Menü Deutsch Čeština Dansk English (US) Español (Latinoamérica) Español (España) Suomi Français (Canada) Français (France) हिंदी Magyar Bahasa Indonesia Italiano 日本語 한국어 Bahasa Melayu Nederlands Norsk Polski Português do Brasil Română Русский svenska ไทย Türkçe Українська Tiếng Việt 简体中文 繁體中文

Leitfaden für die Konfiguration der Active Directory-Integration (ADI)

Aktualisiert:

Erstellt:

Konfiguration der Active Directory-Integration

Mithilfe der Funktion für die Active Directory-Integration von KnowBe4 lässt sich Active Directory in die KnowBe4-Konsole integrieren. Nach der ADI-Konfiguration werden Nutzer und Gruppen in der KnowBe4-Konsole basierend auf den von Ihrem Active Directory gesendeten Informationen automatisch hinzugefügt, geändert und archiviert. Beachten Sie, dass die Synchronisierung einseitig verläuft. Es werden keine Informationen von der KnowBe4-Konsole zurück an Ihr Active Directory gesendet.

In diesem Video wird die Einrichtung der Active Directory-Integration erläutert. Lesen Sie zusätzlich die folgenden Abschnitte, um die Funktionsweise der ADI besser zu verstehen.

Navigieren zu:

Welche Vorteile bietet eine ADI-Einrichtung?
So funktioniert die ADI bei Konten mit bestehenden Nutzern
Voraussetzungen
Vorab erforderliche Schritte
Installation und Konfiguration
Definition von zu synchronisierenden OUs, Gruppen und Nutzern
Start der Synchronisierung
Erweiterte Konfigurationsoptionen

Wie installiere ich die neueste ADI-Version?

 

Welche Vorteile bietet eine ADI-Einrichtung?

Bei einer Integration von KnowBe4 in Ihr Active Directory (AD) können Nutzer und Gruppen aus Ihrem AD zu Ihrer Konsole hinzugefügt werden. Die Verwaltung von Nutzern und Gruppen wird dadurch vereinfacht.

Klicken Sie auf die folgenden Dropdown-Menüs, um mehr über die Vorteile einer Integration Ihres AD mit KnowBe4 zu erfahren.

Vorteile für das Nutzermanagement

Mithilfe der ADI können Sie Ihre Nutzerliste in KnowBe4 über Ihr Active Directory (AD) verwalten. Änderungen an Ihrem AD werden bei der nächsten Synchronisierung automatisch in Ihre KnowBe4-Konsole übernommen. Wenn Sie beispielsweise einen Nutzer in Ihrem AD hinzufügen, archivieren oder ändern, wird die gleiche Aktion für den Nutzer in der KnowBe4-Konsole durchgeführt.

Darüber hinaus müssen Sie Nutzergruppen in KnowBe4 nicht manuell erstellen und verwalten, sondern können Nutzergruppen von Ihrem AD synchronisieren. Diese Nutzergruppen werden dann automatisch in Ihrer KnowBe4-Konsole erstellt.

Vorteile für Phishing-Kampagnen

Bei der Einrichtung der ADI geben Sie die Nutzerinformationen an, die aus Ihrem AD mit den Nutzerprofilen in Ihrer KnowBe4-Konsole synchronisiert werden sollen. Wenn Sie diese Nutzerinformationen zu Ihrer Konsole hinzufügen und unsere Platzhalter für Nutzerinformationen verwenden, können Sie bessere Phishing-Vorlagen erstellen. Diese Platzhalter rufen Daten aus den Profilen Ihrer Nutzer ab. Sie erhalten dadurch die Möglichkeit, gezieltere Phishing-Vorlagen für Ihre Kampagnen zu erstellen.

Wenn Sie Nutzer über die ADI zu KnowBe4 hinzufügen, werden diese auch automatisch Phishing-Kampagnen hinzugefügt, die allen Nutzern und den Gruppen, zu denen die neuen Nutzer hinzugefügt wurden, zugewiesen sind. Weitere Informationen finden Sie unter Erstellen und Verwalten von Phishing-Kampagnen.

Vorteile für Trainingskampagnen

Wenn Sie Nutzer über die ADI zu KnowBe4 hinzufügen, werden diese automatisch zu den Trainingskampagnen hinzugefügt, bei denen die Option Automatische Registrierung neuer Nutzer aktivieren aktiviert ist. Weitere Informationen finden Sie unter Trainingskampagnen und Content Management.

