Nastavení domény
Microsoft Identity Manager (MIM) pracuje s doménou služby Active Directory (AD). Službu AD už byste měli mít nainstalovanou. Ujistěte se, že máte ve svém prostředí řadič domény pro doménu, kterou můžete spravovat.
Tento článek vás provede kroky při přípravě domény pro využití MIM.
Vytvoření uživatelských účtů a skupin
Všechny komponenty vašeho nasazení MIM vyžadují v doméně svoje vlastní identity. Platí to pro komponenty MIM, jako je Service a Sync, a také pro SharePoint a SQL.
Poznámka
Tento návod používá vzorové názvy a hodnoty ze společnosti nazývané Contoso. Nahraďte je vlastními. Příklad:
- Název řadiče domény – corpdc
- Název domény – contoso
- Název serveru služby MIM – corpservice
- Název synchronizačního serveru MIM – corpsync
- SQL Server jméno – corpsql
- Heslo – Pass@word1
Přihlaste se k řadiči domény jako správce domény (např. Contoso\Administrator).
Vytvořte následující uživatelské účty pro služby MIM. Spusťte PowerShell a zadejte následující skript PowerShell pro aktualizaci domény.
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMINSTALL –name MIMINSTALL Set-ADAccountPassword –identity MIMINSTALL –NewPassword $sp Set-ADUser –identity MIMINSTALL –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSSPR –name MIMSSPR Set-ADAccountPassword –identity MIMSSPR –NewPassword $sp Set-ADUser –identity MIMSSPR –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 New-ADUser –SamAccountName MIMpool –name MIMpool Set-ADAccountPassword –identity MIMPool –NewPassword $sp Set-ADUser –identity MIMPool –Enabled 1 -PasswordNeverExpires 1
Vytvořte skupiny zabezpečení pro všechny skupiny.
New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator Add-ADGroupmember -identity MIMSyncAdmins -Members MIMService Add-ADGroupmember -identity MIMSyncAdmins -Members MIMInstall
Přidání názvů SPN kvůli povolení ověřování protokolu Kerberos pro účty služeb
setspn -S http/mim.contoso.com Contoso\mimpool setspn -S http/mim Contoso\mimpool setspn -S http/passwordreset.contoso.com Contoso\mimsspr setspn -S http/passwordregistration.contoso.com Contoso\mimsspr setspn -S FIMService/mim.contoso.com Contoso\MIMService setspn -S FIMService/corpservice.contoso.com Contoso\MIMService
Během instalace musíme přidat následující záznamy DNS A pro správný překlad názvů.
- mim.contoso.com point to corpservice physical IP address
- passwordreset.contoso.com Fyzické IP adresy služby typu Point to Corpservice
- passwordregistration.contoso.com point to corpservice physical IP address