Active Directory-Integration

Teilen

Ist dieser Artikel hilfreich?

Letzte Aktualisierung:

Leitfaden für die erweiterte Konfiguration der Active Directory-Integration (ADI)

Nach der Erstkonfiguration von Active Directory (AD) können Sie die Synchronisierung auf die Anforderungen Ihrer Organisation abstimmen. Hierfür stehen Ihnen zusätzliche Optionen zur Verfügung. Weitere Informationen finden Sie in den nachfolgenden Abschnitten. Informationen zur grundlegenden Active Directory-Integration (ADI) und zum Konfigurationsprozess finden Sie im Leitfaden für die Konfiguration der Active Directory-Integration (ADI).

Erstellen eines ADI-Dienstkontos in Active Directory

Zur Einrichtung von ADI benötigen Sie ein Konto in AD mit den folgenden Berechtigungen:

  • alle Benutzerinformationen lesen
  • alle inetOrgPerson-Informationen lesen

Ein AD-Nutzerkonto mit den erforderlichen Leseberechtigungen können Sie wie folgt erstellen:

  1. Öffnen Sie Active Directory-Benutzer und -Computer.

  2. Klicken Sie mit der rechten Maustaste auf Ihre Domain und wählen Sie Stellvertretungs-Steuerelement aus. Wenn Sie Stellvertretungs-Steuerelementauswählen, wird das modale Dialogfeld zur Delegierung geöffnet.

  3. Fügen Sie im modalen Dialogfeld zur Delegierung das zuvor erstellte ADI-Dienstkonto hinzu.

  4. Delegieren Sie die Aufgaben Alle Benutzerinformationen lesen und Alle inetOrgPerson-Informationen lesen.

  5. Abschließend müssen Sie den ADI-Synchronisierungsdienst für KnowBe4 neu konfigurieren, um Ihr neues AD-Dienstkonto mit der ADI zu verwenden.

Gehen Sie wie folgt vor, um die spezifizierte Nutzerin bzw. den spezifizierten Nutzer zu ändern:

  1. Navigieren Sie zum Ordner C:\ProgramData\KnowBe4\ADI Sync\Config\ und löschen Sie die Datei <Name Ihrer Domain>.dat.
  2. Öffnen Sie die Eingabeaufforderung als Administratorin bzw. Administrator und navigieren Sie zum Ordner C:\Program Files\KnowBe4\ADI Sync\. Geben Sie „adisync.exe config“ ein.

Ändern des Active Directory-Abrufverzeichnisses für E-Mail-Adressen

Standardmäßig werden bei der ADI-Synchronisierung alle E-Mail-Proxyadressen für Ihre Nutzerinnen und Nutzer synchronisiert. Sie können jedoch den Speicherort der E-Mail-Adressen im Active Directory ändern. Darüber hinaus können Sie festlegen, dass nur die primäre E-Mail-Proxyadresse der Nutzerinnen und Nutzer synchronisiert wird. Öffnen Sie die Datei adisync.conf im Ordner C:\ProgramData\KnowBe4\ADI Sync\Config. Standardmäßig werden folgende Felder angezeigt:

  • emailAttribute = "proxyAddresses"
  • primaryProxyOnly = false
Hinweis: Wenn diese Felder nicht angezeigt werden, stellen Sie sicher, dass Sie die Datei <Name Ihrer Domain>.conf bearbeiten und nicht die Datei adisync.conf. Falls das Feld emailAttribute in der Datei adisync.conf nicht angezeigt wird, verwenden Sie möglicherweise eine ältere ADI-Version. Aktualisieren Sie auf die aktuelle ADI-Version, wenn Sie Änderungen am Feld emailAttribute vornehmen müssen.

