Active Directory-Integration: Unterschied zwischen den Versionen

[unmarkierte Version]

[gesichtete Version]

Aktuelle Version vom 26. April 2021, 06:52 Uhr

Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem Active Directory Ihres Unternehmens abgleichen.

Bei der Synchronisierung werden Benutzerinformationen, wie z.B. Benutzernamen und E-Mail-Adressen, aus dem Active Directory in die MailStore Server-Benutzerdatenbank kopiert. Dadurch können sich z.B. Benutzer mit ihren Active Directory-Zugangsdaten auch an MailStore Server anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von MailStore Server keine Änderungen am Active Directory selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.

Hinweis: Bitte beachten Sie, dass MailStore Server keine Subdomänen und Vertrauensstellungen unterstützt. Der MailStore Server Dienst muss unter dem 'Lokalem Systemkonto' laufen und der Server muss Mitglied der Domäne sein, damit die Windows Authentifizierung bei der Anmeldung von Benutzers am MailStore Server funktioniert.

Aufruf der Verzeichnisdienste-Integration

Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
Klicken Sie auf Verwaltung > Benutzer und Archive > Verzeichnisdienste.
Wählen Sie im Bereich Integration den Verzeichnisdienste-Typ Active Directory.

Verbindung zum Active Directory

Für die Synchronisierung benötigt MailStore Server Informationen darüber, wie das Active Directory angesprochen werden kann.

Servername
Der Hostname oder die IP-Adresse eines Active Directory-Domänencontrollers. Ist der MailStore Server-Computer Mitglied in einem Active Directory, wird diese Einstellung automatisch erkannt.
Protokoll
Das zu verwendende Protokoll zur Kommunikation mit dem Active Directory-Domänencontroller. Folgende Protokolle stehen zur Auswahl:
- LDAP
  Das Standardprotokoll zum Zugriff auf das Active Directory. Auch wenn Teile der Verbindung unverschlüsselt sind, werden die eigentlichen Nutzdaten verschlüsselt.
- LDAPS
  Die zusätzlich mit SSL-gesicherte Variante. Beachten Sie, dass dies eine funktionierende Zertifikatsinfrastruktur benötigt, bei welcher der MailStore Server-Computer das SSL-Zertifikat der Domänencontrollers als vertrauenswürdig einstufen muss.
Basis-DN
Der Basis-DN Ihres Active Directories. Dieser lässt sich häufig vom Namen Ihrer Active Directory-Domäne ableiten. Ist der Name Ihrer Active Directory-Domäne beispielsweise meinefirma.local lautet der Basis-DN in der Regel dc=meinefima, dc=local. Der Basis-DN kann auch über die Schaltfläche neben dem Eingabefeld ausgewählt werden, sofern ein Zugriff auf einen Active Directory-Domänencontroller möglich ist. Ist der MailStore Server-Computer Mitglied in einem Active Directory, wird diese Einstellung automatisch erkannt.
Authentifizierung
Legen Sie fest, wie der MailStore Server Dienst gegenüber dem Active Directory authentifiziert werden soll:
- Standard-Authentifizierung
  Sofern Sie den MailStore Server nicht direkt auf einem Active Directory-Domänencontroller oder Microsoft Exchange Server installiert haben, ist meist die Nutzung der Standard-Authentifizierung erforderlich. Füllen Sie in diesem Fall die Felder Benutzername und Kennwort aus. Geben Sie den Benutzernamen in der UPN-Notation an, z.B. [email protected].
- Windows-Authentifizierung
  Wurde MailStore Server direkt auf einem Active Directory-Domänencontroller oder Microsoft Exchange Server installiert, besitzt der MailStore Server-Dienst genügend Rechte, um sich per Windows-Authentifizierung am Active Directory anzumelden.

Synchronisierung der Benutzerdatenbank

Nachdem Sie die Verbindungseinstellungen wie oben beschrieben angegeben haben, können Sie in diesem Abschnitt Filterkriterien für den Abgleich mit dem Active Directory festlegen.

