Jak zřídit uživatele ve službě AD DS
Platí pro: Microsoft Identity Manager 2016 SP1 (MIM)
Jedním ze základních požadavků na systém správy identit je schopnost zřizovat prostředky v externím systému.
Tento průvodce vás provede hlavními stavebními prvky, které jsou součástí zřizování uživatelů z Microsoft® Identity Manageru (MIM) 2016 ve službě Active Directory® Domain Services (AD DS). Popisuje, jak můžete ověřit, jestli váš scénář funguje podle očekávání, nabízí návrhy pro správu uživatelů Active Directory pomocí MIM 2016 a uvádí další zdroje informací.
Než začnete
V této části najdete informace o oboru tohoto dokumentu. Obecně platí, že průvodci typu „jak něco provést“ se zaměřují na čtenáře, kteří už mají základní zkušenosti s procesem synchronizace objektů pomocí MIM, jak je popsaný v souvisejících článcích typu Začínáme.
Cílová skupina
Tento průvodce je určený pro odborníky na informační technologie (IT), kteří už mají základní znalosti o tom, jak funguje proces synchronizace MIM a chtějí získat praktické zkušenosti a koncepčnější informace o konkrétních scénářích.
Předpokládané znalosti
Tento dokument předpokládá, že máte přístup ke spuštěné instanci MIM a máte zkušenosti s konfigurací jednoduchých synchronizačních scénářů podle popisu v těchto dokumentech:
Obsah tohoto dokumentu má fungovat jako rozšíření těchto úvodních dokumentů.
Obor
Scénář popsaný v tomto dokumentu je zjednodušený, aby řešil požadavky základního testovacího prostředí. Ústředním bodem je umožnit vám, abyste porozuměli popsaným konceptům a technologiím.
Tento dokument vám pomůže vytvořit řešení, které zahrnuje správu skupin ve službě AD DS pomocí MIM.
Požadavky na čas
K dokončení postupů v tomto dokumentu potřebujete 90 až 120 minut.
Tyto časové odhady vycházejí z předpokladu, že testovací prostředí je už nakonfigurované, a nezahrnují čas nutný k nastavení testovacího prostředí.
Popis scénáře
Fiktivní společnost Fabrikam plánuje spravovat uživatelské účtů ve své podnikové službě AD DS pomocí MIM. V rámci tohoto procesu musí Fabrikam zřídit uživatele ve službě AD DS. K zahájení počátečního testování nainstalovala společnost Fabrikam základní testovací prostředí, která se skládá z MIM a AD DS. V tomto testovacím prostředí Fabrikam testuje scénář, který se týká uživatele ručně vytvořeného na portálu MIM. Cílem tohoto scénáře je zřídit uživatele jako povoleného uživatele s předdefinovaným heslem ve službě AD DS.
Návrh scénáře
K použití tohoto průvodce potřebujete tři součásti architektury:
Řadič domény služby Active Directory
Počítač se synchronizační službou FIM
Počítač s portálem FIM
Požadované prostřední je znázorněné na obrázku.
Všechny součásti můžete spustit v jednom počítači.
Poznámka
Další informace o nastavení MIM najdete v průvodci instalací FIM.
Seznam součástí scénáře
Součásti scénáře v tomto průvodci jsou uvedené v následující tabulce.
| Ikona | Komponenta | Popis |
|---|---|---|
|
Organizační jednotka | Objekty MIM – organizační jednotka (OJ), která slouží jako cíl pro zřízené uživatele. |
|
Uživatelské účty | · ADMA – uživatelský účet služby Active Directory s dostatečnými právy pro připojení ke službě AD DS. · FIMMA – uživatelský účet Active Directory s dostatečnými právy pro připojení k MIM. |
|
Agenti pro správu a profily spuštění | · Fabrikam ADMA – agent pro správu, který vyměňuje data se službou AD DS. · Fabrikam FIMMA – agent pro správu, který vyměňuje data s MIM. |
|
Pravidla synchronizace | Pravidlo odchozí synchronizace skupiny Fabrikam – pravidlo odchozí synchronizace, které zřizuje uživatele v AD DS. |
|
Sady | Všichni dodavatelé – sada s dynamickým členstvím pro všechny objekty, jejichž atribut EmployeeType má hodnotu Contractor. |
|
Pracovní postupy | Pracovní postup zřizování v AD – pracovní postup k přidání uživatele MIM do rozsahu pravidla odchozí synchronizace služby AD. |
|
Pravidla zásad správy | Pravidlo zásad správy zřizování v AD – pravidlo zásad správy (MPR), který se spustí, když se prostředek stane členem sady Všichni dodavatelé. |
|
Uživatelé MIM | Britta Simon – uživatelka MIM, kterou zřídíte v AD DS. |
Kroky scénáře
Scénáře popsané v tomto průvodci sestávají ze stavebních prvků znázorněných na následujícím obrázku.
