Abgleich der Benutzerkonten mit Active Directory

Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore seine interne Benutzerdatenbank auch mit dem Active Directoy Ihres Unternehmens abgleichen.

Bei der Synchronisierung werden dem Active Directory Benutzerinformationen und E-Mail-Adressen entnommen und in MailStore eingetragen. Es werden von MailStore keine Änderungen am Active Directory selbst vorgenommen.

Aufruf der Active Directory-Integration

Melden Sie sich als MailStore-Administrator über den MailStore Client an. Klicken Sie auf Verwaltung und dann auf Active Directory-Integration.

Verbindungseinstellungen festlegen

Bevor die Synchronisierungsfunktion verwendet werden kann, benötigt MailStore Informationen darüber, wie der Active Directory-Server erreicht werden kann.

In vielen Fällen wird es ausreichen, auf Alle Einstellungen automatisch erkennen zu klicken. Im Erfolgsfall werden die folgenden Felder automatisch ausgefüllt.

Bei Authentifizierung können Sie angeben, unter welcher Benutzerkennung der Zugriff auf das Active-Directoy erfolgen soll.

Durchführung der Synchronisierung

Nachdem Sie die Verbindungseinstellungen (wie oben beschrieben) angegeben haben, können Sie unterhalb von Synchronisierung der Benutzerdatenbank die MailStore-Benutzerliste mit der Active Directory-Benutzerliste abgleichen.

Dabei können folgenden Optionen gewählt werden:

• Neue Benutzer automatisch in MailStore anlegen
  Nehmen Sie dieses Häkchen heraus, wenn bei der Active Directory-Synchronisierung keine neuen MailStore-Benutzer mehr angelegt werden sollen. Auf diese Weise werden bei der Synchronisierung lediglich die Daten der bereits vorhandenen MailStore-Benutzer aktualisiert.
• Nur Microsoft Exchange-Benutzer synchronisieren
  Nehmen Sie dieses Häkchen nur dann heraus, wenn Sie wirklich alle im Active Directoy angelegten Benutzer auch als MailStore-Benutzer anlegen lassen wollen.
• Nur Mitglieder einer Gruppe synchronisieren
  Setzen Sie dieses Häkchen und tragen Sie eine Active Directory Gruppe ein, wenn Sie nur Mitglieder dieser Gruppe mit als MailStore-Benutzer anlegen wollen.

Klicken Sie auf Jetzt Synchronisieren um zu starten.

Klicken Sie auf Nur Simulieren, um zu sehen, was bei einem Klick auf Jetzt Synchronisieren passieren würde.

Hintergrund: Welche Informationen werden übertragen?

Wird in Active Directory ein Benutzer gefunden, der in MailStore noch nicht vorhanden ist, führt die Synchronisierung folgende Schritte aus:

• Ein neuer MailStore-Benutzer mit dem Anmeldenamen (SAM Account Name) des Active Directory-Benutzers wird angelegt.
• Für den MailStore-Benutzer wird die LDAP-Authentifizierung konfiguriert. Weitere Informationen hierzu finden Sie im Abschnitt Anmeldung mit Windows-Zugangsdaten.
• Der MailStore-Benutzer hat folgende Rechte: Anmeldung am MailStore Server über den MailStore Client; archivieren neuer E-Mails für sein eigenes Benutzerarchiv; durchsuchen des eigenen Benutzerarchivs und anzeigen der enthaltenen E-Mails; der Benutzer verfügt nicht über das Recht, E-Mails aus dem Archiv zu löschen;

In jedem Fall (d.h. neuer oder existierender Benutzer) führt die Synchronisierung folgende Schritte aus:

• Der vollständige Name des MailStore-Benutzers wird durch den vollständigen Namen des Active Directory-Benutzers ersetzt
• Alle dem MailStore-Benutzer zugeordneten E-Mail-Adressen werden durch die in Active Directory eingetragenen E-Mail-Adressen ersetzt:
  • Handelt es sich um einen Microsoft Exchange-Benutzer, betrifft dies alle SMTP-Adressen dieses Benutzers.
  • Handelt es sich nicht um einen Microsoft Exchange-Benutzer, betrifft dies die im Feld E-Mail-Adresse eingetragene Adresse.