Zurück zum Seitenanfang

 

So funktioniert die ADI bei Konten mit bestehenden Nutzern

Wenn Sie bereits Nutzer zu Ihrem KnowBe4-Konto hinzugefügt haben, sollten Sie vor der Konfiguration der Active Directory-Integration (ADI) Folgendes beachten:

  • Nach der ADI-Konfiguration sind die Daten maßgeblich, die von Ihrem Active Directory synchronisiert werden. Während der Synchronisierung zwischen der KnowBe4-Konsole und Ihrem AD geschieht Folgendes:
    • Nutzer, die nicht in Ihrem Active Directory gefunden werden, werden in Ihrer KnowBe4-Konsole archiviert.
    • Wenn Sie die Nutzerinformationen in Ihrer KnowBe4-Konsole geändert haben, werden diese Änderungen mit den Daten von Ihrem Active Directory überschrieben.
  • Vor der ADI-Konfiguration werden die Nutzerkonten in Ihrer KnowBe4-Konsole über die Konsole verwaltet. Wenn Nutzer über die Konsole verwaltet werden, können Nutzerinformationen wie folgt bearbeitet werden: Hochladen einer CSV-Datei in die Konsole oder Bearbeiten der Nutzerprofile direkt in der Konsole. 
    • Wenn nach der ADI-Konfiguration die erste AD-Synchronisierung erfolgt, werden die Nutzer über das AD verwaltet. Wenn Nutzer über das AD verwaltet werden, müssen Sie die Nutzerinformationen in Ihrem Active Directory bearbeiten. Die Änderungen werden bei der nächsten Synchronisierung in die KnowBe4-Konsole übertragen.
  • Bei der ersten AD-Synchronisierung werden die über die Konsole verwalteten Nutzerkonten den Konten in Ihrem AD automatisch von der Konsole zugeordnet. Dabei verlieren Ihre Nutzer den Status „über die Konsole verwaltet“ und erhalten den Status „über das AD verwaltet“. Der Ablauf ist wie folgt:
    1. Sie installieren und konfigurieren das ADI-Synchronisierungstool in Ihrer Umgebung.
    2. Sie legen fest, welche Informationen von Ihrem Active Directory synchronisiert werden sollen. 
    3. Im Anschluss fragt der ADI-Synchronisierungsdienst Ihr(e) Active Directory-Verzeichnis(se) nach Nutzer- und Gruppeninformationen ab und sendet die Ergebnisse an die KnowBe4-Server.
    4. Die KnowBe4-Server überprüfen die von Ihrem AD gesendeten Informationen. Nutzer und Gruppen in Ihrer KnowBe4-Konsole werden von den Servern gemäß folgender Logik automatisch aktualisiert:
      • Ist dem AD-Nutzer eine E-Mail-Adresse zugewiesen, die mit der E-Mail-Adresse eines vorhandenen Nutzerkontos in der KnowBe4-Konsole übereinstimmt, dann wird dieses Nutzerkonto ab sofort über das AD verwaltet.
      • Wird der AD-Nutzer nicht in der KnowBe4-Konsole gefunden, wird ein Nutzerkonto erstellt, das über das AD verwaltet wird.
      • Nach der Verarbeitung aller AD-Nutzer werden alle Nutzerkonten in der Konsole, die nicht über das AD verwaltet werden, archiviert.

Nach der Konfiguration der Active Directory-Integration (ADI) bleiben die Nutzerinformationen in der Konsole anhand der Informationen im Active Directory Ihres Unternehmens auf dem neuesten Stand.

Zurück zum Seitenanfang

 

Voraussetzungen

Stellen Sie vor der ADI-Einrichtung sicher, dass Ihre Umgebung unsere grundlegenden Anforderungen erfüllt, die nachfolgend aufgeführt sind. 

  1. Ihr Unternehmen muss einen der folgenden Active Directory-Dienste nutzen:
  2. Installieren Sie, sofern möglich, das ADI-Tool auf einem Anwendungsserver und nicht auf einem normalen (im Gebrauch befindlichen) Computer. Stellen Sie sich, dass das System die folgenden Anforderungen erfüllt:
    • Windows Desktop 7/Vista/8/10 oder Windows Server 2008/2012/2016/2019 (64 Bit).
    • Stellen Sie sicher, dass das System einen der folgenden Server erreichen kann (abhängig von Ihrem KnowBe4-Konto):
      • https://training.knowbe4.com
      • https://eu.knowbe4.com
      Hierbei handelt es sich um die Server-URL, die das AD-Synchronisierungstool von KnowBe4 über eine POST-Anforderung kontaktieren muss. Sie müssen ausgehende Verbindungen zu Remoteservern auf Port 443 (SSL/HTTPS) zulassen.