Konfigurace externích systémů
V této části najdete pokyny pro prostředky, které potřebujete vytvořit mimo prostředí MIM.
Krok 1: Vytvoření organizační jednotky
Organizační jednotku potřebujete jako kontejner pro zřízeného ukázkového uživatele. Další informace o vytvoření organizační jednotky najdete v článku o vytvoření nové organizační jednotky.
Vytvořte v AD DS organizační jednotku nazvanou MIMObjects.
Krok 2: Vytvoření uživatelských účtů Active Directory
Pro scénář v tomto průvodci potřebujete dva uživatelské účty Active Directory:
ADMA – používaný agentem pro správu Active Directory.
FIMMA – používaný agentem pro správu FIM.
V obou případech stačí vytvořit běžné uživatelské účty. Další informace o konkrétních požadavcích obou účtů najdete dále v tomto dokumentu. Další informace o vytvoření uživatelů najdete v článku o vytvoření nového uživatelského účtu.
Konfigurace synchronizační služby FIM
Pro konfigurační kroky v této části musíte spustit Synchronization Service Manager FIM.
Vytvoření agentů pro správu
Pro scénář v tomto průvodci musíte vytvořit dva agenty pro správu:
ADMA Fabrikam – agent pro správu AD DS.
FIMMA Fabrikam – agent pro správu agenta pro správu služby FIM.
Krok 3: Vytvoření agenta pro správu ADMA Fabrikam
Při konfiguraci agenta pro správu pro AD DS musíte zadat účet, který agent pro správu používá při výměně dat s AD DS. Měli byste použít běžný uživatelský účet. Pro import dat z AD DS ale účet musí mít právo k dotazování na změny z řídicího prvku DirSync. Pokud chcete, aby agent pro správu exportoval data do AD DS, musíte účtu udělit dostatečná práva v cílových organizačních jednotkách. Další informace o tomto tématu najdete v článku o konfiguraci účtu ADMA.
Pokud chcete vytvořit uživatele v AD DS, musíte zřídit odchozí tok rozlišujícího názvu objektu. Kromě toho je vhodné zřídit tok křestního jména, příjmení a zobrazovaného jména, aby se zajistilo, že budou objekty zjistitelné.
V AD DS je stále běžné, že uživatelé k přihlašování do adresářové služby používají atribut sAMAccountName. Pokud pro tento atribut nezadáte hodnotu, adresářová služba pro něj vygeneruje náhodnou hodnotu. Tyto náhodné hodnoty ale nejsou uživatelsky přívětivé, proto obvykle export do AD DS zahrnuje uživatelsky přívětivou verzi tohoto atributu. Pokud chcete umožnit přihlašování uživatele do AD DS, musíte do logiky exportu přidat také heslo vytvořené pomocí atributu unicodePwd.
Poznámka
Hodnota, kterou zadáte jako unicodePwd, musí splňovat zásady hesel cílové služby AD DS.
Při nastavení hesla pro účty AD DS musíte také vytvořit účet jako povolený účet. Toho dosáhnete nastavením atributu userAccountControl. Další informace o atributu userAccountControl najdete v článku o povolení nebo zakázání účtů v Active Directory pomocí FIM.
