Konfiguration der Active Directory-Integration
Mithilfe der Funktion für die Active Directory-Integration von KnowBe4 lässt sich Active Directory in die KnowBe4-Konsole integrieren. Nach der ADI-Konfiguration werden Nutzer und Gruppen in der KnowBe4-Konsole basierend auf den von Ihrem Active Directory gesendeten Informationen automatisch hinzugefügt, geändert und archiviert. Beachten Sie, dass die Synchronisierung einseitig verläuft. Es werden keine Informationen von der KnowBe4-Konsole zurück an Ihr Active Directory gesendet.
In diesem Video wird die Einrichtung der Active Directory-Integration erläutert. Lesen Sie zusätzlich die folgenden Abschnitte, um die Funktionsweise der ADI besser zu verstehen.
Navigieren zu:
Welche Vorteile bietet eine ADI-Einrichtung?
So funktioniert die ADI bei Konten mit bestehenden Nutzern
Voraussetzungen
Vorab erforderliche Schritte
Installation und Konfiguration
Definition von zu synchronisierenden OUs, Gruppen und Nutzern
Start der Synchronisierung
Erweiterte Konfigurationsoptionen
- Unterstützung für mehrere Quelldomänen
- Wie ändere ich das Active Directory-Abrufverzeichnis für E-Mail-Adressen?
- Wie synchronisiere ich benutzerdefinierte Felder?
Wie installiere ich die neueste ADI-Version?
Welche Vorteile bietet eine ADI-Einrichtung?
Bei einer Integration von KnowBe4 in Ihr Active Directory (AD) können Nutzer und Gruppen aus Ihrem AD zu Ihrer Konsole hinzugefügt werden. Die Verwaltung von Nutzern und Gruppen wird dadurch vereinfacht.
Klicken Sie auf die folgenden Dropdown-Menüs, um mehr über die Vorteile einer Integration Ihres AD mit KnowBe4 zu erfahren.
Mithilfe der ADI können Sie Ihre Nutzerliste in KnowBe4 über Ihr Active Directory (AD) verwalten. Änderungen an Ihrem AD werden bei der nächsten Synchronisierung automatisch in Ihre KnowBe4-Konsole übernommen. Wenn Sie beispielsweise einen Nutzer in Ihrem AD hinzufügen, archivieren oder ändern, wird die gleiche Aktion für den Nutzer in der KnowBe4-Konsole durchgeführt.
Darüber hinaus müssen Sie Nutzergruppen in KnowBe4 nicht manuell erstellen und verwalten, sondern können Nutzergruppen von Ihrem AD synchronisieren. Diese Nutzergruppen werden dann automatisch in Ihrer KnowBe4-Konsole erstellt.
Bei der Einrichtung der ADI geben Sie die Nutzerinformationen an, die aus Ihrem AD mit den Nutzerprofilen in Ihrer KnowBe4-Konsole synchronisiert werden sollen. Wenn Sie diese Nutzerinformationen zu Ihrer Konsole hinzufügen und unsere Platzhalter für Nutzerinformationen verwenden, können Sie bessere Phishing-Vorlagen erstellen. Diese Platzhalter rufen Daten aus den Profilen Ihrer Nutzer ab. Sie erhalten dadurch die Möglichkeit, gezieltere Phishing-Vorlagen für Ihre Kampagnen zu erstellen.
Wenn Sie Nutzer über die ADI zu KnowBe4 hinzufügen, werden diese auch automatisch Phishing-Kampagnen hinzugefügt, die allen Nutzern und den Gruppen, zu denen die neuen Nutzer hinzugefügt wurden, zugewiesen sind. Weitere Informationen finden Sie unter Erstellen und Verwalten von Phishing-Kampagnen.
Wenn Sie Nutzer über die ADI zu KnowBe4 hinzufügen, werden diese automatisch zu den Trainingskampagnen hinzugefügt, bei denen die Option Automatische Registrierung neuer Nutzer aktivieren aktiviert ist. Weitere Informationen finden Sie unter Trainingskampagnen und Content Management.
