在您的初始 Active Directory (AD) 配置完毕之后，您可通过其他选项对您的同步进行自定义，从而满足组织的需求。有关更多信息，请参见以下部分。如需了解 Active Directory 集成 (ADI) 基本安装和配置流程，请参阅 Active Directory 集成 (ADI) 配置指南。

在 Active Directory 创建 ADI 服务帐户

要设置 ADI，您必须在 AD 中使用或创建一个具有下列权限的帐户：

• 读取全部用户信息
• 读取全部 inetOrgPerson 信息

要创建有必要读取权限的 AD 用户，请按照以下步骤操作：

1. 打开 Active Directory 用户和计算机。

2. 右键单击您的域并选择委派控制。当您选择委派控制后，将打开控制委派模式。

   

3. 在控制委派模式中，添加您之前创建的 ADI 服务帐户。

   

4. 委派读取全部用户信息任务和读取全部 inetOrgPerson 信息任务。

   

5. 最后，您需要重新配置 KnowBe4 ADI 同步服务，以便将 ADI 与新的 AD 服务帐户结合使用。

要更改指定的用户，请按照以下步骤操作：

1. 前往您的 C:\ProgramData\KnowBe4\ADI Sync\Config\ 文件夹并删除 <domain>.dat 文件。
2. 以管理员身份打开命令提示符，并前往 C:\Program Files\KnowBe4\ADI Sync\ 文件夹，然后键入“adisync.exe config”。

更改在 Active Directory 中提取电子邮件地址的位置

默认情况下，ADI 同步功能将同步用户的所有代理电子邮件地址。不过，您可以更改在 Active Directory 中提取电子邮件地址的位置。另外，您可选择仅同步用户的主要代理电子邮件地址。从 C:\ProgramData\KnowBe4\ADI Sync\Config 文件夹中打开 adisync.conf 文件。默认情况下，您将看到以下字段：

• emailAttribute = "proxyAddresses"
• primaryProxyOnly = false

如需详细了解更改用户电子邮件地址同步的选项，请查看以下列表：

• 仅主要代理：若想仅同步每个用户的主要代理地址，请将 primaryProxyOnly 字段从“false”更改为 “true”。保存 adisync.conf 文件，然后重启 ADI 服务。此流程可保证任何别名电子邮件地址都不会被同步。

• 邮件属性：若想使用 Mail 属性而非 proxyAddresses 进行同步，请将 emailAttribute 字段从“proxyAddresses”更改为“mail”。保存 adisync.conf 文件并重启 KnowBe4 ADI 同步服务。

  重要提示：无论要同步哪个字段，用户的邮件属性都不能为空。对 ADI 而言，此值可以是无效域。有关更多信息，请联系我们的支持团队。
• 用户主体名称：若想使用 userPrincipalName (UPN) 而非 proxyAddresses 进行同步，请将 emailAttribute 字段从“proxyAddresses”更改为“userPrincipalName”。保存 adisync.conf 文件并重启 KnowBe4 ADI 同步服务。

查看 Active Directory 中的邮件和代理地址

执行以下步骤，查看 Active Directory 中用户的邮件和代理地址。您还可按照这些步骤查看用户的 PrincipalName。

1. 在 Active Directory 用户和计算机窗口中，单击工具栏里的查看。

2. 从查看下拉菜单中，选择高级功能。

   

3. 双击相应用户，打开用户属性弹出窗口。
4. 在用户属性弹出窗口中，选择属性编辑器选项卡。

5. 要查看用户的电子邮件地址，请在属性列中搜索 mail。选择 mail，然后单击编辑按钮。

   

6. 单击编辑后，将打开字符串属性编辑器弹出窗口。在这个弹出窗口中，您可调整 mail 属性的值。

   

7. 要查看用户的代理地址，请在属性列中搜索 proxyAddresses。选择 proxyAddresses，然后单击编辑按钮。

   

