Technische Referenz zu Windows PowerShell Connector
In diesem Artikel wird der Windows PowerShell-Connector beschrieben. Der Artikel gilt für die folgenden Produkte:
- Microsoft Identity Manager 2016 (MIM2016)
Für MIM2016 steht der Connector als Download aus dem Microsoft Download Centerzur Verfügung.
Übersicht über den PowerShell-Connector
Mit dem PowerShell-Connector können Sie den Synchronisierungsdienst in externe Systeme integrieren, die Windows PowerShell-basierte APIs bieten. Der Connector stellt eine Brücke zwischen den Möglichkeiten des "call-basierten, erweiterbaren Connectivity Management Agent 2" (ECMA2)-Frameworks und Windows PowerShell her. Weitere Informationen zum ECMA-Framework finden Sie in der Extensible Connectivity 2.2 Management Agent Reference.
Voraussetzungen
Bevor Sie den Connector verwenden, stellen Sie sicher, dass Auf dem Synchronisierungsserver Folgendes vorhanden ist:
- Microsoft .NET 4.6.2 Framework oder höher
- Windows PowerShell 2.0, 3.0 oder 4.0
Die Ausführungsrichtlinie auf dem Synchronisierungsdienstserver muss so konfiguriert sein, dass der Connector Windows PowerShell-Skripts ausführen kann. Falls die vom Connector ausgeführten Skripts nicht digital signiert sind, konfigurieren Sie die Ausführungsrichtlinie durch Ausführen des folgenden Befehls:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Für die Bereitstellung dieses Connectors ist mindestens ein PowerShell-Skript erforderlich. Einige Microsoft-Produkte stellen möglicherweise Skripts für die Verwendung mit diesem Connector bereit. Den Supporthinweis für diese Skripts finden Sie im jeweiligen Produkt. Wenn Sie Ihre eigenen Skripts für die Verwendung mit diesem Connector entwickeln, müssen Sie sich mit der Extensible Connectivity Management Agent API vertraut machen, um diese Skripts zu entwickeln und zu pflegen. Wenn Sie ihre eigenen Skripts in eine Produktionsumgebung mit Drittanbietersystemen integrieren, empfehlen wir Ihnen die Zusammenarbeit mit dem Drittanbieter oder einem Bereitstellungspartner, um Hilfe, Anleitungen und Unterstützung für diese Integration zu erhalten.
Erstellen eines neuen Connectors
Um einen Windows PowerShell-Connector im Synchronisierungsdienst zu erstellen, müssen Sie eine Reihe von Windows PowerShell-Skripts bereitstellen, die die vom Synchronisierungsdienst angeforderten Schritte ausführen. Je nach der Datenquelle, mit der Sie eine Verbindung herstellen, und der erforderlichen Funktionalität variieren die Skripts, die Sie implementieren müssen. In diesem Abschnitt werden die einzelnen Skripts beschrieben, die implementiert werden können und wann sie erforderlich sind.
Der Windows PowerShell-Connector dient zum Speichern der einzelnen Skripts in der Synchronisierungsdienstdatenbank. Es ist zwar möglich, Skripts auszuführen, die im Dateisystem gespeichert sind, aber es ist einfacher, den Textkörper jedes Skripts direkt in die Konfiguration des Connectors einzufügen.
Wählen Sie zum Erstellen eines PowerShell-Connectors im Synchronisierungsdienst die Option Verwaltungs-Agent und anschließend Erstellen aus. Wählen Sie den PowerShell (Microsoft) Connector aus.
Konnektivität
Bereitstellen von Konfigurationsparametern für die Verbindung mit einem Remotesystem. Diese Werte werden vom Synchronisierungsdienst sicher gespeichert und ihren Windows PowerShell-Skripts zur Verfügung gestellt, wenn der Connector ausgeführt wird.