Hinweis:

Wenn Sie die ADI über einen Proxyserver konfigurieren, müssen Sie eine HTTP_PROXY-Variable zu Ihren Umgebungsvariablen hinzufügen. Befolgen Sie die Anweisungen in diesem Artikel: Wie konfiguriere ich die Active Directory-Integration (ADI) bei Verwendung eines Proxyservers?

Im nächsten Abschnitt finden Sie wichtige Schritte, die Sie vor der ADI-Konfiguration durchführen müssen.

Zurück zum Seitenanfang

 

Vorab erforderliche Schritte

Bevor Sie das AD-Synchronisierungstool von KnowBe4 auf Ihrem lokalen System installieren und konfigurieren können, müssen Sie zur Vorbereitung die folgenden Schritte durchführen.

  1. Für die ADI-Konfiguration benötigen Sie die folgenden Informationen über Ihr Active Directory (AD). Gehen Sie wie folgt vor: 

    Wichtig!

    Befinden sich Ihre Nutzer in mehr als einem Domänencontroller, benötigen Sie für jeden Domänencontroller die folgenden Informationen. Darüber hinaus ist es erforderlich, dass Sie die ADI für jede dieser Domänen konfigurieren. Weitere Informationen finden Sie im Abschnitt Unterstützung für mehrere Quelldomänen weiter unten.
    1. Suchen Sie die IP-Adresse oder den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) für den Domänencontroller, auf dem sich Ihr Active Directory befindet.
    2. Stellen Sie sicher, dass Ihr AD-Domänencontroller auf LDAP-Anforderungen antworten kann. Hierbei handelt es sich um die Standardeinstellung aller Domänencontroller.

      Tipp:

      Ihre AD-Synchronisierung kann über LDAP kommunizieren. Sie können vor der Active Directory-Synchronisierung auch LDAPS auf Ihrem Domänencontroller aktivieren, sofern Sie diese Kommunikationsmethode bevorzugen. Hierbei handelt es sich nicht um eine Standardeinstellung von Domänencontrollern. Weitere Informationen finden Sie in unseren FAQ: Ich möchte LDAPS einrichten.
    3. Suchen Sie den AD-Domänennamen. Beim AD-Domänenname handelt es sich um die Stammdomäne, die von Ihrem AD-Domänencontroller gesteuert wird. In der folgenden Abbildung finden Sie ein Beispiel für einen AD-Domänennamen:
      Screenshot eines Fensters mit Active Directory-Benutzern und -Gruppen und dem Beispiel-Domänennamen: DevKB4-a.com.
    4. Stellen Sie sicher, dass Benutzername und Passwort für ein AD-Administratorkonto mit der Berechtigung zur Durchführung von LDAP-Anforderungen zur Verfügung stehen.
      • Standardmäßig verfügt jedes Konto in der Gruppe „Domänenbenutzer“ über diese Berechtigungen. Aus Sicherheitsgründen empfehlen wir jedoch, ein Dienstkonto zu verwenden, das für Ihr AD lediglich eine Leseberechtigung hat. Informationen über die für dieses Dienstkonto erforderlichen Leseberechtigungen finden Sie hier: So erstellen Sie ein ADI-Dienstkonto in Active Directory
  2. Rufen Sie Ihr ADI-Synchronisierungstoken ab und laden Sie das ADI-Synchronisierungstool in den KnowBe4-Kontoeinstellungen herunter. Gehen Sie wie folgt vor:
    1. Melden Sie sich bei Ihrem KnowBe4-Konto an und klicken Sie oben rechts auf Ihre E-Mail-Adresse. Klicken Sie auf Kontoeinstellungen.
    2. Navigieren Sie zum Abschnitt Nutzerbereitstellung. Aktivieren Sie dann das Kontrollkästchen Nutzerbereitstellung (Nutzersynchronisierung) aktivieren, wie unten dargestellt.
      Kontrollkästchen für die Einstellungen der Active Directory-Integration in den Kontoeinstellungen
    3. Stellen Sie sicher dass die Einstellung Testmodus aktiviert ist, wie unten dargestellt. Deaktivieren Sie den Testmodus erst, nachdem Sie die ADI-Einrichtung abgeschlossen und überprüft haben, dass die ADI ordnungsgemäß funktioniert.
        • Im aktivierten Testmodus wird keine Nutzerbereitstellung oder -synchronisierung durchgeführt. Stattdessen wird ein Report erstellt, aus dem ersichtlich wird, was bei einer Durchführung der Nutzerbereitstellung passiert wäre. Im Testmodus können Sie mögliche Probleme ohne Auswirkungen auf die aktuellen Nutzer in Ihrer Konsole beheben. 
      Bereich mit dem Kontoeinstellungen: Testmodus, ADI-Synchronisierungstoken und ADI-Tool.