So funktioniert die ADI bei Konten mit bestehenden Nutzern
Wenn Sie bereits Nutzer zu Ihrem KnowBe4-Konto hinzugefügt haben, sollten Sie vor der Konfiguration der Active Directory-Integration (ADI) Folgendes beachten:
- Nach der ADI-Konfiguration sind die Daten maßgeblich, die von Ihrem Active Directory synchronisiert werden. Während der Synchronisierung zwischen der KnowBe4-Konsole und Ihrem AD geschieht Folgendes:
- Nutzer, die nicht in Ihrem Active Directory gefunden werden, werden in Ihrer KnowBe4-Konsole archiviert.
- Wenn Sie die Nutzerinformationen in Ihrer KnowBe4-Konsole geändert haben, werden diese Änderungen mit den Daten von Ihrem Active Directory überschrieben.
- Vor der ADI-Konfiguration werden die Nutzerkonten in Ihrer KnowBe4-Konsole über die Konsole verwaltet. Wenn Nutzer über die Konsole verwaltet werden, können Nutzerinformationen wie folgt bearbeitet werden: Hochladen einer CSV-Datei in die Konsole oder Bearbeiten der Nutzerprofile direkt in der Konsole.
- Wenn nach der ADI-Konfiguration die erste AD-Synchronisierung erfolgt, werden die Nutzer über das AD verwaltet. Wenn Nutzer über das AD verwaltet werden, müssen Sie die Nutzerinformationen in Ihrem Active Directory bearbeiten. Die Änderungen werden bei der nächsten Synchronisierung in die KnowBe4-Konsole übertragen.
- Bei der ersten AD-Synchronisierung werden die über die Konsole verwalteten Nutzerkonten den Konten in Ihrem AD automatisch von der Konsole zugeordnet. Dabei verlieren Ihre Nutzer den Status „über die Konsole verwaltet“ und erhalten den Status „über das AD verwaltet“. Der Ablauf ist wie folgt:
- Sie installieren und konfigurieren das ADI-Synchronisierungstool in Ihrer Umgebung.
- Ausführliche Informationen finden Sie im Abschnitt Installation und Konfiguration.
- Sie legen fest, welche Informationen von Ihrem Active Directory synchronisiert werden sollen.
- Ausführliche Informationen finden Sie im Abschnitt Definition von zu synchronisierenden OUs, Gruppen und Nutzern.
- Im Anschluss fragt der ADI-Synchronisierungsdienst Ihr(e) Active Directory-Verzeichnis(se) nach Nutzer- und Gruppeninformationen ab und sendet die Ergebnisse an die KnowBe4-Server.
- Die KnowBe4-Server überprüfen die von Ihrem AD gesendeten Informationen. Nutzer und Gruppen in Ihrer KnowBe4-Konsole werden von den Servern gemäß folgender Logik automatisch aktualisiert:
- Ist dem AD-Nutzer eine E-Mail-Adresse zugewiesen, die mit der E-Mail-Adresse eines vorhandenen Nutzerkontos in der KnowBe4-Konsole übereinstimmt, dann wird dieses Nutzerkonto ab sofort über das AD verwaltet.
- Wird der AD-Nutzer nicht in der KnowBe4-Konsole gefunden, wird ein Nutzerkonto erstellt, das über das AD verwaltet wird.
- Nach der Verarbeitung aller AD-Nutzer werden alle Nutzerkonten in der Konsole, die nicht über das AD verwaltet werden, archiviert.
- Sie installieren und konfigurieren das ADI-Synchronisierungstool in Ihrer Umgebung.
Nach der Konfiguration der Active Directory-Integration (ADI) bleiben die Nutzerinformationen in der Konsole anhand der Informationen im Active Directory Ihres Unternehmens auf dem neuesten Stand.
Voraussetzungen
Stellen Sie vor der ADI-Einrichtung sicher, dass Ihre Umgebung unsere grundlegenden Anforderungen erfüllt, die nachfolgend aufgeführt sind.
- Ihr Unternehmen muss einen der folgenden Active Directory-Dienste nutzen:
- Microsoft Active Directory: Sie benötigen die Domänenfunktionsebene Windows Server 2003 oder höher.
- Azure Active Directory: Sie können Azure Active Directory Domain Services mit der KnowBe4-Konsole synchronisieren. Weitere Informationen finden Sie hier: So verwenden Sie die Active Directory-Integration mit Azure Active Directory Domain Services.
- Installieren Sie, sofern möglich, das ADI-Tool auf einem Anwendungsserver und nicht auf einem normalen (im Gebrauch befindlichen) Computer. Stellen Sie sich, dass das System die folgenden Anforderungen erfüllt:
- Windows Desktop 7/Vista/8/10 oder Windows Server 2008/2012/2016/2019 (64 Bit).