Následující tabulka obsahuje nejdůležitější nastavení scénáře, která musíte nakonfigurovat.
| Stránka k navrhování agenta pro správu | Konfigurace |
|---|---|
| Vytvořit agenta pro správu | 1. Agent správy pro: AD DS 2. Název: Fabrikam ADMA |
| Připojení k doménové struktuře služby Active Directory | 1. Vyberte oddíly adresáře: "DC=Fabrikam,DC=com" 2. Kliknutím na Kontejnery otevřete dialogové okno Vybrat kontejnery a ujistěte se, že MIMObjects je jediná vybraná organizační jednotka. |
| Výběr typů objektů | Kromě už vybraných typů objektů vyberte typ uživatel. |
| Výběr atributů | 1. Klikněte na Zobrazit vše. 2. Vyberte následující atributy: ° displayName ° givenName ° sn ° SamAccountName ° unicodePwd ° userAccountControl |
Další informace najdete v následujících tématech nápovědy:
- Vytvoření agenta pro správu
- Připojení k doménové struktuře služby Active Directory
- Používání agenta pro správu pro službu Active Directory
- Konfigurace oddílů adresáře
Poznámka
Ujistěte se, že máte nakonfigurované pravidlo toku atributu importu pro atribut ExpectedRulesList.
Krok 4: Vytvoření agenta pro správu FIMMA Fabrikam
Při konfiguraci agenta pro správu služby FIM musíte zadat účet, který agent pro správu používá při výměně dat se službou FIM.
Měli byste použít běžný uživatelský účet. Musí to být stejný účet, jaký zadali při instalaci MIM. Informace o skriptu, který můžete použít k určení názvu účtu FIMMA zadaného během instalace , a otestování, jestli je tento účet stále platné, najdete v článku o použití Windows PowerShellu k provedení rychlého testu konfigurace účtu FIM MA.
Následující tabulka obsahuje nejdůležitější nastavení scénáře, která musíte nakonfigurovat. Vytvořte agenta pro správu podle informací uvedených v následující tabulce.
| Stránka k navrhování agenta pro správu | Konfigurace |
|---|---|
| Vytvořit agenta pro správu | 1. Agent pro správu: Agent pro správu služby FIM 2. Pojmenujte Fabrikam FIMMA |
| Připojení k databázi | Použijte následující nastavení: · Server: localhost · Databáze: FIMService · Základní adresa služby FIM:http://localhost:5725 Zadat informace o účtu, který jste vytvořili pro tohoto agenta pro správu |
| Výběr typů objektů | Kromě už vybraných typů objektů vyberte typ Osoba. |
| Nakonfigurování mapování typů objektů | Kromě už existujících mapování typů objektů přidejte mapování pro Typ objektu zdroje dat Osoba na osobu Typu objektu Metaverse. |
| Configure attribute flow | Kromě už existujících mapování toku atributů přidejte následující mapování toku atributů:
|
Další informace najdete v následujících tématech nápovědy:
Vytvoření agenta pro správu
Připojení k databázi služby Active Directory
Používání agenta pro správu pro službu Active Directory
Konfigurace oddílů adresáře
Poznámka
Ujistěte se, že máte nakonfigurované pravidlo toku atributu importu pro atribut ExpectedRulesList.
Krok 5: Vytvoření profilů spuštění
Následující tabulka obsahuje profily spuštění, které musíte vytvořit pro scénář v tomto průvodci.
| Agent pro správu | Profil spuštění |
|---|---|
| ADMA Fabrikam | 1. Úplný import 2. Úplná synchronizace 3. Rozdílový import 4. Rozdílová synchronizace 5. Export |
| FIMMA Fabrikam | 1. Úplný import 2. Úplná synchronizace 3. Rozdílový import 4. Rozdílová synchronizace 5. Export |
Profily spuštění podle předchozí tabulky vytvořte pro každého agenta pro správu.
Poznámka
Další informace najdete v tématu o vytvoření profilu spuštění agenta pro správu v nápovědě MIM.
Důležité
Zkontrolujte, jestli je zřizování je ve vašem prostředí povolené. Můžete to provést spuštěním skriptu pomocí Windows PowerShell k povolení zřizování (https://go.microsoft.com/FWLink/p/?LinkId=189660).
Konfigurace služby FIM
Pro scénář v tomto průvodci musíte nakonfigurovat zásadu zřizování, jak je znázorněno na následujícím obrázku.
Cílem této zásady zřizování je zavést skupiny do rozsahu pravidla odchozí synchronizace uživatelů AD. Zavedením prostředku do rozsahu synchronizačního pravidla povolíte synchronizačnímu modulu zřízení prostředku v AD DS podle vaší konfigurace.