      Tipp:

      Die Option Gruppendomain anzeigen eignet sich insbesondere dann, wenn Ihre Nutzer auf mehrere Domänenquellen aufgeteilt sind. Weitere Informationen finden Sie hier: Was bewirkt die Aktivierung der Option „Gruppendomain anzeigen“ in den Kontoeinstellungen?
    4. ADI-Synchronisierungstoken: Kopieren Sie Ihr ADI-Synchronisierungstoken und speichern Sie es in einem lokalen Ordner. Sie benötigen dieses Token zum Abschluss der Einrichtung.
      • Ihr ADI-Synchronisierungstoken umfasst 32 Stellen und sieht in etwa wie folgt aus: 9X140X4829E37XX545401X97912X604X.
    5. Laden Sie das ADI-Tool herunter: Klicken Sie neben ADI-Tool (KnowBe4_AD_Sync.msi) auf das Download-Symbol, um die Datei herunterzuladen. 
    6. Klicken Sie unten auf der Seite mit den Kontoeinstellungen auf Änderungen speichern.
  3. Legen Sie fest, welche Nutzer synchronisiert werden sollen, und ermitteln Sie den Speicherort dieser Objekte in Ihrem AD. 
    Nachdem Sie die Schritte in diesem Abschnitt und im Abschnitt Installation und Konfiguration weiter unten abgeschlossen haben, müssen Sie das Verzeichnis, in dem die Nutzerobjekte in Ihrem AD gespeichert sind, definieren. Sie können Nutzerobjekte aus einer oder mehreren der folgenden Gruppen synchronisieren: Organisationseinheiten (OUs), Sicherheitsgruppen und Verteilergruppen. Wenn sich Ihre Nutzerobjekte nicht in OUs, Sicherheitsgruppen oder Verteilergruppen befinden, beachten Sie die folgenden Informationen:
    • Die zu synchronisierenden Nutzer befinden sich im integrierten Benutzercontainer und nicht in einer OU: Container können nicht synchronisiert werden. Sie können dieses Problem wie folgt umgehen: Erstellen Sie eine Sicherheitsgruppe, fügen Sie diese Nutzer zur Sicherheitsgruppe hinzu und synchronisieren Sie dann diese Gruppe anstelle des Containers. 
    • Ihr AD ist für eine Synchronisierung mit der KnowBe4-Konsole nicht optimal organisiert oder Sie sind sich unsicher: Sie können eine oder mehrere Gruppen in Active Directory einrichten, die alle zu synchronisierenden Nutzerobjekte und Gruppen enthält bzw. enthalten. Geben Sie im Anschluss an, dass Sie NUR diese Gruppen synchronisieren möchten.
  4. Legen Sie fest, aus welchem Feld im AD die E-Mail-Adressen Ihrer Nutzer abgerufen werden sollen. Standardmäßig ruft der ADI-Dienst die Proxyadressen Ihrer Nutzer ab und verwendet diese als E-Mail-Adresse für deren KnowBe4-Konten. 
  5. Stellen Sie sicher, dass alle Kampagneneinstellungen ordnungsgemäß für den Nutzerzuwachs konfiguriert sind. Überprüfen Sie die Einstellungen der Smart Groups in den Kampagnen. Diese können durch ADI-Synchronisierung beeinflusst werden.

Wenn Sie die oben genannten Informationen zusammengetragen haben, fahren Sie mit den Schritten im nächsten Abschnitt fort.