- Stellen Sie sicher, dass das System einen der folgenden Server erreichen kann (abhängig von Ihrem KnowBe4-Konto):
- https://training.knowbe4.com
- https://eu.knowbe4.com
Hinweis:
Wenn Sie die ADI über einen Proxyserver konfigurieren, müssen Sie eine HTTP_PROXY-Variable zu Ihren Umgebungsvariablen hinzufügen. Befolgen Sie die Anweisungen in diesem Artikel: Wie konfiguriere ich die Active Directory-Integration (ADI) bei Verwendung eines Proxyservers?Im nächsten Abschnitt finden Sie wichtige Schritte, die Sie vor der ADI-Konfiguration durchführen müssen.
Vorab erforderliche Schritte
Bevor Sie das AD-Synchronisierungstool von KnowBe4 auf Ihrem lokalen System installieren und konfigurieren können, müssen Sie zur Vorbereitung die folgenden Schritte durchführen.
- Für die ADI-Konfiguration benötigen Sie die folgenden Informationen über Ihr Active Directory (AD). Gehen Sie wie folgt vor:
Wichtig!
Befinden sich Ihre Nutzer in mehr als einem Domänencontroller, benötigen Sie für jeden Domänencontroller die folgenden Informationen. Darüber hinaus ist es erforderlich, dass Sie die ADI für jede dieser Domänen konfigurieren. Weitere Informationen finden Sie im Abschnitt Unterstützung für mehrere Quelldomänen weiter unten.- Suchen Sie die IP-Adresse oder den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) für den Domänencontroller, auf dem sich Ihr Active Directory befindet.
- Stellen Sie sicher, dass Ihr AD-Domänencontroller auf LDAP-Anforderungen antworten kann. Hierbei handelt es sich um die Standardeinstellung aller Domänencontroller.
Tipp:
Ihre AD-Synchronisierung kann über LDAP kommunizieren. Sie können vor der Active Directory-Synchronisierung auch LDAPS auf Ihrem Domänencontroller aktivieren, sofern Sie diese Kommunikationsmethode bevorzugen. Hierbei handelt es sich nicht um eine Standardeinstellung von Domänencontrollern. Weitere Informationen finden Sie in unseren FAQ: Ich möchte LDAPS einrichten. - Suchen Sie den AD-Domänennamen. Beim AD-Domänenname handelt es sich um die Stammdomäne, die von Ihrem AD-Domänencontroller gesteuert wird. In der folgenden Abbildung finden Sie ein Beispiel für einen AD-Domänennamen:
- Stellen Sie sicher, dass Benutzername und Passwort für ein AD-Administratorkonto mit der Berechtigung zur Durchführung von LDAP-Anforderungen zur Verfügung stehen.
- Standardmäßig verfügt jedes Konto in der Gruppe „Domänenbenutzer“ über diese Berechtigungen. Aus Sicherheitsgründen empfehlen wir jedoch, ein Dienstkonto zu verwenden, das für Ihr AD lediglich eine Leseberechtigung hat. Informationen über die für dieses Dienstkonto erforderlichen Leseberechtigungen finden Sie hier: So erstellen Sie ein ADI-Dienstkonto in Active Directory.
- Rufen Sie Ihr ADI-Synchronisierungstoken ab und laden Sie das ADI-Synchronisierungstool in den KnowBe4-Kontoeinstellungen herunter. Gehen Sie wie folgt vor:
- Melden Sie sich bei Ihrem KnowBe4-Konto an und klicken Sie oben rechts auf Ihre E-Mail-Adresse. Klicken Sie auf Kontoeinstellungen.
- Navigieren Sie zum Abschnitt Nutzerbereitstellung. Aktivieren Sie dann das Kontrollkästchen Nutzerbereitstellung (Nutzersynchronisierung) aktivieren, wie unten dargestellt.
- Stellen Sie sicher dass die Einstellung Testmodus aktiviert ist, wie unten dargestellt. Deaktivieren Sie den Testmodus erst, nachdem Sie die ADI-Einrichtung abgeschlossen und überprüft haben, dass die ADI ordnungsgemäß funktioniert.