Weitere Informationen zum Ändern der E-Mail-Adressen, die für Ihre Nutzerinnen und Nutzer synchronisiert werden, finden Sie in der folgenden Liste:

Hinweis: Bei den folgenden Feldern wird zwischen Groß- und Kleinschreibung unterschieden.
  • Nur primäre Proxy: Wenn Sie für jede Nutzerin bzw. jeden Nutzer nur die primäre Proxyadresse verwenden möchten, ändern Sie das Feld primaryProxyOnly von „false“ auf „true“. Speichern Sie die Datei adisync.conf und starten Sie dann den ADI-Dienst neu. Dadurch wird sichergestellt, dass keine Alias-E-Mail-Adressen synchronisiert werden.

  • E-Mail-Attribut: Wenn anstelle von proxyAddresses das E-Mail-Attribut verwendet werden soll, ändern Sie das Feld emailAttribute von „mail“ in „proxyAddresses“. Speichern Sie die Datei adisync.conf und starten Sie den ADI-Synchronisierungsdienst für KnowBe4 neu.

    Wichtig: Unabhängig davon, welches Feld zur Synchronisierung herangezogen wird, darf das E-Mail-Attribut für eine Nutzerin bzw. einen Nutzer nicht leer sein. Für die ADI muss dieser Wert jedoch keine gültige Domain sein. Weitere Informationen erhalten Sie von unserem Support-Team.
  • Benutzerprinzipalname: Wenn anstelle von „proxyAddresses“ der Benutzerprinzipalname verwendet werden soll (userPrincipalName, UPN), ändern Sie das Feld emailAttribute von „proxyAddresses“ in „userPrincipalName“. Speichern Sie die Datei adisync.conf und starten Sie den ADI-Synchronisierungsdienst für KnowBe4 neu.

Anzeigen der E-Mail- und Proxyadressen in Active Directory

Gehen Sie wie folgt vor, um die E-Mail und Proxyadressen einer Nutzerin bzw. eines Nutzers in Active Directory anzuzeigen. Anhand dieser Schritte können Sie auch den PrincipalName einer Nutzerin bzw. eines Nutzers anzeigen.

  1. Klicken Sie auf der Symbolleiste im Fenster Active Directory-Benutzer und -Computer auf die Option Ansicht.

  2. Wählen Sie im Drop-down-Menü Ansicht die Option Erweiterte Funktionen aus.

  3. Doppelklicken Sie auf eine Nutzerin bzw. einen Nutzer, um das Pop-up-Fenster Benutzereigenschaften zu öffnen.
  4. Wählen Sie im Pop-up-Fenster Benutzereigenschaften die Registerkarte Attribut-Editor aus.

  5. Suchen Sie in der Spalte Attribut nach „mail“, um die E-Mail-Adresse der Nutzerin bzw. des Nutzers anzuzeigen. Wählen Sie mail aus und klicken Sie dann auf die Schaltfläche Bearbeiten.

  6. Wenn Sie auf Bearbeiten klicken, wird das Pop-up-Fenster Attribut-Editor für Zeichenfolgen geöffnet. In diesem Pop-up-Fenster können Sie den Wert des mail-Attributs anpassen.

  7. Suchen Sie in der Spalte Attribut nach proxyAddresses, um die Proxyadresse der Nutzerin bzw. des Nutzers anzuzeigen. Wählen Sie proxyAddresses aus und klicken Sie dann auf Bearbeiten.

  8. Wenn Sie auf die Schaltfläche Bearbeiten klicken, wird das Pop-up-Fenster Editor für mehrwertige Zeichenfolgen geöffnet. Hier können Sie einen Wert zum Attribut proxyAddresses hinzufügen oder von diesem entfernen.

Unterstützung für mehrere Quelldomänen

Wenn Ihre Nutzerinnen und Nutzer auf mehrere Quelldomänen verteilt sind, muss für jede Domäne eine Konfiguration mit den zu synchronisierenden Nutzerobjekten eingerichtet werden.