Zurück zum Seitenanfang

Installation und Konfiguration

Wenn Sie die oben genannten Informationen zusammengetragen haben, können Sie das ADI-Synchronisierungstool installieren und konfigurieren. Gehen Sie wie folgt vor:

  1. Führen Sie das Active Directory-Synchronisierungstool aus. Hierbei handelt es sich um die KnowBe4_AD_Sync.msi-Datei, die Sie in den Kontoeinstellungen Ihrer Konsole heruntergeladen haben (siehe Schritt 2 im Abschnitt Vorab erforderliche Schritte weiter oben).
    • Das AD-Synchronisierungstool muss nicht auf einem Domänencontroller installiert werden. Die Installation ist in Ihrer gesamten Umgebung möglich. Das System muss lediglich mit einem Domänencontroller kommunizieren und LDAP-Verbindungen akzeptiert können.

      Tipp:

      Ihre AD-Synchronisierung kann über LDAP kommunizieren. Sie können vor der Active Directory-Synchronisierung auch LDAPS auf Ihrem Domänencontroller aktivieren, sofern Sie diese Kommunikationsmethode bevorzugen. Hierbei handelt es sich nicht um eine Standardeinstellung von Domänencontrollern. Weitere Informationen finden Sie in unseren FAQ: Ich möchte LDAPS einrichten.
  2. Eine Eingabeaufforderungsfenster zum Festlegen des Installationsverzeichnisses wird automatisch geöffnet. Der standardmäßige Speicherort für das Installationsverzeichnis auf 64-Bit-Plattformen lautet wie folgt:
  • C:\Programme (x86)\KnowBe4\ADISync
  • Im Eingabeaufforderungsfenster müssen Sie die unten abgebildeten Informationen eingeben: Eingabeaufforderungsfenster mit Feldern, Erläuterungen sind nachfolgend aufgeführt
    1. Wenn Sie diesen Befehl zum ersten Mal ausführen, werden Sie zur Eingabe Ihres Active Directory-Synchronisierungstokens aufgefordert. Hierbei handelt es sich um die Zeichenfolge, die Sie in Ihren KnowBe4-Kontoeinstellungen kopiert haben (siehe Schritt 2 im Abschnitt Vorab erforderliche Schritte weiter oben).
    2. Domänennamen eingeben: Der Domänenname bezieht sich auf die Stammdomäne für Ihr AD. Ein Beispiel finden Sie in diesem Schritt im Abschnitt Vorab erforderliche Schritte weiter oben. 
    3. Hostnamen oder IP-Adresse für Active Directory eingeben: Der Hostname bzw. die IP-Adresse für das AD bezieht sich auf die IP-Adresse oder den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) für den Domänencontroller, auf dem sich Ihr Active Directory befindet.
    4. SSL aktivieren (true/false): Standardmäßig ist LDAPS nicht auf Ihrem Domänencontroller aktiviert. Geben Sie false ein oder drücken die Eingabetaste auf Ihrer Tastatur, um „false“ automatisch auszuwählen. Wenn Sie LDAPS für diese Synchronisierung bereits aktiviert haben, geben Sie stattdessen true ein.
    5. Active Directory-Portnummer eingeben: Geben Sie den entsprechenden LDAP- oder LDAPS-Port ein. Der standardmäßige Port für LDAP lautet 389 und für LDAPS 636.
    6. Benutzernamen eingeben: Geben Sie den Benutzernamen und das Kennwort für ein AD-Administratorkonto mit der erforderlichen Leseberechtigung zur Durchführung von LDAP-Anforderungen ein. Der Benutzername muss das Format „user@domain“ aufweisen.
    7. Kennwort eingeben: Geben Sie das Kennwort für das AD-Administratorkonto ein.
  • Wenn eine Verbindung hergestellt werden konnte, wird im Eingabeaufforderungsfenster eine Bestätigungsmeldung angezeigt (siehe folgendes Beispiel). 
    Eingabeaufforderung mit der Bestätigungsmeldung, dass die Konfiguration abgeschlossen wurde
  • Drücken Sie die Eingabetaste auf Ihrer Tastatur, um das Eingabeaufforderungsfenster zu schließen.

    • Sofern beim Erreichen oder bei der Authentifizierung ein Problem mit Ihrem Domänencontroller aufgetreten ist, werden im Eingabeaufforderungsfenster Fehlermeldungen angezeigt. In diesem Fall müssen die Schritte in diesem Abschnitt mit den richtigen Konfigurationsdaten wiederholen. Wenn weiterhin Fehler auftreten, wenden Sie sich bitte an unser Supportteam

    Wenn eine Verbindung hergestellt wurde, können Sie im nächsten Abschnitt die Nutzer und Informationen angeben, die mit Ihrem KnowBe4-Konto synchronisiert werden sollen.