- Im aktivierten Testmodus wird keine Nutzerbereitstellung oder -synchronisierung durchgeführt. Stattdessen wird ein Report erstellt, aus dem ersichtlich wird, was bei einer Durchführung der Nutzerbereitstellung passiert wäre. Im Testmodus können Sie mögliche Probleme ohne Auswirkungen auf die aktuellen Nutzer in Ihrer Konsole beheben.
Tipp:
Die Option Gruppendomain anzeigen eignet sich insbesondere dann, wenn Ihre Nutzer auf mehrere Domänenquellen aufgeteilt sind. Weitere Informationen finden Sie hier: Was bewirkt die Aktivierung der Option „Gruppendomain anzeigen“ in den Kontoeinstellungen? -
ADI-Synchronisierungstoken: Kopieren Sie Ihr ADI-Synchronisierungstoken und speichern Sie es in einem lokalen Ordner. Sie benötigen dieses Token zum Abschluss der Einrichtung.
- Ihr ADI-Synchronisierungstoken umfasst 32 Stellen und sieht in etwa wie folgt aus: 9X140X4829E37XX545401X97912X604X.
- Laden Sie das ADI-Tool herunter: Klicken Sie neben ADI-Tool (KnowBe4_AD_Sync.msi) auf das Download-Symbol, um die Datei herunterzuladen.
- Klicken Sie unten auf der Seite mit den Kontoeinstellungen auf Änderungen speichern.
- Legen Sie fest, welche Nutzer synchronisiert werden sollen, und ermitteln Sie den Speicherort dieser Objekte in Ihrem AD.
Nachdem Sie die Schritte in diesem Abschnitt und im Abschnitt Installation und Konfiguration weiter unten abgeschlossen haben, müssen Sie das Verzeichnis, in dem die Nutzerobjekte in Ihrem AD gespeichert sind, definieren. Sie können Nutzerobjekte aus einer oder mehreren der folgenden Gruppen synchronisieren: Organisationseinheiten (OUs), Sicherheitsgruppen und Verteilergruppen.- Ausführliche Informationen zum Definieren der zu synchronisierenden Benutzer finden Sie unter: Definition von zu synchronisierenden OUs, Gruppen und Nutzern.
- Die zu synchronisierenden Nutzer befinden sich im integrierten Benutzercontainer und nicht in einer OU: Container können nicht synchronisiert werden. Sie können dieses Problem wie folgt umgehen: Erstellen Sie eine Sicherheitsgruppe, fügen Sie diese Nutzer zur Sicherheitsgruppe hinzu und synchronisieren Sie dann diese Gruppe anstelle des Containers.
- Ihr AD ist für eine Synchronisierung mit der KnowBe4-Konsole nicht optimal organisiert oder Sie sind sich unsicher: Sie können eine oder mehrere Gruppen in Active Directory einrichten, die alle zu synchronisierenden Nutzerobjekte und Gruppen enthält bzw. enthalten. Geben Sie im Anschluss an, dass Sie NUR diese Gruppen synchronisieren möchten.
- Legen Sie fest, aus welchem Feld im AD die E-Mail-Adressen Ihrer Nutzer abgerufen werden sollen. Standardmäßig ruft der ADI-Dienst die Proxyadressen Ihrer Nutzer ab und verwendet diese als E-Mail-Adresse für deren KnowBe4-Konten.
- Wenn Sie die Proxyadressen nicht verwenden möchten, müssen Sie in der ADIsync.conf-Datei das Feld „emailAttrib“ bearbeiten. Wenn Sie als E-Mail-Server nicht Exchange oder Microsoft 365 verwenden, ist das Proxyadressfeld in Ihrem AD höchstwahrscheinlich leer. Bearbeiten Sie das Feld „emailAttrib“, nachdem Sie die Installation durchgeführt haben, jedoch bevor Sie den ADI-Synchronisierungsdienst starten. Anweisungen finden Sie hier: Wie ändere ich das Active Directory-Abrufverzeichnis für E-Mail-Adressen?
- Wenn Sie die Proxyadressen nicht verwenden möchten, müssen Sie in der ADIsync.conf-Datei das Feld „emailAttrib“ bearbeiten. Wenn Sie als E-Mail-Server nicht Exchange oder Microsoft 365 verwenden, ist das Proxyadressfeld in Ihrem AD höchstwahrscheinlich leer. Bearbeiten Sie das Feld „emailAttrib“, nachdem Sie die Installation durchgeführt haben, jedoch bevor Sie den ADI-Synchronisierungsdienst starten. Anweisungen finden Sie hier: Wie ändere ich das Active Directory-Abrufverzeichnis für E-Mail-Adressen?