Nur Microsoft Exchange-Benutzer synchronisieren
Hierdurch werden bei der Synchronisierung nur Benutzerkonten mit im Active Directory hinterlegten E-Mail-Adressen berücksichtigt. Nehmen Sie dieses Häkchen nur dann heraus, wenn Sie wirklich alle im Active Directory angelegten Benutzer auch als MailStore Server-Benutzer anlegen lassen wollen.
- Nur in Adresslisten sichtbare Benutzer synchronisieren
  Hierdurch werden bei der Synchronisierung nur Active Directory Benutzerkonten berücksichtigt, deren Exchange-Postfächer in den Exchange Adresslisten nicht ausgeblendet sind. Diese Option kann nur aktiviert werden, wenn die Option Nur Microsoft Exchange-Benutzer synchronisieren ebenfalls aktiviert ist.
Nur aktivierte Benutzer synchronisieren
Hierdurch werden bei der Synchronisierung nur aktive Active Directory Benutzerkonten berücksichtigt. Das Deaktivieren dieser Option kann sinnvoll sein, wenn z.B. bestimmte Exchange-Postfächer archiviert werden sollen, deren zugehörige Active Directory Benutzerkonten standardmäßig deaktiviert sind.
Nur diese Gruppen:
Wählen Sie eine oder mehrere Active Directory-Sicherheitsgruppen aus, wenn Sie nur deren Mitglieder als MailStore Server-Benutzer anlegen wollen. Dadurch lässt sich z.B. verhindern, dass System-Konten nach MailStore Server synchronisiert werden.
Hinweis: Wenn der MailStore Server Computer Mitglied einer anderen Domäne ist, als die, aus der die Benutzer synchronisiert werden sollen, können Universal Groups unter Umständen nicht synchronisiert werden. Ein Fehler mit dem Fehlercode 1355 wird dann angezeigt.
Benutzernamen-Format
Legen Sie fest, wie die MailStore Benutzernamen gebildet werden sollen:
- SAM Account Name
  Der Prä-Windows 2000 Benutzername.
- User Principal Name (UPN)
  Der Windows Benutzername einschließlich der Domäne, z.B. [email protected]
- User Principal Name (UPN) Local Part
  Der Windows Benutzername nach entfernen der Domäne, z.B. max.mustermann

Authentifizierung

Methode
Hier kann gewählt werden, wie Benutzer, die aus dem Active Directory synchronisiert worden sind, authentifiziert werden.
- Kerberos / NTLM
  Mit dieser Einstellung können sich Benutzer mit ihren Active Directory-Zugangsdaten direkt an MailStore Server anmelden. Die eingebenen Zugangsdaten werden dabei von MailStore Server an Active Directory weitergeleitet und dort geprüft.
- AD FS (OpenID Connect)
  Kommen in Ihrem Unternehmen die Active Directory Federation Services (AD FS) zum Einsatz, können Benutzer sich auch mittels OpenID Connect über AD FS an MailStore Server anmelden. Hierzu müssen die AD FS entsprechend unserer Anleitung konfiguriert und anschließend die folgenden Werte in MailStore Server eingetragen werden.
  - Discovery URI
    Der URI, unter dem die AD FS erreichbar sind. In der Regel ist dies der vollständige DNS-Name des AD FS-Servers, gefolgt vom Pfad /adfs, z.B. https://adfs.example.com/adfs. Dem Zertifikat der AD FS muss vertraut werden.
  - Client-ID
    Die Client-ID der Anwendungsgruppe, die in den AD FS für MailStore Server angelegt worden ist.
  - Weiterleitungs-URI
    Der Weiterleitungs-URI, der auch in der Anwendungsgruppe hinterlegt worden ist.
  - Anmeldedaten bei jedem Login erforderlich
    Ist diese Option aktiviert, müssen Benutzer sich bei jeder Anmeldung an MailStore Server erneut über die AD FS authentifizieren.
Hinweis: Erfolgt die Anmeldung an MailStore Server über AD FS (OpenID Connect), ist der Zugriff auf das Archiv mittels IMAP aus technischen Gründen nicht möglich.