Sie können die folgenden Verbindungsparameter konfigurieren:
Konnektivität
| Parameter | Standardwert | Zweck |
|---|---|---|
| Server | <Blank> | Der Name des Servers, mit dem der Connector eine Verbindung herstellen soll. |
| Domäne | <Blank> | Die Domäne der zu speichernden Anmeldeinformationen, die beim Ausführen des Connectors verwendet werden sollen. |
| Benutzer | <Blank> | Der Benutzername der zu speichernden Anmeldeinformationen, die beim Ausführen des Connectors verwendet werden sollen. |
| Passwort | <Blank> | Das Kennwort der zu speichernden Anmeldeinformationen, die beim Ausführen des Connectors verwendet werden sollen. |
| Identität des Connector-Kontos annehmen | Falsch | Bei Verwendung von „True“ führt der Synchronisierungsdienst die Windows PowerShell-Skripts im Kontext der angegebenen Anmeldeinformationen aus. Es wird empfohlen, anstelle des Identitätswechsels den an die einzelnen Skripts übergebenen $Credentials -Parameter zu verwenden. Weitere Informationen zu zusätzlichen Berechtigungen, die für die Verwendung dieser Option erforderlich sind, finden Sie unter Zusätzliche Konfiguration für Identitätswechsel. |
| Beim Identitätswechsel Benutzerprofil laden | Falsch | Weist Windows an, beim Identitätswechsel das Benutzerprofil der Anmeldeinformationen des Connectors zu laden. Wenn der imitierte Benutzer über ein Roamingprofil verfügt, wird das Roamingprofil vom Connector nicht geladen. Weitere Informationen zu zusätzlichen Berechtigungen, die für die Verwendung dieses Parameters erforderlich sind, finden Sie unter Zusätzliche Konfiguration für Identitätswechsel. |
| Anmeldetyp beim Identitätswechsel | Nichts | Der Anmeldetyp beim Identitätswechsel. Weitere Informationen finden Sie in der Dokumentation zu dwLogonType. |
| Nur digital signierte Skripts | Falsch | Bei Verwendung von „True“ überprüft der Windows PowerShell-Connector, ob jedes Skript über eine gültige digitale Signatur verfügt. Falls falsch, stellen Sie sicher, dass die Ausführungsrichtlinie der Windows PowerShell des Synchronisierungsdienst-Servers auf „RemoteSigned“ oder „Unrestricted“ gesetzt ist. |
Allgemeines Modul
Mithilfe des Connectors kann der Administrator ein gemeinsam genutztes Windows PowerShell-Modul in der Konfiguration speichern. Wenn der Connector ein Skript ausführt, wird das Windows PowerShell-Modul in das Dateisystem extrahiert, damit es von jedem Skript importiert werden kann.
Für Import-, Export- und Kennwortsynchronisierungsskripts wird das allgemeine Modul in den MAData-Ordner des Connectors extrahiert. Für Schema-, Validierungs-, Hierarchie- und Partitionsermittlungsskripts wird das allgemeine Modul in den ordner %TEMP% extrahiert. In beiden Fällen wird das extrahierte Common Module-Skript gemäß der Einstellung "Common Module Script Name" benannt.
Um ein Modul namens FIMPowerShellConnectorModule.psm1 aus dem MAData-Ordner zu laden, verwenden Sie die folgende Anweisung: Import-Module (Join-Path -Path [Microsoft.MetadirectoryServices.MAUtils]::MAFolder -ChildPath "FIMPowerShellConnectorModule.psm1")
Um ein Modul namens FIMPowerShellConnectorModule.psm1 aus dem ordner %TEMP% zu laden, verwenden Sie die folgende Anweisung: Import-Module (Join-Path -Path $env:TEMP -ChildPath "FIMPowerShellConnectorModule.psm1")
Parameterüberprüfung
Das Überprüfungsskript ist ein optionales Windows PowerShell-Skript, mit dem die Gültigkeit der vom Administrator angegebenen Connector-Konfigurationsparameter sichergestellt werden kann. Die Überprüfung von Server-, Verbindungsanmeldeinformationen und Verbindungsparametern sind häufige Verwendungen des Überprüfungsskripts. Das Überprüfungsskript wird aufgerufen, nachdem die folgenden Registerkarten und Dialogfelder geändert wurden:
- Konnektivität
- Globale Parameter
- Partitionskonfiguration
Das Überprüfungsskript empfängt die folgenden Parameter vom Connector:
| Name | Datentyp | BESCHREIBUNG |
|---|---|---|
| Konfigurationsparameterseite | ConfigParameterPage | Die Konfigurationsregisterkarte oder das Konfigurationsdialogfeld, von der bzw. dem die Überprüfungsanforderung ausgelöst wurde. |
| Konfigurationsparameter | KeyedCollection [Zeichenfolge, ConfigParameter] | Tabelle mit Konfigurationsparametern für den Connector. |
| Berechtigung | PSCredential- | Enthält alle Anmeldeinformationen, die vom Administrator auf der Registerkarte "Konnektivität" eingegeben wurden. |
Das Überprüfungsskript sollte ein einzelnes ParameterValidationResult-Objekt an die Pipeline zurückgeben.
Schemaermittlung
Das Schema Discovery-Skript ist obligatorisch. Dieses Skript gibt die Objekttypen, Attribute und Attributeinschränkungen zurück, die der Synchronisierungsdienst beim Konfigurieren von Attributflussregeln verwendet. Das SchemaErmittlungsskript wird während der Erstellung des Connectors ausgeführt und füllt das Schema des Connectors auf. Sie wird auch von der Aktualisierungsschema-Aktion im Synchronisierungsdienst-Manager verwendet.