- Stellen Sie sicher, dass alle Kampagneneinstellungen ordnungsgemäß für den Nutzerzuwachs konfiguriert sind. Überprüfen Sie die Einstellungen der Smart Groups in den Kampagnen. Diese können durch ADI-Synchronisierung beeinflusst werden.
Wenn Sie die oben genannten Informationen zusammengetragen haben, fahren Sie mit den Schritten im nächsten Abschnitt fort.
Installation und Konfiguration
Wenn Sie die oben genannten Informationen zusammengetragen haben, können Sie das ADI-Synchronisierungstool installieren und konfigurieren. Gehen Sie wie folgt vor:
- Führen Sie das Active Directory-Synchronisierungstool aus. Hierbei handelt es sich um die KnowBe4_AD_Sync.msi-Datei, die Sie in den Kontoeinstellungen Ihrer Konsole heruntergeladen haben (siehe Schritt 2 im Abschnitt Vorab erforderliche Schritte weiter oben).
- Das AD-Synchronisierungstool muss nicht auf einem Domänencontroller installiert werden. Die Installation ist in Ihrer gesamten Umgebung möglich. Das System muss lediglich mit einem Domänencontroller kommunizieren und LDAP-Verbindungen akzeptiert können.
Tipp:
Ihre AD-Synchronisierung kann über LDAP kommunizieren. Sie können vor der Active Directory-Synchronisierung auch LDAPS auf Ihrem Domänencontroller aktivieren, sofern Sie diese Kommunikationsmethode bevorzugen. Hierbei handelt es sich nicht um eine Standardeinstellung von Domänencontrollern. Weitere Informationen finden Sie in unseren FAQ: Ich möchte LDAPS einrichten.
- Das AD-Synchronisierungstool muss nicht auf einem Domänencontroller installiert werden. Die Installation ist in Ihrer gesamten Umgebung möglich. Das System muss lediglich mit einem Domänencontroller kommunizieren und LDAP-Verbindungen akzeptiert können.
- Eine Eingabeaufforderungsfenster zum Festlegen des Installationsverzeichnisses wird automatisch geöffnet. Der standardmäßige Speicherort für das Installationsverzeichnis auf 64-Bit-Plattformen lautet wie folgt:

- Wenn Sie diesen Befehl zum ersten Mal ausführen, werden Sie zur Eingabe Ihres Active Directory-Synchronisierungstokens aufgefordert. Hierbei handelt es sich um die Zeichenfolge, die Sie in Ihren KnowBe4-Kontoeinstellungen kopiert haben (siehe Schritt 2 im Abschnitt Vorab erforderliche Schritte weiter oben).
- Domänennamen eingeben: Der Domänenname bezieht sich auf die Stammdomäne für Ihr AD. Ein Beispiel finden Sie in diesem Schritt im Abschnitt Vorab erforderliche Schritte weiter oben.
- Hostnamen oder IP-Adresse für Active Directory eingeben: Der Hostname bzw. die IP-Adresse für das AD bezieht sich auf die IP-Adresse oder den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) für den Domänencontroller, auf dem sich Ihr Active Directory befindet.
- SSL aktivieren (true/false): Standardmäßig ist LDAPS nicht auf Ihrem Domänencontroller aktiviert. Geben Sie false ein oder drücken die Eingabetaste auf Ihrer Tastatur, um „false“ automatisch auszuwählen. Wenn Sie LDAPS für diese Synchronisierung bereits aktiviert haben, geben Sie stattdessen true ein.
- Active Directory-Portnummer eingeben: Geben Sie den entsprechenden LDAP- oder LDAPS-Port ein. Der standardmäßige Port für LDAP lautet 389 und für LDAPS 636.
- Benutzernamen eingeben: Geben Sie den Benutzernamen und das Kennwort für ein AD-Administratorkonto mit der erforderlichen Leseberechtigung zur Durchführung von LDAP-Anforderungen ein. Der Benutzername muss das Format „user@domain“ aufweisen.
- Kennwort eingeben: Geben Sie das Kennwort für das AD-Administratorkonto ein.