Pokud chcete nakonfigurovat službu FIM, přejděte v Aplikaci Windows Internet Explorer® na http://localhost/identitymanagement. Abyste na stránce portálu MIM vytvořili zásadu zřizování, z části Správa přejděte na související stránky. Pokud chcete konfiguraci ověřit, spusťte skript z článku o zdokumentování konfigurace zásad zřizování pomocí Windows PowerShellu.
Krok 6: Vytvoření synchronizačního pravidla
Následující tabulky popisují konfiguraci požadovaného synchronizačního pravidla zřizování Fabrikam. Synchronizační pravidlo vytvořte podle dat v následujících tabulkách.
| Konfigurace synchronizačního pravidla | Nastavení |
|---|---|
| Název | Pravidlo odchozí synchronizace uživatele služby Active Directory |
| Description | |
| Priorita | 2 |
| Směr toku dat | Odchozí |
| Závislost |
| Obor | Nastavení |
|---|---|
| Typ prostředku v úložišti metaverse | osoba |
| Externí systém | ADMA Fabrikam |
| Typ prostředku externího systému | uživatel |
| Relace | Nastavení |
|---|---|
| Vytvořit prostředek v externím systému | Ano |
| Povolit zrušení zřízení | Ne |
| Kritéria relace | Nastavení |
|---|---|
| Atribut ILM | Atribut zdroje dat |
| Atribut zdroje dat | sAMAccountName |
| Počáteční odchozí toky atributů | Nastavení 1 | Nastavení 2 |
|---|---|---|
| Povolit hodnoty NULL | Cíl | Source |
| false (nepravda) | rozlišující název | +("CN=",displayName;";OU=MIMObjects;DC=fabrikam;DC=com") |
| false (nepravda) | userAccountControl | Konstanta: 512 |
| false (nepravda) | unicodePwd | Konstanta: P@$$W 0rd |
| Trvalé odchozí toky atributů | Nastavení 1 | Nastavení 2 |
|---|---|---|
| Povolit hodnoty NULL | Cíl | Source |
| false (nepravda) | sAMAccountName | accountName |
| false (nepravda) | displayName | displayName |
| false (nepravda) | givenName | firstName |
| false (nepravda) | sn | lastName |
Poznámka
Důležité: Zkontrolujte, jestli jste pro tok atributů, který má rozlišující název jako cíl, zvolili Pouze počáteční tok.
Krok 7: Vytvoření pracovního postupu
Cílem pracovního postupu zřizování AD je přidat synchronizační pravidlo zřizování Fabrikam do prostředku. Následující tabulky popisují konfiguraci. Pracovní postup vytvořte podle dat v následujících tabulkách.
| Konfigurace pracovních postupů | Nastavení |
|---|---|
| Název | Pracovní postup zřizování uživatelů služby Active Directory |
| Description | |
| Typ pracovního postupu | Akce |
| Spustit při aktualizaci zásady | Ne |
| Synchronizační pravidlo | Nastavení |
|---|---|
| Název | Pravidlo odchozí synchronizace uživatele služby Active Directory |
| Akce | Přidání |
Krok 8: Vytvoření pravidla zásad správy (MPR)
Požadované MPR je typu Přechod sady a spustí se, když se prostředek stane členem sady Všichni dodavatelé. Následující tabulky popisují konfiguraci. MPR vytvořte podle dat v následujících tabulkách.
| Konfigurace MPR | Nastavení |
|---|---|
| Název | Pravidlo zásad správy zřizování uživatelů AD |
| Popis | |
| Typ | Přechod sady |
| Uděluje oprávnění | Ne |
| Zakázáno | Ne |
| Definice přechodu | Nastavení |
|---|---|
| Typ přechodu | Přechod dovnitř |
| Sada přechodu | Všichni dodavatelé |
| Pracovní postupy zásad | Nastavení |
|---|---|
| Typ | Akce |
| Zobrazovaný název | Pracovní postup zřizování uživatelů služby Active Directory |
Inicializace prostředí
Fáze inicializace má tyto cíle:
Dostat vaše synchronizační pravidlo do úložiště metaverse
Dostat strukturu Active Directory do prostoru konektoru Active Directory
Krok 9: Spuštění profilů spuštění
Následující tabulka obsahuje profily spuštění, které jsou součástí fáze inicializace. Profily spuštění spusťte v souladu s následující tabulkou.
| Spustit | Agent pro správu | Profil spuštění |
|---|---|---|
| 1 | FIMMA Fabrikam | Úplný import |
| 2 | Úplná synchronizace | |
| 3 | Export | |
| 4 | Rozdílový import | |
| 5 | ADMA Fabrikam | Úplný import |
| 6 | Úplná synchronizace |
Poznámka
Měli byste ověřit, jestli se vaše pravidlo odchozí synchronizace úspěšně promítlo do úložiště metaverse.