Optionen

Automatisch Benutzer in MailStore Server löschen
Hier kann gewählt werden, ob Benutzer, die im Active Directory gelöscht wurden, durch die Synchronisierung auch in der MailStore Server-Benutzerdatenbank automatisch gelöscht werden sollen. Benutzer, die aus dem Betrachtungsbereich der Einstellungen fallen, werden ebenfalls gelöscht.
Es werden nur MailStore Server-Benutzer gelöscht, deren Authentifizierungsmethode auf Verzeichnisdienste eingestellt ist.
Enthält der Archivordner eines solchen Benutzers bereits archivierte E-Mails, wird nur der Benutzereintrag, nicht aber sein Archivordner in MailStore Server gelöscht.

Standard-Berechtigungen festlegen

Benutzer, die aus einem Active Directory nach MailStore Server synchronisiert wurden, besitzen standardmäßig das Recht zum Anmelden am MailStore Server und haben lesenden Zugriff auf ihr eigenes Benutzerarchiv.
Sie haben die Möglichkeit, die Standard-Berechtigungen vor der Synchronisierung anzupassen, um z.B. allen neuen Benutzern das Recht E-Mails archivieren zu geben. Klicken Sie dazu auf die Schaltfläche Standard-Berechtigungen....
Weitere Informationen über die Verwaltung von Benutzerrechten und deren Auswirkungen finden Sie im Kapitel Benutzer, Archive und Berechtigungen. Dort finden Sie auch Hinweise zum Anpassen existierender Berechtigungen.

Die Synchronisierung durchführen

Mit Klick auf Sync testen können Sie die Synchronisierungseinstellungen und das vom Active Directory zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der MailStore Server-Benutzerdatenbank durchgeführt werden.

Um die Synchronisierung letztendlich durchzuführen, klicken Sie auf Synchronisieren. Das Ergebnis wird dann mit allen an der MailStore Server-Benutzerdatenbank vollzogenen Änderungen angezeigt.

Sie können die Authentifizierung für einen bestimmten Benutzer testen, indem Sie diesen in der Liste auswählen und dann auf die entsprechende Schaltfläche links unten klicken. Geben Sie anschließend das Kennwort dieses Benutzers ein. Sie erhalten eine Rückmeldung, ob die Authentifizierung erfolgreich war.

Anmeldung mit Active Directory-Zugangsdaten

Nach der Synchronisierung können sich MailStore Server-Benutzer unter Verwendung ihres Active Directory-Benutzernamens und ihres Active Directory-Kennworts an MailStore Server anmelden.

Zur Verwendung von Single-Sign-On (SSO) mittels Windows-Authentifizierung ist es erforderlich, dass der Client und der MailStore Server Computer Mitglied derselben Windows-Domäne sind und der Client über den Domänencontroller authentifiziert worden ist. Auch sind weitere Konfigurationsschritte notwendig, die in den Artikeln MailStore Client Deployment und MailStore Outlook Add-In Deployment beschrieben sind.

