活动目录(Active Directory)
活动目录(以下简称AD)与ServiceDesk Plus应用程序的集成使您可以将用户信息从AD服务器导入ServiceDesk Plus应用程序。 它还使您可以从AD中导入用户,安排从AD中导入用户,从AD中同步已删除的请求者/技术人员,以及配置AD身份验证。
快速链接
从AD导入用户
如果尚未从任何域导入用户,则可以通过单击从AD导入用户链接来导入用户。弹出从AD导入窗口。
- 从“域名”下拉框中列出的域列表中,选择要导入AD的域名。如果在“域扫描”页面中已经输入了其他详细信息,例如域控制器名称,用户名和密码,则将自动填充该详细信息。否则,在“域控制器名称”字段中输入域控制器的名称,在相应的字段中输入登录名和密码。
- 您还可以选择要从AD导入的字段。为此,请启用默认字段(电话,部门,职位,移动,地点名称和电子邮件)旁边的复选框。指定在AD中为所选字段配置的字段名称。如果在AD中将“电话”配置为“电话号码”,则在提供的文本字段中输入电话号码。未选择的字段不会导入,这是为了避免目录中的旧值过度占用新值。
- 除了默认字段外,您还可以从AD中导入请求者附加字段详细信息。如果尚未配置任何请求者其他字段,请选择“单击此处以配置”链接。这会将您带到“请求者-附加字段”页面,在该页面中,您需要配置要从AD导入的附加字段。已配置的请求者其他字段-文本和数字字段,分别显示在从AD导入窗口中,颜色为蓝色和绿色。启用要导入的请求者其他字段旁边的复选框,并指定在AD中配置的所选字段旁边的字段名称。未选择的字段不会导入。
|
字段名称
|
字段类型
|
AD中的专有名称(DN)
|
描述
|
|
邮件地址
|
文本
|
邮件
|
请求人的邮件地址
|
|
国家代码
|
数字
|
国家代码
|
请求人的国家代码
|
|
注意:
|
1. 数字附加字段最多可包含19位数字。 如果您的数值超过19位数字,则在文本字段中配置该值。
2. 每次导入时,现有请求者数据将被覆盖。
|
- 如果在AD中更改了与用户/部门关联的地点,则应将属于该用户/部门的资产移动到新地点。 要在每次导入时更新此信息,请启用“移动关联的资产”复选框。 取消选中此复选框不会将资产移动到新地点。
- 单击立即导入。 导入向导将显示该域中可用的各种组织单位(OU)。 通过选中旁边的复选框,选择要从中导入用户的特定组织单位。
- 单击开始导入。 导入完成后,将显示有关添加了多少记录,覆盖了多少以及导入失败的数据。
计划AD导入
您可以选择在指定的天数内计划AD导入。 当您计划AD导入时,将在指定的天数内导入应用程序中所有可用域中的数据。
- 选中“计划AD导入”复选框。 在文本框中指定天数。 请求者详细信息将按计划自动导入。
- 单击saveADSync按钮以与活动目录同步。
AD用户导入中用户账号覆盖的规则:
从AD执行用户导入时,
规则1:ObjectGUID-如果ServiceDesk Plus中用户帐户的ObjectGUID与AD中的用户帐户匹配,则ServiceDesk Plus中的记录将被覆盖。
规则2:登录名和域-如果ServiceDesk Plus中的用户帐户的登录名和域与AD中的用户帐户匹配,则ServiceDesk Plus中的记录将被覆盖。
规则3:电子邮件地址-如果在Admin >>自助服务门户设置下启用了“基于EmailId的替代”选项,并且ServiceDesk Plus中用户帐户的电子邮件地址与AD用户帐户匹配,则记录在ServiceDesk Plus将被覆盖。
规则4:登录名和域为“-”(未关联)-如果ServiceDesk Plus中的用户帐户仅包含具有电子邮件地址但没有域关联的登录名,并且该登录名与AD用户帐户匹配,则ServiceDesk Plus中的记录将被覆盖。
从AD导入用户时,该用户的ObjectGUID用作唯一标识符来更新ServiceDesk Plus中的用户详细信息。 如果“ ObjectGUID”与ServiceDesk Plus中的任何用户都不匹配:
-
用户的“登录名+域名”用作唯一标识符,以更新ServiceDesk Plus中的用户详细信息。
-