    Zurück zum Seitenanfang

     

    Definition von zu synchronisierenden OUs, Gruppen und Nutzern

    Nachdem Sie die Schritte in den beiden vorherigen Abschnitten durchgeführt haben, bearbeiten Sie die <Name Ihrer Domain>.conf-Datei, um die Informationen zu konfigurieren, die mit KnowBe4 synchronisiert werden sollen. Diese Konfiguration ist erforderlich, damit Nutzer aus Ihrem Active Directory synchronisiert werden können.

    Tipp:

    Stellen Sie bei der Konfiguration der <Name Ihrer Domain>.conf-Datei sicher, dass das Verzeichnis mit den Active Directory-Nutzern und -Computern geöffnet ist, um schnell auf OU-Pfade und Gruppen zugreifen zu können.

    Führen Sie die ADI-Einrichtung wie folgt fort:

    1. Stellen Sie sicher, dass Sie über Bearbeitungsberechtigungen für den Ordner „ADISync“ verfügen. 
    2. Suchen Sie die <Name Ihrer Domain>.conf-Datei im Installationsverzeichnis (siehe Abbildung unten). Öffnen Sie die Datei in einem Texteditor, z. B. Notepad. Installationsverzeichnis des ADI-Synchronisierungstools mit markierter domain.conf-Datei
      • In der <Name Ihrer Domain>.conf-Datei werden die Nutzer, Nutzerinformationen und Gruppen definiert, die zwischen KnowBe4 und Ihrem Active Directory synchronisiert werden sollen. Öffnen Sie diese sample_domain-Datei, um ein Beispiel anzuzeigen.

        Hinweis:

        Stellen Sie sicher, dass Sie die <Name Ihrer Domain>.conf-Datei bearbeiten und nicht die ADISync.conf-Datei.
    3. Legen Sie in der <Name Ihrer Domain>.conf-Datei die Kriterien für die Nutzer- und Gruppensynchronisierung fest. Sie können in der <Name Ihrer Domain>.conf-Datei drei Abschnitte ändern:

      Hinweis:

      Enthalten Ihre OUs oder Gruppennamen Buchstaben, die nicht zum englischen Standardalphabet gehören, ersetzen Sie in der <Name Ihrer Domain>.conf-Datei die Anführungszeichen (") durch einfache Anführungszeichen ('). Setzen Sie vor Kommas, Hashtags und Pluszeichen zusätzlich einen doppelten umgekehrten Schrägstrich. Ausführliche Informationen finden Sie unter So verwenden Sie Escapezeichen bei der Active Directory-Integration.
    4. Speichern Sie im Anschluss die Änderungen an der <Name Ihrer Domain>.conf-Datei.

    Im nächsten Abschnitt finden Sie Informationen zum Start Ihrer ADI-Synchronisierung.

    Zurück zum Seitenanfang

     

    Start der Synchronisierung

    Wenn alle oben genannten Schritte abgeschlossen sind, ist Ihr ADI-Dienst konfiguriert und Sie können die ADI-Synchronisierung starten. Gehen Sie wie folgt vor:

    Wichtig!

    Stellen Sie vor dem Start der Synchronisierung sicher, dass in Ihren KnowBe4-Kontoeinstellungen der Testmodus aktiviert ist (siehe Schritt 2 im Abschnitt Vorab erforderliche Schritte).
    1. Sie können die Synchronisierung wie folgt starten:
      1. Verwenden Sie den Dienststeuerungs-Manager von Windows (der ADI-Dienst lautet „Active Directory-Integration Synchronisierungsdienst“).
      2. Öffnen Sie als Administrator eine Eingabeaufforderung und gehen Sie dann wie folgt vor:
        1. Navigieren Sie zum entsprechenden Verzeichnis. Der standardmäßige Speicherort für das Installationsverzeichnis auf 64-Bit-Plattformen lautet wie folgt: C:\Programme (x86)\KnowBe4\ADISync
        2. Geben Sie ADIsync.exe service start ein und drücken Sie die Eingabetaste auf Ihrer Tastatur.

