen wollen. Dadurch lässt sich z.B. verhindern, dass System-Konten nach MailStore Server synchronisiert werden. - Benutzernamen-Format:
Legen Sie fest, wie die MailStore Benutzernamen aussehen sollen:- SAM Account Name
Der Prä-Windows 2000 Benutzername. - User Principal Name (UPN)
Der Windows Benutzername einschließlich der Domäne, z.B. [email protected] - User Principal Name (UPN) Local Part
Der Windows Benutzername nach entfernen der Domäne, z.B. max.musermann
- SAM Account Name
Includes:Verzeichnisdienste Optionen Includes:Standard-Berechtigungen festlegen Includes:Verzeichnisdienste Synchronisierung durchfuehren
Includes:Anmeldung mit Verzeichnisdienst-Zugangsdaten
MailStore Client Single Sign-On
Weitere Informationen zum Einsatz des MailStore Clients in einer Active Directory Umgebung finden Sie im Artikel MailStore Client Deployment.