如果“登录名+域名”与ServiceDesk中的任何用户都不匹配,则该用户的“电子邮件地址”将用作唯一标识符。
-
如果电子邮件地址不匹配,则将“登录名+域= NULL”(其中登录名是霍华德(示例),域名是NULL)用作更新用户详细信息的唯一标识符。
如果ServiceDesk Plus中不存在“ ObjectGUID”,“登录名域名”,“电子邮件地址”,“登录名域= NULL”之类的指定条件,则将添加新用户。
同步从AD中删除的用户
此选项使您可以将AD中已删除的请求者/技术人员同步到应用程序中。 导入后会同步已删除用户。 同步完成后,它会向您显示从AD删除的用户列表。 您可以从列表中删除请求者和技术人员。 对于请求者,您可以启用自动删除,以便从活动目录中删除请求者时,也会将用户从应用程序中删除。 但是,对于技术人员,此选项不可用。 您可以通过从列表中选择并手动删除他们来删除技术人员。
- 将鼠标悬停在“同步从AD中删除的用户”字段中。 出现编辑选项。 单击编辑按钮。 启用“从AD同步已删除的用户”。
注意:如果禁用“从AD同步已删除的用户”选项,则将不同步已删除的用户。 被删除的请求者,技术员的列表也不会显示。 如果您从AD手动导入用户,则删除的用户将不会同步。 如果同步删除的用户按计划运行,则将通过响铃通知向SDAdmins通知已删除的用户。
AD验证
您可以按照以下步骤通过活动目录(AD)对用户登录进行身份验证。 配置AD身份验证时,对AD中密码所做的任何更改都将反映在ServiceDesk Plus中。 这有助于用户使用系统的登录名和密码登录到应用程序。
|
注意:
|
在开始配置AD身份验证之前,请确保已导入用户。 仅当用户帐户在ServiceDesk Plus应用程序中可用时,才会从活动目录中验证该用户帐户的密码。 因此,当没有用户从活动目录中导入时,无法对用户帐户进行身份验证。
|
要配置AD身份验证,
- 使用ServiceDesk Plus管理员的用户名和密码登录ServiceDesk Plus应用程序。
- 单击标题窗格中的“管理”选项卡。
- 在“用户”块中,单击“ AD身份验证”。 您可以在此处启用或禁用活动目录身份验证。 默认情况下,将禁用AD身份验证。
- 如果您已经从网络中的任何域导入用户,请单击“启用”按钮。
即使在启用AD身份验证之后,如果您想绕过AD身份验证,那么在应用程序登录屏幕中,需要在输入登录名和密码后从“域”列表框中选择“本地身份验证”,然后单击 登录按钮进入ServiceDesk Plus。
配置直通身份验证
启用单点登录后,ServiceDesk plus会直接验证Windows系统用户名和密码。 因此,您无需再次登录即可进入ServiceDesk Plus。
ServiceDesk Plus直通身份验证使用NTMLV2,它提供了更好的安全性并使用NETLOGON服务来验证凭据。
- 启用AD会激活传递身份验证(单点登录)选项。
- 如果要激活单点登录,请选择“启用通过身份验证(单点登录)”选项。
- 您可以为来自特定域的用户启用传递身份验证。 为此,请从下拉列表中选择域名。 启用的域应采用两种方式信任。
- 在提供的字段中指定域的DNS服务器IP。
- 要将NTLM安全提供程序用作身份验证服务,需要在AD中使用特定密码创建计算机帐户。 指定“计算机帐户”的唯一名称和该帐户的“密码”。
- Bind String参数必须是特定AD服务器的标准DNS域名或标准DNS主机名。
- 保存身份验证。 您将收到有关身份验证的确认消息。
保存详细信息后,将在AD上创建一个新的计算机帐户(借助VB脚本)。如果用户指定了现有的计算机帐户名,则将在AD中为该计算机帐户重置此处指定的密码。用户也可以通过单击“重置密码”链接来选择重置计算机帐户的密码。
如果使用SDP服务器上的VB脚本创建计算机帐户或重置现有计算机帐户的密码时出现问题(保存时,脚本将自动被调用),将保存此处指定的详细信息,用户可以执行该脚本在AD服务器上本地指定相同的详细信息以创建计算机帐户/重置密码。
如果计算机帐户创建存在问题,则用户可以指定一个已创建的计算机帐户名称,并可以在“重置密码”脚本的帮助下重置该计算机帐户的密码。
注意:如果您映射直接在AD中创建的计算机帐户,则单点登录将起作用。