@@ Zeile 1: / Zeile 1: @@
-= Abgleich der Benutzerkonten mit Active Directory =
+{{DISPLAYTITLE:Abgleich der Benutzerkonten mit einem Active Directory}}
+{{Verzeichnisdienste_Einleitung|Active Directory}}
-Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore seine interne Benutzerdatenbank auch mit dem Active Directoy Ihres Unternehmens abgleichen.
+<p class="msnote">'''Hinweis:''' Bitte beachten Sie, dass MailStore Server keine Subdomänen und Vertrauensstellungen unterstützt.
+Der MailStore Server Dienst muss unter dem 'Lokalem Systemkonto' laufen und der Server muss Mitglied der Domäne sein, damit die Windows Authentifizierung bei der Anmeldung von Benutzers am MailStore Server funktioniert.</p>
-Bei der Synchronisierung werden dem Active Directory Benutzerinformationen und E-Mail-Adressen entnommen und in MailStore eingetragen. Es werden von MailStore keine Änderungen am Active Directory selbst vorgenommen.
+== Aufruf der Verzeichnisdienste-Integration ==
+{{Verzeichnisdienste_Aufrufen|Active Directory|mads_sync_01.png}}
-== Aufruf der Active Directory-Integration ==
+== Verbindung zum Active Directory ==
+Für die Synchronisierung benötigt MailStore Server Informationen darüber, wie das Active Directory angesprochen werden kann.
-Melden Sie sich als MailStore-Administrator über den MailStore Client an. Klicken Sie auf ''Verwaltung'' und dann auf ''Active Directory-Integration''.
+*'''Servername'''<br/>Der Hostname oder die IP-Adresse eines Active Directory-Domänencontrollers. Ist der MailStore Server-Computer Mitglied in einem Active Directory, wird diese Einstellung automatisch erkannt.
+*'''Protokoll'''<br/>Das zu verwendende Protokoll zur Kommunikation mit dem Active Directory-Domänencontroller. Folgende Protokolle stehen zur Auswahl:
+** ''LDAP''<br/>Das Standardprotokoll zum Zugriff auf das Active Directory. Auch wenn Teile der Verbindung unverschlüsselt sind, werden die eigentlichen Nutzdaten verschlüsselt.
+** ''LDAPS''<br/>Die zusätzlich mit SSL-gesicherte Variante. Beachten Sie, dass dies eine funktionierende Zertifikatsinfrastruktur benötigt, bei welcher der MailStore Server-Computer das SSL-Zertifikat der Domänencontrollers als vertrauenswürdig einstufen muss.
+*'''Basis-DN'''<br/>Der Basis-DN Ihres Active Directories. Dieser lässt sich häufig vom Namen Ihrer Active Directory-Domäne ableiten. Ist der Name Ihrer Active Directory-Domäne beispielsweise ''meinefirma.local'' lautet der Basis-DN in der Regel ''dc=meinefima, dc=local''. Der Basis-DN kann auch über die Schaltfläche neben dem Eingabefeld ausgewählt werden, sofern ein Zugriff auf einen Active Directory-Domänencontroller möglich ist. Ist der MailStore Server-Computer Mitglied in einem Active Directory, wird diese Einstellung automatisch erkannt.
+*'''Authentifizierung'''<br/>Legen Sie fest, wie der MailStore Server Dienst gegenüber dem Active Directory authentifiziert werden soll:
+**''Standard-Authentifizierung''<br/>Sofern Sie den MailStore Server nicht direkt auf einem Active Directory-Domänencontroller oder Microsoft Exchange Server installiert haben, ist meist die Nutzung der ''Standard-Authentifizierung'' erforderlich. Füllen Sie in diesem Fall die Felder ''Benutzername'' und ''Kennwort'' aus. Geben Sie den Benutzernamen in der UPN-Notation an, z.B. ''[email protected]''.
+**''Windows-Authentifizierung''<br/>Wurde MailStore Server direkt auf einem Active Directory-Domänencontroller oder Microsoft Exchange Server installiert, besitzt der MailStore Server-Dienst genügend Rechte, um sich per ''Windows-Authentifizierung'' am Active Directory anzumelden.
-[[File:mads_sync_01.png|center|400px]]
+=== Synchronisierung der Benutzerdatenbank ===