8. 单击编辑按钮后，将打开多值字符串编辑器弹出窗口。在这里，您可在 proxyAddresses 属性中添加或移除值。

   

支持多个域源

如果您的用户遍布多个域源，且每个域均含有需同步的用户对象，那么您需要分别为这些域设置配置。

对于每个额外的域，您需要在 ADI 同步安装目录中运行 adisync.exe 配置。再次运行 ADI 同步配置将创建额外的 <domain>.conf 文件，您需要对该文件进行编辑，以指定同步的筛选条件。

要为多域源支持运行 ADI 同步配置，请按照以下步骤操作：

1. 以管理员模式打开命令指示符。
2. 前往 ADI 同步系统目录。系统目录的默认位置是 C:\Program Files\KnowBe4\ADI Sync。

3. 输入下面一行，然后按回车键：

   adisync.exe config

4. 输入额外域控制器和域的详细信息。有关更多详情，请参阅 Active Directory 集成 (ADI) 配置指南的安装与配置部分中的步骤 7。
5. 在 C:\ProgramData\KnowBe4\ADI Sync\Config 中创建完额外的 <domain>.conf 文件之后，即可编辑文件以注明要同步的信息。有关更多详情，请参阅 Active Directory 集成 (ADI) 配置指南。
6. 保存 <domain>.conf 文件。
7. 对所有额外的域重复此流程之后，您可以开始同步。

安装 ADI 的最新版本

执行以下步骤，无需卸载之前的版本即可安装最新版本的 ADI：

1. 通过 KSAT 帐户设置下载新的安装程序。
2. 运行安装。

3. 若系统询问是否安装，请单击是并使用先前安装中的数据。

   安装完成后，KnowBe4 ADI 同步服务将自动开启。您可在 Windows 服务菜单中确认该服务是否按预期运行。

用户应会按预期继续同步。

同步自定义字段

KnowBe4 控制台中的用户个人资料包括可用于从 Active Directory 同步额外信息的自定义字段。要注明想同步至自定义字段的信息，请编辑 <domain>.conf 文件，然后再次开启服务以同步您的更改。有关详情，请参阅同步其他用户信息至 KnowBe4。

启用 SecurityCoach 字段

如果您已经配置 ADI，且您的订阅包括 SecurityCoach，则可安装最新版本的 ADI，以启用 SecurityCoach 字段。如果您已在使用最新版本，且没有启用 SecurityCoach 字段，则需要重新配置 ADI 以启用这些字段。

要重新配置 ADI 并启用 SecurityCoach 字段，请按照以下步骤操作：

1. 在 Windows 服务菜单中停止 KnowBe4 ADI 同步服务。
2. 转到 \ADIsync 系统目录。系统目录的默认位置是 C:\ProgramData\KnowBe4\ADI Sync\Config\。
3. 将 <domain>.conf 文件重命名为“<domain>-OLD.conf”。
4. 将 <domain>-OLD.conf 文件移动到另一个目录。
5. 前往安装目录 C:\Program Files\KnowBe4\ADI Sync\ 并打开高级命令提示符。
6. 在命令提示符中运行 adisync.exe config。
7. 输入与之前相同的信息以重新配置 ADI，但将启用 SecurityCoach 字段设置为 true。在您重新配置 ADI 后，新的 <domain>.conf 文件将填充在 \Config 目录中。
8. 打开 <domain>-OLD.conf 文件和新的 <domain>.conf 文件。
9. 复制 <domain>-OLD.conf 文件中 [sync.users] 部分的数据。将这些数据粘贴到新的 <domain>.conf 文件。
10. 复制 <domain>-OLD.conf 文件中 [sync.groups] 部分的数据。将这些数据粘贴到新的 <domain>.conf 文件。
11. （可选）如果您自定义了 <domain>-OLD.conf 文件的 [sync.fields] 部分，则可对新的 <domain>.conf 文件进行相同的自定义。
12. 开启 KnowBe4 ADI 同步服务。