集成Active Directory以及导入用户

 

目录

 

Network Configuration Manager提供了在您的环境中与Active Directory集成并从那里导入用户的选项。允许使用域帐户登录Windows系统的用户直接登录NCM(无需单独的NCM登录)。

完成从AD导入用户并在NCM中为他们分配必要的角色和权限的过程涉及四个步骤。请按照以下详细说明的四个步骤进行操作:

第一步 - 导入用户

第一步是提供凭证详细信息并从AD导入用户。NCM自动获取运行其所在服务器的"Microsoft Windows Network"文件夹下的域列表。您需要选择所需的域并提供域控制器凭证。

之后请,

  • 进入"管理员" >> "用户"选项卡,然后点击"Active Directory"。

  • 进入第一步,然后点击"立即导入"按钮。

 

在弹出的UI中,

  • 从下拉列表中选择所需的域名,该域名构成AD的一部分。

  • 指定域控制器的DNS名称。此域控制器将是主域控制器。

  • 如果主域控制器出现故障,则可以使用辅助域控制器。如果您有辅助域控制器,请以逗号分隔的形式指定它们的DNS名称。将使用其中一个可用的辅助域控制器。当您使用SSL模式时,请确保此处指定的DNS名称与域控制器的SSL证书中指定的CN(通用名称)相匹配。

  • 对于每个域,您可以配置所有通信是否应该通过加密通道进行连接。要启用SSL模式,域控制器应该在端口636中通过SSL提供服务,并且您必须将域控制器的根证书导入到NCM服务器计算机的证书中。
     

    如上所述,要启用SSL模式,域控制器应该在端口636中通过SSL提供服务。如果域控制器的证书未由经过认证的CA签名,则必须手动将证书导入NCM服务器计算机的证书存储。您需要导入相应根证书链中存在的所有证书 - 如果有,请包含NCM服务器计算机的证书和中间证书。

    将域控制器的证书导入NCM计算机的证书存储中:(您可以使用通常使用的任何过程将SSL证书导入到计算机的证书存储中。如以下的示例)

    • 在安装了NCM的计算机上,启动Internet Explorer并导航到工具 >> Internet选项 >> 内容 >> 证书。

    • 点击"导入"。

    • 浏览并找到您CA的根证书问题。

    • 点击"下一步"并选择"根据证书类型自动选择证书存储"选项并安装。

    • 再次点击"导入"。

    • 浏览并找到域控制器证书。

    • 点击"下一步"并选择"根据证书类型自动选择证书存储"选项并安装。

    • 应用更改并关闭向导。

    • 重复该过程从而在根链中安装其他证书。

    NCM服务器现在可以通过SSL与这个特定的域控制器进行通信。对于您希望NCM通过SSL进行通信的所有域控制器,重复这些步骤。请注意,您为域控制器指定的DNS名称应该与在域控制器的SSL证书中指定的CN(通用名称)相匹配。

  • 输入在域控制器中具有读取权限的有效用户凭证(用户名和密码)。

  • 默认情况下,NCM从AD中导入所有用户。如果您只想导入特定用户,请以逗号分隔的形式输入所需的用户名。

  • 同样地,您也可以选择只从域中导入特定的用户组或OU。您可以以逗号分隔的形式在相应的文本字段中指定名称。

  • 每当新用户添加到AD时,就会自动将他们添加到NCM并保持用户数据库同步。输入NCM必须查询AD以保持用户数据库同步的时间间隔。时间间隔可以低至一分钟,也可以在小时/天的范围内。

  • 点击"保存"。点击"保存"按钮后不久,NCM将开始添加所选域中的所有用户。在后续的导入期间,只有AD中的新用户条目会被添加到本地数据库中。

  • 注意:在导入组织单位(OU)和AD组的情况下,将使用相应的OU/AD组的名称自动创建用户组。在导入过程中,每个用户都将通过电子邮件收到有关其帐户的通知,以及在禁用AD身份验证时用于登录NCM的密码。

    • 从AD导入的用户在NCM中的角色是什么?

    添加到NCM数据库的用户将具有“操作员”角色。如果要将特定角色分配给特定用户,请继续执行下面的步骤2。

    • 我可以同时处理AD和非AD权限来登录NCM吗?

    可以。您可以同时使用AD和本地(非AD)密码登录应用程序。可以在GUI登录屏幕本身中进行选择。

    • 如何验证AD中是否发生了用户/用户组同步?

      点击第一步中出现的"查看同步计划"按钮。同步状态将显示在那里。

 

第二步 - 分配角色

默认情况下,从AD导入的所有用户都将被分配为“操作员”角色。要将特定角色分配给特定用户,

  • 进入UI(管理 >> Active Directory)中的第二步,然后点击"立即分配角色"按钮。

  • 在打开的UI中,从AD导入的所有用户都显示在“操作员”列下的LHS中。

  • 选择您要为其更改角色的用户,并使用相应的箭头按钮为他们分配“管理员”或“高级用户”的角色。

  • 点击"保存"并为用户设置所需的角色。

 

第三步-  启用身份验证

第三步是启用AD身份验证。这将允许您的用户使用他们的AD域密码登录到NCM。请注意,此方案只适用于已从AD导入本地数据库的用户。

 

注意: 确保在从AD导入的用户中至少有一个具有“管理员”角色的用户。

 

第四步  -  启用单点登录

如果启用此设置,使用域帐户登录Windows系统的用户无需单独登录NCM。为此应启用AD身份验证,并应该将相应的域用户帐户导入到NCM中。

对于单点登录,NCM使用第三方库,该库提供Microsoft Active Directory和Java应用程序之间的高级集成。NTLM安全提供程序使用NETLOGON服务验证凭证,就像Windows服务器一样。

为此必须使用特定密码创建计算机帐户,该密码将用作服务帐户以连接到Active Directory域控制器上的NETLOGON服务。

这意味着,NCM需要域控制器中的计算机帐户来执行身份验证(计算机帐户必须可用/已创建——普通用户帐户将无法工作)。

启用单点登录,

  • 打开UI (管理 >> Active Directory)中的第四步,然后点击"启用单点登录"按钮。

  • 在打开的UI中,选择域。

  • 在"完全限定的DNS域名"的文本字段中输入完全限定的DNS域名(例如,zohocorpin.com)。

  • 输入在域控制器中创建的计算机帐户名称并指定密码。

  • 如果要重新创建计算机帐户,请选中"在域中创建此计算机帐户"复选框。它包含一个用于设置计算机帐户密码的脚本。

  • 点击"保存"。

 

IE浏览器默认支持此功能,请按照下面的说明在Firefox中使用:

  • 打开Firefox浏览器并输入URL about:config并点击"Enter"。

  • 您将看到一个大的设置列表。

  • 在筛选中,输入"ntlm"来查找设置"network.automatic-ntlm-auth.trusted-uris"。双击该条目并 在文本字段中输入NCM服务器 URL (https://<NCM Server Host Name>:<port>)。

  • 然后查找设置"network.ntlm.send-lm-response"

  • 双击条目以将其从默认设置"False"更改为"True"。

 

 

Back to Top