+Nachdem Sie die Verbindungseinstellungen wie oben beschrieben angegeben haben, können Sie in diesem Abschnitt Filterkriterien für den Abgleich mit dem Active Directory festlegen.
-== Verbindungseinstellungen festlegen ==
+* '''Nur Microsoft Exchange-Benutzer synchronisieren'''<br/>Hierdurch werden bei der Synchronisierung nur Benutzerkonten mit im Active Directory hinterlegten E-Mail-Adressen berücksichtigt. Nehmen Sie dieses Häkchen nur dann heraus, wenn Sie wirklich alle im Active Directory angelegten Benutzer auch als MailStore Server-Benutzer anlegen lassen wollen.
+** '''Nur in Adresslisten sichtbare Benutzer synchronisieren'''<br/>Hierdurch werden bei der Synchronisierung nur Active Directory Benutzerkonten berücksichtigt, deren Exchange-Postfächer in den Exchange Adresslisten nicht ausgeblendet sind. Diese Option kann nur aktiviert werden, wenn die Option ''Nur Microsoft Exchange-Benutzer synchronisieren'' ebenfalls aktiviert ist.
+* '''Nur aktivierte Benutzer synchronisieren'''<br/>Hierdurch werden bei der Synchronisierung nur aktive Active Directory Benutzerkonten berücksichtigt. Das Deaktivieren dieser Option kann sinnvoll sein, wenn z.B. bestimmte Exchange-Postfächer archiviert werden sollen, deren zugehörige Active Directory Benutzerkonten standardmäßig deaktiviert sind.
+* '''Nur diese Gruppen:'''<br/>Wählen Sie eine oder mehrere Active Directory-Sicherheitsgruppen aus, wenn Sie nur deren Mitglieder als MailStore Server-Benutzer anlegen wollen. Dadurch lässt sich z.B. verhindern, dass System-Konten nach MailStore Server synchronisiert werden.
+*: <div class="msnote">'''Hinweis:''' Wenn der MailStore Server Computer Mitglied einer anderen Domäne ist, als die, aus der die Benutzer synchronisiert werden sollen, können ''Universal Groups'' unter Umständen nicht synchronisiert werden. Ein Fehler mit dem Fehlercode 1355 wird dann angezeigt.</div>
+* '''Benutzernamen-Format'''<br/>Legen Sie fest, wie die MailStore Benutzernamen gebildet werden sollen:
+** ''SAM Account Name''<br/>Der Prä-Windows 2000 Benutzername.
+** ''User Principal Name (UPN)''<br/>Der Windows Benutzername einschließlich der Domäne, z.B. ''[email protected]''
+** ''User Principal Name (UPN) Local Part''<br/>Der Windows Benutzername nach entfernen der Domäne, z.B. ''max.mustermann''
+{{Verzeichnisdienste_Authentifizierung|Active Directory}}
+{{Verzeichnisdienste_Optionen|Active Directory}}
+{{Verzeichnisdienste_Standard-Berechtigungen_festlegen|Active Directory}}
+{{Verzeichnisdienste_Synchronisierung_durchfuehren|Active Directory}}
+[[File:mads_sync_02.png|center|450px]]
-Bevor die Synchronisierungsfunktion verwendet werden kann, benötigt MailStore Informationen darüber, wie der Active Directory-Server erreicht werden kann.
+{{Verzeichnisdienste Authentifizierung testen}}
+{{Verzeichnisdienste_Anmeldung_mit_Verzeichnisdienst-Zugangsdaten|Active Directory}}
+Zur Verwendung von ''Single-Sign-On (SSO)'' mittels ''Windows-Authentifizierung'' ist es erforderlich, dass der Client und der MailStore Server Computer Mitglied derselben Windows-Domäne sind und der Client über den Domänencontroller authentifiziert worden ist. Auch sind weitere Konfigurationsschritte notwendig, die in den Artikeln [[MailStore_Client_Deployment|MailStore Client Deployment]] und [[MailStore_Outlook_Add-In_Deployment|MailStore Outlook Add-In Deployment]] beschrieben sind.
-In vielen Fällen wird es ausreichen, auf ''Alle Einstellungen automatisch erkennen'' zu klicken. Im Erfolgsfall werden die folgenden Felder automatisch ausgefüllt.
+[[de:Active Directory-Integration]]
+[[en:Active Directory Integration]]
-Bei Authentifizierung können Sie angeben, unter welcher Benutzerkennung der Zugriff auf das Active-Directoy erfolgen soll.