Otestování konfigurace
Cílem této části je otestování vlastní konfigurace. Abyste konfiguraci otestovali:
Vytvoříte ukázkového uživatele na portálu FIM.
Ověříte požadavky zřizování ukázkového uživatele.
Zřídíte ukázkového uživatele ve službě AD DS.
Ověříte, jestli uživatel ve službě AD DS existuje.
Krok 10: Vytvoření ukázkového uživatele v MIM
Následující tabulka uvádí vlastnosti ukázkového uživatele. Vytvořte ukázkového uživatele podle dat v následující tabulce.
| Atribut | Hodnota |
|---|---|
| Jméno | Hana |
| Příjmení | Simon |
| Zobrazovaný název | Britta Simon |
| Account Name | BSimon |
| Doména | Fabrikam |
| Typ zaměstnance | Smluvní partner |
Ověření požadavků zřizování ukázkového uživatele
Abyste mohli zřídit ukázkového uživatele v AD DS, musí být splněny dva požadavky:
Uživatel musí být členem sady Všichni dodavatelé.
Nastavený uživatel musí být v rozsahu pravidla odchozí synchronizace.
Krok 11: Ověření, jestli je uživatel členem sady Všichni dodavatelé
Abyste ověřili, jestli je uživatel členem sady Všichni dodavatelé, otevřete sadu a pak klikněte na Zobrazit členy.
Krok 12: Ověření, jestli je uživatel v rozsahu pravidla odchozí synchronizace
Pokud chcete ověřit, jestli je uživatel v oboru synchronizačního pravidla, otevřete stránku vlastností uživatele a zkontrolujte atribut Seznam očekávaných pravidel na kartě Zřizování. Atribut Expected Rules List (Seznam očekávaných pravidel) by měl obsahovat uživatele služby AD.
Pravidlo odchozí synchronizace. Následující snímek obrazovky ukazuje příklad atributu Expected Rules List (Seznam očekávaných pravidel).
V tomto okamžiku procesu je stav synchronizačního pravidla Čeká na vyřízení. To znamená, že synchronizační pravidlo ještě na uživatele nebylo použito.
Kroku 13: Synchronizace ukázkové skupiny
Než zahájíte první synchronizační cyklus pro testovací objekt, měli byste sledovat očekávaný stav objektu po každém profilu spuštění, který spustíte v testovacím plánu. Testovací plán by měl zahrnovat kromě obecného stavu objektu (vytvořen, aktualizován nebo odstraněn) také hodnoty atributů, které očekáváte. Pomocí testovacího plánu ověřte očekávání testovacího plánu. Pokud krok nevrátí očekávané výsledky, nepokračujte na další krok, dokud nesrovnalosti mezi očekávaným a skutečným výsledkem nevyřešíte.
K ověřování očekávání můžete použít statistiky synchronizace jako první indikátor. Pokud třeba očekáváte, že nové objekty budou umístěné v prostoru konektoru, ale statistika importu nevrátí žádná „přidání“, ve vašem prostředí něco evidentně nefunguje podle očekávání.
I když vám statistiky synchronizace můžou poskytnout první náznak, jestli váš scénář funguje podle očekávání, měli byste pomocí funkcí Search Connector Space a Metaverse Search v Synchronization Service Manageru ověřit očekávané hodnoty atributů.
Pokud chcete synchronizovat uživatele do služby AD DS:
Importujte uživatele do prostoru konektoru FIM MA.
Promítněte uživatele do úložiště metaverse.
Zřiďte uživatele v prostoru konektoru Active Directory.
Exportujte informace o stavu do FIM.
Exportujte uživatele do AD DS.
Zkontrolujte vytvoření uživatele.