Sofern beim Erreichen oder bei der Authentifizierung ein Problem mit Ihrem Domänencontroller aufgetreten ist, werden im Eingabeaufforderungsfenster Fehlermeldungen angezeigt. In diesem Fall müssen die Schritte in diesem Abschnitt mit den richtigen Konfigurationsdaten wiederholen. Wenn weiterhin Fehler auftreten, wenden Sie sich bitte an unser Supportteam.
Wenn eine Verbindung hergestellt wurde, können Sie im nächsten Abschnitt die Nutzer und Informationen angeben, die mit Ihrem KnowBe4-Konto synchronisiert werden sollen.
Definition von zu synchronisierenden OUs, Gruppen und Nutzern
Nachdem Sie die Schritte in den beiden vorherigen Abschnitten durchgeführt haben, bearbeiten Sie die
Tipp:
Stellen Sie bei der Konfiguration derFühren Sie die ADI-Einrichtung wie folgt fort:
- Stellen Sie sicher, dass Sie über Bearbeitungsberechtigungen für den Ordner „ADISync“ verfügen.
- Suchen Sie die
.conf -Datei im Installationsverzeichnis (siehe Abbildung unten). Öffnen Sie die Datei in einem Texteditor, z. B. Notepad.- In der
.conf -Datei werden die Nutzer, Nutzerinformationen und Gruppen definiert, die zwischen KnowBe4 und Ihrem Active Directory synchronisiert werden sollen. Öffnen Sie diese sample_domain-Datei, um ein Beispiel anzuzeigen.
Hinweis:
Stellen Sie sicher, dass Sie die.conf -Datei bearbeiten und nicht die ADISync.conf-Datei.
- In der
- Legen Sie in der
.conf -Datei die Kriterien für die Nutzer- und Gruppensynchronisierung fest. Sie können in der.conf -Datei drei Abschnitte ändern:-
[sync.fields] (optional): Bearbeiten Sie diesen Bereich, um die Felder mit Nutzerinformationen anzugeben, die aus Ihrem AD synchronisiert werden sollen.
- Weitere Informationen finden Sie hier: Synchronisieren von anderen Nutzerinformationen mit KnowBe4.
-
[sync.users] (erforderlich): In diesem Bereich können Sie festlegen, welche Nutzer aus Ihrem AD synchronisiert werden sollen. Fügen Sie im Abschnitt [sync.users] der .conf-Datei mindestens eine OU, eine Gruppe oder einen Nutzer ein.
- Weitere Informationen finden Sie hier: Synchronisieren von Nutzern nach Einschluss/Ausschluss einer OU, einer Gruppe oder einem bestimmten Nutzer (erforderlich).
-
[sync.groups] (optional): In diesem Bereich können Sie die Gruppen angeben, die aus Ihrem AD synchronisiert werden sollen. Diese Gruppen werden automatisch in Ihrer KnowBe4-Konsole erstellt und die entsprechenden Nutzer werden zu den Gruppen hinzugefügt.
- Weitere Informationen finden Sie hier: Synchronisieren von Nutzern nach Einschluss/Ausschluss einer OU oder einer Gruppe (optional).
Hinweis:
Enthalten Ihre OUs oder Gruppennamen Buchstaben, die nicht zum englischen Standardalphabet gehören, ersetzen Sie in der.conf -Datei die Anführungszeichen (") durch einfache Anführungszeichen ('). Setzen Sie vor Kommas, Hashtags und Pluszeichen zusätzlich einen doppelten umgekehrten Schrägstrich. Ausführliche Informationen finden Sie unter So verwenden Sie Escapezeichen bei der Active Directory-Integration. -
[sync.fields] (optional): Bearbeiten Sie diesen Bereich, um die Felder mit Nutzerinformationen anzugeben, die aus Ihrem AD synchronisiert werden sollen.
- Speichern Sie im Anschluss die Änderungen an der
.conf -Datei.
Im nächsten Abschnitt finden Sie Informationen zum Start Ihrer ADI-Synchronisierung.
Start der Synchronisierung
Wenn alle oben genannten Schritte abgeschlossen sind, ist Ihr ADI-Dienst konfiguriert und Sie können die ADI-Synchronisierung starten. Gehen Sie wie folgt vor:
Wichtig!