Nur Small Business Server-Benutzer synchronisieren

Wenn Sie den Small Business Server von Microsoft einsetzen, werden mit den automatisch vorgenommenen Einstellungen auch Windows-Systembenutzer der MailStore-Benutzerverwaltung hinzugefügt, die mit hoher Wahrscheinlichkeit unerwünscht sind.

Sie können die Synchronisierung auf die Benutzer einschränken, die mit Hilfe des Small Business Server-Assistenten eingerichtet wurden, indem Sie als Base DN die Organisationseinheit SBSUsers spezifizieren.

Fügen Sie einfach die entsprechenden Zweige links an die automatisch erkannte Base DN an:

OU=SBSUsers,OU=Users,OU=MyBusiness,DC=deepinvent,DC=local

Synchronisierung automatisieren mit ads-sync

Um die Synchronisierung zu automatisieren, können Sie den Befehl ads-sync in der Management Shell verwenden. Informationen darüber, wie Management Shell-Befehle verwendet und automatisiert ausgeführt werden können, finden Sie unter Die MailStore Management Shell.

ads-sync hat folgende Parameter:

--server=<ldap-server>

Gibt den zu kontaktierenden LDAP-Server (Active Directory) an

--domain=<netbiosdomain>

Gibt den NETBIOS-Domänennamen (Prä-Windows 2000) an

--user=<username>

Gibt den Benutzer an, der bei der LDAP-Verbindung verwendet werden soll

--pass=<password>

Gibt das Kennwort an, das bei der LDAP-Verbindung verwendet werden soll

--allow-create

Setzen Sie den allow-create-Schalter, wenn neue Benutzer in MailStore angelegt werden sollen. Wenn Sie diesen Schalter nicht setzen, werden nur Informationen zu bestehenden Benutzern aktualisiert.

Anmeldung mit Windows-Zugangsdaten

In der Standardeinstellung verfügt jeder in MailStore angelegte Benutzer über ein Kennwort nur für MailStore. Dieses kann der MailStore-Administrator während der Einrichtung des Benutzers festlegen. Vom Benutzer selbst kann es hinterher in der Verwaltung des MailStore Client geändert werden.

Wenn Sie in Ihrem Unternehmen über ein Active Directory verfügen, können Sie MailStore alternativ so konfigurieren, dass Benutzer sich mit Ihren Active Directory-Kennwörtern über den MailStore Client am MailStore Server anmelden können.

Vorgehensweise für Benutzer, die über die Synchronisierung mit dem Active Directory angelegt wurden

Haben Sie wie im vorangegangenen Abschnitt beschrieben die MailStore-Benutzer per Active Directory-Synchronisierung angelegt, brauchen Sie nichts weiter zu tun. In diesem Fall hat MailStore alle notwendigen Einstellungen bereits automatisch für Sie vorgenommen.

Vorgehensweise für manuell angelegte Benutzer

Haben Sie MailStore-Benutzer manuell angelegt und möchten Sie, dass sich diese mit ihrem Active Directory-Kennwort anmelden können, befolgen Sie bitte die folgenden Schritte:

• Konfigurieren Sie die Active Directory-Integration wie im Kapitel Abgleich der Benutzerkonten mit Active Directory beschrieben.
• Stellen Sie sicher, dass die MailStore-Benutzer denselben Namen tragen wie die entsprechenden Benutzer im Active Directory.
• Wählen Sie in den Benutzereigenschaften der Benutzer unter Authentifizierung die Option LDAP (Active Directory).

Hintergrund: Wie geht MailStore intern bei Verwendung der LDAP-Authentifizierung vor?

Im Folgenden wird beschrieben, wie MailStore bei der LDAP-Authentifizierung vorgeht. Diese Beschreibung richtet sich an technisch interessierte Anwender.

• Der Benutzer meldet sich an. Die Zugangsdaten werden an den MailStore Server gesendet.
• Der MailStore Server stellt fest, dass es sich um einen Benutzer handelt, für den LDAP-Authentifizierung konfiguriert ist.
• MailStore stellt eine sichere LDAP-Verbindung zum in der Active Directory-Integration konfigurierten Active Directory-Server her. MailStore verwendet dabei den Benutzernamen, welcher sich aus Domäne (NetBIOS) (ebenfalls in der Active Directory-Integration angegeben) und dem MailStore-Benutzernamen zusammensetzt ( DOMÄNE\benutzer ).
• Kann die Verbindung hergestellt werden, sucht MailStore unterhalb des in den in Active Directory-Integration konfigurierten Base DN nach dem Benutzernamen ( sAMAccountName ). Wird dieser gefunden, betrachtet MailStore Server die Zugangsdaten als korrekt.
• War die LDAP-Authentifizierung erfolgreich, erfolgt die übliche Anmeldung des Benutzers am MailStore Server.