K provedení těchto úloh spusťte následující profily spuštění.
| Agent pro správu | Profil spuštění |
|---|---|
| FIMMA Fabrikam | 1. Rozdílový import 2. Rozdílová synchronizace 3. Export 4. Rozdílový import |
| FIMMA Fabrikam | 1. Export 2. Rozdílový import |
Po importu z databáze služby FIM se Britta Simon a objekt ExpectedRuleEntry, který propojí Brittu s pravidlem odchozí synchronizace uživatelů SLUŽBY AD, fázují v prostoru konektoru Fabrikam FIMMA. Při kontrole vlastností Britty v prostoru konektoru najdete vedle hodnot atributů, které jste nakonfigurovali na portálu FIM, také platný odkaz na objekt Expected Rule Entry. Následující snímek obrazovky ukazuje příklad.
Cílem rozdílové synchronizace spuštěné ve vašem FIMMA Fabrikam je provést několik operací:
Promítnutí – Nový objekt uživatele a související objekt ExpectedRuleEntry se promítnou do úložiště metaverse.
Zřízení – Nově promítnutý objekt Britta Simon se zřídí v prostoru konektoru ADMA Fabrikam.
Toky atributů exportu – Toky atributů exportu se vyskytnou v obou agentech pro správu. V ADMA Fabrikam je nově zřízený objekt Britta Simon vyplněný novými hodnotami atributů. Ve FIMMA Fabrikam jsou stávající objekt Britta Simon a související objekt ExpectedRuleEntry aktualizované hodnotami atributů, které jsou výsledkem promítnutí.
Jak už je patrné ze statistik synchronizace, v prostoru konektoru ADMA Fabrikam proběhla zřizovací aktivita. Když zkontrolujete vlastnosti objektu úložiště metaverse Britta Simon, zjistíte, že je tato aktivita výsledkem atributu ExpectedRulesList, který je vyplněný platným odkazem.
Během následujícího exportu ve Fabrikam FIMMA se stav synchronizačního pravidla Britta Simon aktualizuje z Čeká na vyřízení na Použito. To znamená, že vaše pravidlo odchozí synchronizace je teď na objektu v úložišti metaverse aktivní.
Protože je v prostoru konektoru ADMA zřízený nový objekt, měli byste v tomto agentovi pro správu mít jedno „přidání“ čekající na export.
Ve FIM vyžaduje každé spuštění exportu následující rozdílový import, aby se operace exportu dokončila. Rozdílový import, který spustíte po předchozím spuštění exportu, se označuje jako potvrzující import. Potvrzující importy jsou požadované, aby synchronizační služba FIM mohla provádět příslušné požadavky aktualizace během následujících spuštění synchronizace.
Profily spuštění spusťte podle pokynů v této části.
Důležité
Každý spuštěný profil spuštění musí být úspěšný bez chyby.
Krok 14: Ověření zřízeného uživatele v AD DS
Abyste ověřili, že je ukázkový uživatel v AD DS zřízený, otevřete organizační jednotku FIMObjects. V organizační jednotce FIMObjects by se měla nacházet Britta Simon.
Souhrn
Cílem tohoto dokumentu je vám představit vám hlavní stavební prvky synchronizace uživatele v MIM se službou AD DS. Při počátečním testování byste měli začít s minimem atributů, které jsou potřebné k dokončení úlohy, a další atributy do scénáře přidat, když obecné kroky fungují podle očekávání. Udržením minimální úrovně složitosti se zjednodušuje proces řešení potíží.
Při testování konfigurace je velmi pravděpodobné, že odstraníte a znovu vytvoříte nové testovací objekty. U objektů s
vyplněným atributem ExpectedRulesList to může vést k osamoceným objektům ERE.
Ve typickém scénáři synchronizace, který zahrnuje AD DS jako cíl synchronizace, není MIM autoritativní pro všechny atributy objektu. Když třeba spravujete uživatelské objekty v AD DS pomocí FIM, minimálně doménou a atributy objectSID musí přispět agent pro správu AD DS. Pokud chcete uživateli umožnit přihlašování k portálu FIM, jsou název účtu, doména a atributy objectSID povinné. K vyplnění těchto atributů z AD DS je potřeba další pravidlo příchozí synchronizace pro váš prostor konektoru služby AD DS. Když spravujete objekty s více zdroji pro hodnoty atributů, musíte správně nakonfigurovat prioritu toku atributů. Pokud priorita toku atributů není správně nakonfigurovaná, blokuje modul synchronizace vyplnění hodnot atributů. Další informace o prioritě toku atributů najdete v článku o prioritě toku atributů.