-== Durchführung der Synchronisierung ==
-Nachdem Sie die Verbindungseinstellungen (wie oben beschrieben) angegeben haben, können Sie unterhalb von ''Synchronisierung der Benutzerdatenbank'' die MailStore-Benutzerliste mit der Active
-Directory-Benutzerliste abgleichen.
-Dabei können folgenden Optionen gewählt werden:
-* '''Neue Benutzer automatisch in MailStore anlegen'''<br/>Nehmen Sie dieses Häkchen heraus, wenn bei der Active Directory-Synchronisierung keine neuen MailStore-Benutzer mehr angelegt werden sollen. Auf diese Weise werden bei der Synchronisierung lediglich die Daten der bereits vorhandenen MailStore-Benutzer aktualisiert.
-* '''Nur Microsoft Exchange-Benutzer synchronisieren'''<br/>Nehmen Sie dieses Häkchen nur dann heraus, wenn Sie wirklich alle im Active Directoy angelegten Benutzer auch als MailStore-Benutzer anlegen lassen wollen.
-* '''Nur Mitglieder einer Gruppe synchronisieren'''<br/>Setzen Sie dieses Häkchen und tragen Sie eine Active Directory Gruppe ein, wenn Sie nur Mitglieder dieser Gruppe mit als MailStore-Benutzer anlegen wollen.
-Klicken Sie auf '' '''Jetzt Synchronisieren''' '' um zu starten.
-Klicken Sie auf ''Nur Simulieren'', um zu sehen, was bei einem Klick auf ''Jetzt Synchronisieren'' passieren würde.
-== Hintergrund: Welche Informationen werden übertragen? ==
-Wird in Active Directory ein Benutzer gefunden, der in MailStore noch nicht vorhanden ist, führt die Synchronisierung folgende Schritte aus:
-* Ein neuer MailStore-Benutzer mit dem Anmeldenamen (SAM Account Name) des Active Directory-Benutzers wird angelegt.
-* Für den MailStore-Benutzer wird die LDAP-Authentifizierung konfiguriert. Weitere Informationen hierzu finden Sie im Abschnitt Anmeldung mit Windows-Zugangsdaten.
-* Der MailStore-Benutzer hat folgende Rechte: Anmeldung am MailStore Server über den MailStore Client; archivieren neuer E-Mails für sein eigenes Benutzerarchiv; durchsuchen des eigenen Benutzerarchivs und anzeigen der enthaltenen E-Mails; der Benutzer verfügt nicht über das Recht, E-Mails aus dem Archiv zu löschen;
-In jedem Fall (d.h. neuer oder existierender Benutzer) führt die Synchronisierung folgende Schritte aus:
-*Der vollständige Name des MailStore-Benutzers wird durch den vollständigen Namen des Active Directory-Benutzers ersetzt
-*Alle dem MailStore-Benutzer zugeordneten E-Mail-Adressen werden durch die in Active Directory eingetragenen E-Mail-Adressen ersetzt:
-**Handelt es sich um einen Microsoft Exchange-Benutzer, betrifft dies alle SMTP-Adressen dieses Benutzers.
-**Handelt es sich nicht um einen Microsoft Exchange-Benutzer, betrifft dies die im Feld ''E-Mail-Adresse'' eingetragene Adresse.
-== Nur Small Business Server-Benutzer synchronisieren ==
-Wenn Sie den Small Business Server von Microsoft einsetzen, werden mit den automatisch vorgenommenen Einstellungen auch Windows-Systembenutzer der MailStore-Benutzerverwaltung hinzugefügt, die mit hoher Wahrscheinlichkeit unerwünscht sind.
-Sie können die Synchronisierung auf die Benutzer einschränken, die mit Hilfe des Small Business Server-Assistenten eingerichtet wurden, indem Sie als Base DN die Organisationseinheit ''SBSUsers'' spezifizieren.
-[[File:mads_sync_03.png|center|150px]]
-Fügen Sie einfach die entsprechenden Zweige links an die automatisch erkannte Base DN an:
- OU=SBSUsers,OU=Users,OU=MyBusiness,DC=deepinvent,DC=local
-== Synchronisierung automatisieren mit ads-sync ==
-Um die Synchronisierung zu automatisieren, können Sie den Befehl ads-sync in der Management Shell verwenden. Informationen darüber, wie Management Shell-Befehle verwendet und automatisiert ausgeführt werden können, finden Sie unter Die MailStore Management Shell.