MailStore Client Single Sign-On

MailStore Server stellt für die Verwendung der Single Sign-On Funktionalität in Active Directory Umgebungen ein ADM-Template bereit.

Das MailStore Client ADM-Template (Administrative Vorlage) ermöglicht die Konfiguration der MailStore Client-Anmeldung über den Gruppenrichtlinien-Editor. Sie finden das ADM-Template im Support-Unterverzeichnis des MailStore Server-Programmverzeichnisses.

Sie können das ADM-Template über eine Gruppenrichtlinie an alle Windows Clients in Ihrem Active Directory Netzwerk verteilen, die die Single Sign-On Funktionalität nutzen sollen.

Die Gruppenrichtlinien-Verwaltungskonsole

Die Verteilung von Gruppenrichtlinien an angeschlossenen Clients int eine Grundfunktionalität, die jedes Active Directory basierte Netzwerk bietet. Die Einrichtung der Gruppenrichtlinie für das Single Sign-On wird anhand der Gruppenrichtlinien Verwaltungskonsole (GPMC) beschrieben. Ab Windows Server 2007 ist die Verwaltungskonsole optionaler Bestandteil der Serverinstallation, für Windows 2003 kann die Installationsroutine unter http://www.mailstore.com/?gpmc heruntergeladen werden.

So installieren Sie das ADM-Template im Active Directory

• Öffnen Sie die Gruppenrichtlinien Verwaltungskonsole
• Klicken Sie mit der rechten Maustaste auf den Verwaltungsordner Gruppenrichtlinienobjekte, wählen Sie Neu... und erstellen Sie ein neues Gruppenrichtlinienobjekt mit dem Namen MailStore SSO
• Markieren Sie das soeben erstelle Objekt und klicken Sie auf Bearbeiten...

• Erweitern Sie jetzt die Benutzerkonfiguration und markieren Sie Administrative Vorlagen. Klicken Sie auf Vorlagen hinzufügen/entfernen...

• Klicken Sie nun auf Hinzufügen und wählen Sie die Administrative Vorlage MailStoreClient.adm aus. Diese finden Sie Support-Unterverzeichnis des MailStore Server-Programmverzeichnis. Löschen Sie alle eventuell noch angezeigten Richtlinienvorlagen und schließen Sie den Vorlagen hinzufügen/entfernen Dialog.
• Erweitern Sie die Administrativen Vorlagen, klicken Sie auf MailStore Client und bearbeiten Sie den Eintrag Auto Logon.

• Aktivieren Sie die Einstellung, markieren Sie die Option Automatically log on to MailStore Server und geben Sie den den DNS Namen des MailStore Server Computers im Feld Server Name ein.

Hinweis: Wenn Single Sign-On mit diesen Einstellungen nicht funktioniert, geben Sie Anstatt des Namens bitte die IP-Nummer des MailStore Servers an.

• Beenden Sie die Eingabe mit OK. Schließen Sie den Gruppenrichtlinieneditor. Die Gruppenrichtlinie ist nun konfiguriert und kann mit den entsprechenden Benutzerobjekte verknüpft werden. Die Verknüpfung findet über die Organisatorischen Einheiten (OU) statt.

• Markieren Sie die Organisatorische Einheit welche die gewünschten Benutzerobjekte enthält und wählen Sie nach einem Rechtsklick auf die OU (im Beispiel DE_Viersen) die Option Vorhandenes Gruppenrichtlinienobjekt verknüpfen... Im Dialog Gruppenrichtlinienobjekt auswählen markieren Sie die MailStore SSO Richtlinie und bestätigen Sie mit OK.
• Die Gruppenrichtlinie ist nun vorhanden und wird bei einer Neuanmeldung der Benutzer an den Windows Clients aktiv.