Stellen Sie vor dem Start der Synchronisierung sicher, dass in Ihren KnowBe4-Kontoeinstellungen der Testmodus aktiviert ist (siehe Schritt 2 im Abschnitt Vorab erforderliche Schritte).- Sie können die Synchronisierung wie folgt starten:
- Verwenden Sie den Dienststeuerungs-Manager von Windows (der ADI-Dienst lautet „Active Directory-Integration Synchronisierungsdienst“).
- Öffnen Sie als Administrator eine Eingabeaufforderung und gehen Sie dann wie folgt vor:
- Navigieren Sie zum entsprechenden Verzeichnis. Der standardmäßige Speicherort für das Installationsverzeichnis auf 64-Bit-Plattformen lautet wie folgt:
C:\Programme (x86)\KnowBe4\ADISync
- Geben Sie ADIsync.exe service start ein und drücken Sie die Eingabetaste auf Ihrer Tastatur.
- Navigieren Sie zum entsprechenden Verzeichnis. Der standardmäßige Speicherort für das Installationsverzeichnis auf 64-Bit-Plattformen lautet wie folgt:
Der ADI-Synchronisierungsdienst wird sofort ausgeführt. Besteht eine Verbindung zwischen den Diensten, werden Ihr AD und die KnowBe4-Konsole alle sechs Stunden synchronisiert.
Wenn in Ihren Kontoeinstellungen der Testmodus aktiviert ist, wird eine Vorschau des Synchronisierungsverhaltens zwischen AD und KnowBe4 angezeigt. Klicken Sie auf Nutzer > Bereitstellung, um die Vorschau des Testmodus in Ihrer Konsole anzuzeigen.
Lassen Sie den Testmodus aktiviert, bis die ADI so eingerichtet ist, dass diese den Anforderungen Ihres Unternehmens entspricht. Wenn Sie mit Ihrer ADI-Einrichtung zufrieden sind, deaktivieren Sie in Ihren KnowBe4-Kontoeinstellungen den Testmodus. Bei der nächsten ADI-Synchronisierung werden Ihre Nutzer automatisch bereitgestellt.
Erweiterte Konfigurationsoptionen
Abhängig von Ihrer Unternehmensumgebung müssen Sie möglicherweise zusätzliche Konfigurationen vornehmen. Prüfen Sie in den folgenden Abschnitten, ob diese Optionen auf Ihr Unternehmen zutreffen:
- Unterstützung für mehrere Quelldomänen
- Wie ändere ich das Active Directory-Abrufverzeichnis für E-Mail-Adressen?
- Wie synchronisiere ich benutzerdefinierte Felder?
Unterstützung für mehrere Quelldomänen
Wenn Ihre Nutzer auf mehrere Quelldomänen verteilt sind, muss für jede Domäne eine Konfiguration mit den zu synchronisierenden Nutzerobjekten eingerichtet werden. Für jede zusätzliche Domäne muss die ADIsync.exe config-Datei im Installationsverzeichnis der ADI-Synchronisierung erneut ausgeführt werden. Durch das erneute Ausführen der ADI-Synchronisierungskonfiguration werden weitere
Hinweis: Falls das Tool zur ADI-Synchronisierung bereits installiert wurde, müssen zur Aktivierung der Unterstützung für mehrere Quelldomänen die folgenden Schritte ausgeführt werden. Eine erneute Installation des ADI-Synchronisierungstools ist nicht erforderlich, da eine zweite Installation zur Archivierung Ihrer Nutzer führen kann.
Gehen Sie zum erneuten Ausführen der ADI-Synchronisierungskonfiguration wie folgt vor:
- Öffnen Sie als Administrator eine Eingabeaufforderung.
- Navigieren Sie zum Systemverzeichnis „\ADIsync“.
- Der standardmäßige Speicherort für das Systemverzeichnis auf 64-Bit-Plattformen lautet wie folgt:
C:\Programme (x86)\KnowBe4\ADISync
- Der standardmäßige Speicherort für das Systemverzeichnis auf 64-Bit-Plattformen lautet wie folgt:
- Geben Sie adisync.exe config ein und drücken Sie die Eingabetaste auf Ihrer Tastatur.
- Geben Sie die Details für Ihren zusätzlichen Domänencontroller und die Domäne ein.
- Ausführliche Informationen finden Sie in Schritt 7 im Abschnitt Installation und Konfiguration weiter oben.
- Wenn die zusätzliche
.conf -Datei erstellt worden ist, bearbeiten Sie die Datei, um die zu synchronisierenden Informationen anzugeben.- Ausführliche Informationen finden Sie hier: Definition von zu synchronisierenden OUs, Gruppen und Nutzern.