-<code> ads-sync </code> hat folgende Parameter:
- --server=<ldap-server>
-Gibt den zu kontaktierenden LDAP-Server (Active Directory) an
- --domain=<netbiosdomain>
-Gibt den NETBIOS-Domänennamen (Prä-Windows 2000) an
- --user=<username>
-Gibt den Benutzer an, der bei der LDAP-Verbindung verwendet werden soll
- --pass=<password>
-Gibt das Kennwort an, das bei der LDAP-Verbindung verwendet werden soll
- --allow-create
-Setzen Sie den allow-create-Schalter, wenn neue Benutzer in MailStore angelegt werden sollen. Wenn Sie diesen Schalter nicht setzen, werden nur Informationen zu bestehenden Benutzern aktualisiert.
-= Anmeldung mit Windows-Zugangsdaten =
-In der Standardeinstellung verfügt jeder in MailStore angelegte Benutzer über ein Kennwort nur für MailStore. Dieses kann der MailStore-Administrator während der Einrichtung des Benutzers festlegen. Vom Benutzer selbst kann es hinterher in der ''Verwaltung'' des MailStore Client geändert werden.
-Wenn Sie in Ihrem Unternehmen über ein ''Active Directory'' verfügen, können Sie MailStore alternativ so konfigurieren, dass Benutzer sich mit Ihren Active Directory-Kennwörtern über den MailStore Client am MailStore Server anmelden können.
-== Vorgehensweise für Benutzer, die über die Synchronisierung mit dem Active Directory angelegt wurden ==
-Haben Sie wie im vorangegangenen Abschnitt beschrieben die MailStore-Benutzer per Active Directory-Synchronisierung angelegt, brauchen Sie nichts weiter zu tun. In diesem Fall hat MailStore alle notwendigen Einstellungen bereits automatisch für Sie vorgenommen.
-== Vorgehensweise für manuell angelegte Benutzer ==
-Haben Sie MailStore-Benutzer manuell angelegt und möchten Sie, dass sich diese mit ihrem Active Directory-Kennwort anmelden können, befolgen Sie bitte die folgenden Schritte:
-*Konfigurieren Sie die Active Directory-Integration wie im Kapitel Abgleich der Benutzerkonten mit Active Directory beschrieben.
-*Stellen Sie sicher, dass die MailStore-Benutzer denselben Namen tragen wie die entsprechenden Benutzer im Active Directory.
-*Wählen Sie in den Benutzereigenschaften der Benutzer unter ''Authentifizierung'' die Option ''LDAP (Active Directory)''.
-[[File:mads_ldapauth_01.png|center|400px]]
-== Hintergrund: Wie geht MailStore intern bei Verwendung der LDAP-Authentifizierung vor? ==
-Im Folgenden wird beschrieben, wie MailStore bei der LDAP-Authentifizierung vorgeht. Diese Beschreibung richtet sich an technisch interessierte Anwender.
-*Der Benutzer meldet sich an. Die Zugangsdaten werden an den MailStore Server gesendet.
-*Der MailStore Server stellt fest, dass es sich um einen Benutzer handelt, für den ''LDAP-Authentifizierung'' konfiguriert ist.
-*MailStore stellt eine sichere LDAP-Verbindung zum in der ''Active Directory-Integration'' konfigurierten ''Active Directory-Server'' her. MailStore verwendet dabei den Benutzernamen, welcher sich aus Domäne (''NetBIOS'')  (ebenfalls in der ''Active Directory-Integration'' angegeben) und dem MailStore-Benutzernamen zusammensetzt (<code> DOMÄNE\benutzer </code>).
-*Kann die Verbindung hergestellt werden, sucht MailStore unterhalb des in den in ''Active Directory-Integration'' konfigurierten ''Base DN'' nach dem Benutzernamen (<code> sAMAccountName </code>). Wird dieser gefunden, betrachtet MailStore Server die Zugangsdaten als korrekt.
-*War die LDAP-Authentifizierung erfolgreich, erfolgt die übliche Anmeldung des Benutzers am MailStore Server.
-= MailStore Client Single Sign-On =
-Weitere Informationen zum Einsatz des MailStore Clients in einer Active Directory Umgebung finden Sie im Artikel [[MailStore_Client_Deployment|MailStore Client Deployment]].