Für jede zusätzliche Domäne muss die Konfigurationsdatei adisync.exe im Installationsverzeichnis der ADI-Synchronisierung ausgeführt werden. Durch das zweite Ausführen der ADI-Synchronisierungskonfiguration werden weitere <Name Ihrer Domain>.conf-Dateien erstellt. Bearbeiten Sie diese Dateien, um die Filterkriterien für Ihre Synchronisierung anzugeben.

Hinweis: Um die Unterstützung für mehrere Quelldomänen zu aktivieren, muss das ADI-Synchronisierungstool bereits einmal installiert worden sein. Eine erneute Installation des ADI-Synchronisierungstools ist nicht erforderlich, da eine zweite Installation zur Archivierung Ihrer Nutzerinnen und Nutzer führen kann.

Gehen Sie wie folgt vor, um die ADI-Synchronisierungskonfiguration für die Unterstützung mehrerer Quelldomänen auszuführen:

  1. Öffnen Sie als Administratorin bzw. Administrator die Eingabeaufforderung.
  2. Navigieren Sie zum Systemverzeichnis „ADI Sync“. Das Standardverzeichnis lautet C:\Program Files\KnowBe4\ADI Sync.

  3. Geben Sie die folgende Zeichenfolge ein und drücken Sie dann die Eingabetaste:

    adisync.exe config
  4. Geben Sie die Details für Ihren zusätzlichen Domänencontroller und die Domäne ein. Weitere Einzelheiten finden Sie im Leitfaden für die Konfiguration der Active Directory-Integration (ADI) im Abschnitt Installation und Konfiguration unter Schritt 7.
  5. Wenn die zusätzliche <Name Ihrer Domain>.conf-Datei in C:\ProgramData\KnowBe4\ADI Sync\Config erstellt wurde, bearbeiten Sie die Datei, um die zu synchronisierenden Informationen anzugeben. Weitere Einzelheiten finden Sie im Leitfaden für die Konfiguration der Active Directory-Integration (ADI).
  6. Speichern Sie die <Name Ihrer Domain>.conf-Datei.
  7. Wenn Sie diesen Vorgang für all Ihre zusätzlichen Domains abgeschlossen haben, können Sie die Synchronisierung starten.
Hinweis: Das System, auf dem das ADI-Synchronisierungstool installiert wird, muss zu jedem Domänencontroller eine Verbindung herstellen können.

Installieren der neuesten ADI-Version

Gehen Sie wie folgt vor, um die neueste ADI-Version zu installieren, ohne die vorherige Version zu deinstallieren:

  1. Laden Sie den neuen Installer aus den KSAT-Kontoeinstellungen herunter.
  2. Starten Sie die Installation.

  3. Klicken Sie bei der entsprechenden Frage auf Ja, um die Daten aus der vorherigen Installation zu verwenden.

    Der ADI-Synchronisierungsdienst für KnowBe4 wird automatisch gestartet, sobald die Installation abgeschlossen ist. Sie können im Menü „Windows-Dienste“ überprüfen, ob der Dienst wie erwartet ausgeführt wird.

Ihre Nutzerinnen und Nutzer sollten wie erwartet synchronisiert werden.

Synchronisieren von benutzerdefinierten Feldern

Die Nutzerprofile in Ihrer KnowBe4-Konsole enthalten benutzerdefinierte Felder, die Sie verwenden können, um zusätzliche Informationen von Ihrem Active Directory zu synchronisieren. Um die Informationen festzulegen, die mit den benutzerdefinierten Feldern synchronisiert werden sollen, bearbeiten Sie die <Name Ihrer Domain>.conf-Datei und starten Sie dann den Dienst erneut, damit Ihre Änderungen synchronisiert werden können. Weitere Informationen finden Sie unter Synchronisieren von anderen Nutzerinformationen mit KnowBe4.