- Speichern Sie die
.conf -Datei. Wenn Sie diesen Vorgang für all Ihre zusätzlichen Domains abgeschlossen haben, können Sie die Synchronisierung starten.
Hinweis:
Das System, auf dem das ADI-Synchronisierungstool installiert wird, muss zu jedem Domänencontroller eine Verbindung herstellen können.Wie ändere ich das Active Directory-Abrufverzeichnis für E-Mail-Adressen?
Standardmäßig werden bei der ADI-Synchronisierung alle E-Mail-Proxyadressen für Ihre Nutzer synchronisiert. Sie können jedoch den Speicherort der E-Mail-Adressen im Active Directory ändern. Darüber hinaus können Sie festlegen, dass nur die primäre E-Mail-Proxyadresse der Nutzer synchronisiert wird.
Öffnen Sie im Verzeichnis „C:\Programme\KnowBe4\ADISync“ die ADISync.conf-Datei. Standardmäßig werden folgende Felder angezeigt:
- emailAttribute = "proxyAddresses"
- primaryproxyonly = false
Hinweis:
Diese Felder werden nicht angezeigt? Stellen Sie sicher, dass Sie die ADIsync.conf-Datei bearbeiten und nicht dieIn den nachstehenden Informationen erfahren Sie, wie Sie ändern können, welche E-Mail-Adressen für Ihre Nutzer synchronisiert werden. Bei diesen Feldern wird zwischen Groß- und Kleinschreibung unterschieden:
- Nur primäre Proxy: Wenn Sie für jeden Nutzer nur die primäre Proxyadresse verwenden möchten, ändern Sie das Feld primaryproxyonly von „false“ auf true. Speichern Sie dann die ADIsync.conf-Datei und starten Sie den ADI-Dienst neu. Dadurch wird sichergestellt, dass keine Alias-E-Mail-Adressen synchronisiert werden.
-
E-Mail-Attribut: Wenn anstelle von „proxyAddresses“ das E-Mal-Attribut verwendet werden soll, ändern Sie das Feld emailAttribute in „mail“ anstelle von „proxyAddresses“ und das Feld useMailAttrib in „true“ anstelle von „false“. Speichern Sie dann die ADIsync.conf-Datei und starten Sie den ADI-Dienst neu.
Hinweis:
Unabhängig davon, welches Feld zur Synchronisierung herangezogen wird, darf das E-Mail-Attribut für einen Nutzer nicht leer sein. Für die ADI muss dieser Wert jedoch keine gültige Domain sein. Wenn Sie in Ihrem Unternehmen das E-Mail-Attribut nicht verwenden möchten, wenden Sie sich an den Support.
- Benutzerprinzipalname: Wenn anstelle von „proxyAddresses“ der Benutzerprinzipalname verwendet werden soll (userPrincipalName, UPN), ändern Sie das Feld emailAttribute von „proxyAddresses“ in „userPrincipalName“. Speichern Sie dann die ADIsync.conf-Datei und starten Sie den ADI-Dienst neu.
Wie synchronisiere ich benutzerdefinierte Felder?
Die Nutzerprofile in Ihrer KnowBe4-Konsole enthalten benutzerdefinierte Felder (zum Anzeigen von Bespielen hier klicken), die Sie verwenden können, um zusätzliche Informationen von Ihrem Active Directory zu synchronisieren. Um die Informationen festzulegen, die mit den benutzerdefinierten Feldern synchronisiert werden sollen, bearbeiten Sie die
Hinweis:
Benutzerdefinierte Synchronisierungsfelder sind ab ADI-Version 1.0.16.5 verfügbar. Wenn in Ihrer
Wie installiere ich die neueste ADI-Version?
Sie können die neueste ADI-Version installieren, ohne die vorherige Version zu deinstallieren. Gehen Sie wie folgt vor:
- Laden Sie das neue Installationsprogramm (Datei KnowBe4_AD_Sync.msi) in Ihren KnowBe4-Kontoeinstellungen herunter.
- Führen Sie die Installation aus.
- Schließen Sie die DOS-Eingabeaufforderung, die bei Abschluss der Installation angezeigt wird.
- Starten Sie den Synchronisierungsdienst.
Ihre Nutzer sollten wie erwartet synchronisiert werden.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.