    Der ADI-Synchronisierungsdienst wird sofort ausgeführt. Besteht eine Verbindung zwischen den Diensten, werden Ihr AD und die KnowBe4-Konsole alle sechs Stunden synchronisiert.

    Wenn in Ihren Kontoeinstellungen der Testmodus aktiviert ist, wird eine Vorschau des Synchronisierungsverhaltens zwischen AD und KnowBe4 angezeigt. Klicken Sie auf Nutzer > Bereitstellung, um die Vorschau des Testmodus in Ihrer Konsole anzuzeigen.

    Lassen Sie den Testmodus aktiviert, bis die ADI so eingerichtet ist, dass diese den Anforderungen Ihres Unternehmens entspricht. Wenn Sie mit Ihrer ADI-Einrichtung zufrieden sind, deaktivieren Sie in Ihren KnowBe4-Kontoeinstellungen den Testmodus. Bei der nächsten ADI-Synchronisierung werden Ihre Nutzer automatisch bereitgestellt.

    Zurück zum Seitenanfang

     

    Erweiterte Konfigurationsoptionen

    Abhängig von Ihrer Unternehmensumgebung müssen Sie möglicherweise zusätzliche Konfigurationen vornehmen. Prüfen Sie in den folgenden Abschnitten, ob diese Optionen auf Ihr Unternehmen zutreffen: 

    Unterstützung für mehrere Quelldomänen

    Wenn Ihre Nutzer auf mehrere Quelldomänen verteilt sind, muss für jede Domäne eine Konfiguration mit den zu synchronisierenden Nutzerobjekten eingerichtet werden. Für jede zusätzliche Domäne muss die ADIsync.exe config-Datei im Installationsverzeichnis der ADI-Synchronisierung erneut ausgeführt werden. Durch das erneute Ausführen der ADI-Synchronisierungskonfiguration werden weitere <Name Ihrer Domain>.conf-Dateien erstellt. Bearbeiten Sie diese Dateien, um die Filterkriterien für Ihre Synchronisierung anzugeben

    Gehen Sie zum erneuten Ausführen der ADI-Synchronisierungskonfiguration wie folgt vor:

    1. Öffnen Sie als Administrator eine Eingabeaufforderung.
    2. Navigieren Sie zum Systemverzeichnis „\ADIsync“.
      • Der standardmäßige Speicherort für das Systemverzeichnis auf 64-Bit-Plattformen lautet wie folgt: C:\Programme (x86)\KnowBe4\ADISync
    3. Geben Sie adisync.exe config ein und drücken Sie die Eingabetaste auf Ihrer Tastatur.
    4. Geben Sie die Details für Ihren zusätzlichen Domänencontroller und die Domäne ein.
    5. Wenn die zusätzliche <Name Ihrer Domain>.conf-Datei erstellt worden ist, bearbeiten Sie die Datei, um die zu synchronisierenden Informationen anzugeben.
    6. Speichern Sie die <Name Ihrer Domain>.conf-Datei. Wenn Sie diesen Vorgang für all Ihre zusätzlichen Domains abgeschlossen haben, können Sie die Synchronisierung starten

    Hinweis:

    Das System, auf dem das ADI-Synchronisierungstool installiert wird, muss zu jedem Domänencontroller eine Verbindung herstellen können.

    Zurück zum Seitenanfang

    Wie ändere ich das Active Directory-Abrufverzeichnis für E-Mail-Adressen?

    Standardmäßig werden bei der ADI-Synchronisierung alle E-Mail-Proxyadressen für Ihre Nutzer synchronisiert. Sie können jedoch den Speicherort der E-Mail-Adressen im Active Directory ändern. Darüber hinaus können Sie festlegen, dass nur die primäre E-Mail-Proxyadresse der Nutzer synchronisiert wird.

    Öffnen Sie im Verzeichnis „C:\Programme\KnowBe4\ADISync“ die ADISync.conf-Datei. Standardmäßig werden folgende Felder angezeigt:

    • emailAttribute = "proxyAddresses"
    • primaryproxyonly = false

    Hinweis:

    Diese Felder werden nicht angezeigt? Stellen Sie sicher, dass Sie die ADIsync.conf-Datei bearbeiten und nicht die <Name Ihrer Domain>.conf-Datei. Falls das Feld „emailAttribute“ in Ihrer ADIsync.conf-Datei nicht angezeigt wird, verwenden Sie möglicherweise eine ältere ADI-Version. Aktualisieren Sie auf die aktuelle ADI-Version, wenn Sie Änderungen am Feld „emailAttribute“ vornehmen müssen.