Hinweis: Benutzerdefinierte Synchronisierungsfelder sind ab ADI-Version 1.0.16.5 verfügbar. Wenn in Ihrer <Name Ihrer Domain>.conf-Datei keine benutzerdefinierten Felder angezeigt werden, müssen Sie die neueste ADI-Version installieren. Ihre vorhandene(n) <Name Ihrer Domain>.conf-Datei(en) wird/werden hochgeladen, um die benutzerdefinierten Synchronisierungsfelder aufzunehmen. Wenn Sie diese neuen benutzerdefinierten Felder verwenden möchten, müssen Sie den ADI-Synchronisierungsdienst für KnowBe4 erneut starten, damit Ihre Änderungen synchronisiert werden können.

Aktivieren von SecurityCoach-Feldern

Wenn Sie ADI bereits konfiguriert haben und in Ihrem Abonnement SecurityCoach enthalten ist, können Sie die SecurityCoach-Felder aktivieren, indem Sie die neuesten ADI-Version installieren. Wenn Sie die neueste Version bereits verwenden und die SecurityCoach-Felder nicht aktiviert sind, müssen Sie ADI neu konfigurieren, um diese Felder zu aktivieren.

Hinweis: Wenn Sie die neueste Version von ADI installieren, stellen Sie sicher, dass die Option SecurityCoach-Felder aktivieren auf true festgelegt ist. Weitere Informationen finden Sie im Leitfaden für die Konfiguration der Active Directory-Integration (ADI) im Abschnitt Installation und Konfiguration.

Gehen Sie wie folgt vor, um ADI neu zu konfigurieren und die SecurityCoach-Felder zu aktivieren:

  1. Beenden Sie den ADI-Synchronisierungsdienst für KnowBe4 im Menü „Windows-Dienste“.
  2. Navigieren Sie zum Systemverzeichnis \ADIsync. Das Standardverzeichnis lautet C:\ProgramData\KnowBe4\ADI Sync\Config\.
  3. Benennen Sie die <Name Ihrer Domain>.conf-Datei in „<Name Ihrer Domain>-ALT.conf“ um.
  4. Verschieben Sie die <Name Ihrer Domain>-ALT.conf-Datei in ein anderes Verzeichnis.
  5. Navigieren Sie zum Installationsverzeichnis C:\Program Files\KnowBe4\ADI Sync\ und öffnen Sie eine Eingabeaufforderung mit erhöhten Berechtigungen.
  6. Führen Sie in der Eingabeaufforderung die Datei adisync.exe config aus.
  7. Konfigurieren Sie ADI neu, indem Sie die gleichen Informationen wie bisher eingeben, aber SecurityCoach-Felder aktivieren auf true festlegen. Nach der erneuten ADI-Konfiguration wird eine neue <Name Ihrer Domain>.conf-Datei im Verzeichnis \Config angezeigt.
  8. Öffnen Sie die <Name Ihrer Domain>-ALT.conf-Datei und die neue <Name Ihrer Domain>.conf-Datei.
  9. Kopieren Sie die Daten aus dem Abschnitt [sync.users] der <Name Ihrer Domain>-ALT.conf-Datei. Fügen Sie diese Daten in die neue <Name Ihrer Domain>.conf-Datei ein.
  10. Kopieren Sie die Daten aus dem Abschnitt [sync.groups] der <Name Ihrer Domain>-ALT.conf-Datei. Fügen Sie diese Daten in die neue <Name Ihrer Domain>.conf-Datei ein.
  11. (Optional) Wenn Sie den Abschnitt [sync.fields] der <Name Ihrer Domain>-ALT.conf-Datei angepasst haben, können Sie in der neuen <Name Ihrer Domain>.conf-Datei die gleichen Anpassungen vornehmen.
  12. Starten Sie den ADI-Synchronisierungsdienst für KnowBe4.

War dieser Artikel hilfreich?

6 von 9 fanden dies hilfreich

Sie finden nicht, wonach Sie suchen?

Support kontaktieren