    In den nachstehenden Informationen erfahren Sie, wie Sie ändern können, welche E-Mail-Adressen für Ihre Nutzer synchronisiert werden. Bei diesen Feldern wird zwischen Groß- und Kleinschreibung unterschieden:

    • Nur primäre Proxy: Wenn Sie für jeden Nutzer nur die primäre Proxyadresse verwenden möchten, ändern Sie das Feld primaryproxyonly von „false“ auf true. Speichern Sie dann die ADIsync.conf-Datei und starten Sie den ADI-Dienst neu. Dadurch wird sichergestellt, dass keine Alias-E-Mail-Adressen synchronisiert werden.
    • E-Mail-Attribut: Wenn anstelle von „proxyAddresses“ das E-Mal-Attribut verwendet werden soll, ändern Sie das Feld emailAttribute in „mail“ anstelle von „proxyAddresses“ und das Feld useMailAttrib in „true“ anstelle von „false“. Speichern Sie dann die ADIsync.conf-Datei und starten Sie den ADI-Dienst neu.

      Hinweis:

      Unabhängig davon, welches Feld zur Synchronisierung herangezogen wird, darf das E-Mail-Attribut für einen Nutzer nicht leer sein. Für die ADI muss dieser Wert jedoch keine gültige Domain sein. Wenn Sie in Ihrem Unternehmen das E-Mail-Attribut nicht verwenden möchten, wenden Sie sich an den Support.

    • Benutzerprinzipalname: Wenn anstelle von „proxyAddresses“ der Benutzerprinzipalname verwendet werden soll (userPrincipalName, UPN), ändern Sie das Feld emailAttribute von „proxyAddresses“ in „userPrincipalName“. Speichern Sie dann die ADIsync.conf-Datei und starten Sie den ADI-Dienst neu.

    Zurück zum Seitenanfang

    Wie synchronisiere ich benutzerdefinierte Felder?

    Die Nutzerprofile in Ihrer KnowBe4-Konsole enthalten benutzerdefinierte Felder (zum Anzeigen von Bespielen hier klicken), die Sie verwenden können, um zusätzliche Informationen von Ihrem Active Directory zu synchronisieren. Um die Informationen festzulegen, die mit den benutzerdefinierten Feldern synchronisiert werden sollen, bearbeiten Sie die <Name Ihrer Domain>.conf-Datei und starten Sie dann den Dienst erneut, damit Ihre Änderungen synchronisiert werden können. Weitere Informationen finden Sie unter Synchronisieren von anderen Nutzerinformationen mit KnowBe4.

    Hinweis:

    Benutzerdefinierte Synchronisierungsfelder sind ab ADI-Version 1.0.16.5 verfügbar. Wenn in Ihrer <Name Ihrer Domain>.conf-Datei keine benutzerdefinierten Felder angezeigt werden, müssen Sie die neueste ADI-Version installieren und den Dienst dann manuell starten. Nach dem Start des Dienstes wird bzw. werden Ihre bestehende(n) <Name Ihrer Domain>.conf-Datei(en) aktualisiert und enthalten im Anschluss benutzerdefinierte Synchronisierungsfelder. Wenn Sie diese neuen benutzerdefinierten Felder verwenden möchten, müssen Sie den Dienst erneut ausführen, damit Ihre Änderungen synchronisiert werden können.

    Zurück zum Seitenanfang

      

    Wie installiere ich die neueste ADI-Version?

    Sie können die neueste ADI-Version installieren, ohne die vorherige Version zu deinstallieren. Gehen Sie wie folgt vor:

    1. Laden Sie das neue Installationsprogramm (Datei KnowBe4_AD_Sync.msi) in Ihren KnowBe4-Kontoeinstellungen herunter.
    2. Führen Sie die Installation aus.
    3. Schließen Sie die DOS-Eingabeaufforderung, die bei Abschluss der Installation angezeigt wird.
    4. Starten Sie den Synchronisierungsdienst.

    Ihre Nutzer sollten wie erwartet synchronisiert werden.

    Zurück zum Seitenanfang

    Haben Sie Fragen? Anfrage einreichen

    Kommentare

    0 Kommentare

    Zu diesem Beitrag können keine Kommentare hinterlassen werden.

    Verwandte Beiträge