Das Schemaermittlungsskript empfängt die folgenden Parameter vom Connector:
| Name | Datentyp | BESCHREIBUNG |
|---|---|---|
| Konfigurationsparameter | KeyedCollection [Zeichenfolge, ConfigParameter] | Tabelle mit Konfigurationsparametern für den Connector. |
| Berechtigung | PSCredential- | Enthält alle Anmeldeinformationen, die vom Administrator auf der Registerkarte "Konnektivität" eingegeben wurden. |
Das Skript muss ein einzelnes Schema--Objekt an die Pipeline zurückgeben. Das Schema-Objekt besteht aus SchemaType--Objekten, die Objekttypen darstellen (z. B. Benutzer und Gruppen). Das SchemaType -Objekt enthält eine Auflistung von SchemaAttribute- -Objekten, die die Attribute (z. B. Vorname, Nachname und Postadresse) des Typs darstellen.
Weitere Parameter
Neben den Standardkonfigurationseinstellungen können Sie auch benutzerdefinierte Konfigurationseinstellungen definieren, die speziell für die betreffende Connectorinstanz gelten. Diese Parameter können auf Connector-, Partitions- oder Ausführungsschrittebene angegeben werden und stehen über die entsprechenden Windows PowerShell-Skripts zur Verfügung. Benutzerdefinierte Konfigurationseinstellungen können in der Datenbank des Synchronisierungsdiensts im Nur-Text-Format gespeichert oder verschlüsselt werden. Der Synchronisierungsdienst verschlüsselt und entschlüsselt bei Bedarf automatisch sichere Konfigurationseinstellungen.
Um benutzerdefinierte Konfigurationseinstellungen anzugeben, trennen Sie den Namen der einzelnen Parameter durch ein Komma ( , ).
Um auf benutzerdefinierte Konfigurationseinstellungen aus einem Skript zuzugreifen, müssen Sie den Namen mit einem Unterstrich ( _ ) und dem Bereich des Parameters (Global, Partition oder RunStep) suffixieren. Um beispielsweise auf den Parameter "Global FileName" zuzugreifen, verwenden Sie diesen Codeausschnitt: $ConfigurationParameters["FileName_Global"].Value
Fähigkeiten
Auf der Registerkarte "Funktionen" des Verwaltungs-Agent-Designers wird das Verhalten und die Funktionalität des Connectors definiert. Die auf dieser Registerkarte vorgenommenen Auswahlen können nicht geändert werden, wenn der Verbinder erstellt wurde. In dieser Tabelle sind die Funktionseinstellungen aufgeführt.
| Fähigkeit | BESCHREIBUNG |
|---|---|
| Distinguished Name Style | Gibt an, ob der Connector Distinguished Names unterstützt, und wenn ja, in welchem Format. |
| Exporttyp | Bestimmt den Typ von Objekten, die dem Exportskript präsentiert werden. |
| Datennormalisierung | Weist den Synchronisierungsdienst an, Ankerattribute vor der Bereitstellung für Skripts zu normalisieren. |
| Objektbestätigung | Dient zum Konfigurieren des Verhaltens in Verbindung mit ausstehenden Importen des Synchronisierungsdiensts. |
| DN als Anker verwenden | Wenn der Distinguished Name-Stil auf LDAP festgelegt ist, ist das Ankerattribut für den Verbindungsraum ebenfalls der Distinguished Name. |
| Paralleler Betrieb mehrerer Verbindungen | Ist diese Option aktiviert, können mehrere Windows PowerShell-Connectors gleichzeitig ausgeführt werden. |
| Partitionen | Ist diese Option aktiviert, unterstützt der Connector mehrere Partitionen und die Partitionsermittlung. |
| Hierarchie | Ist diese Option aktiviert, unterstützt der Connector eine hierarchische Struktur im LDAP-Stil. |
| Import aktivieren | Ist diese Option aktiviert, importiert der Connector Daten über Importskripts. |
| Deltaimport aktivieren | Ist diese Option aktiviert, kann der Connector Deltas aus den Importskripts anfordern. |
| Export aktivieren | Ist diese Option aktiviert, exportiert der Connector Daten über Exportskripts. |
| Vollständigen Export aktivieren | Wenn diese Option aktiviert ist, unterstützen die Exportskripts das Exportieren des gesamten Verbinderbereichs. Um diese Option zu verwenden, muss auch "Export aktivieren" aktiviert sein. |
| Keine Referenzwerte im ersten Exportdurchlauf | Ist diese Option aktiviert, werden Referenzattribute in einem zweiten Exportdurchlauf exportiert. |
| Objektumbenennung aktivieren | Ist diese Option aktiviert, können Distinguished Names geändert werden. |
| Löschen/Hinzufügen als Ersetzung | Wenn diese Option aktiviert ist, werden Löschen-Hinzufügen-Vorgänge als ein einziger Ersetzungsvorgang exportiert. |
| Aktivieren von Kennwortvorgängen | Wenn diese Option aktiviert ist, werden Kennwortsynchronisierungsskripts unterstützt. |
| Kennwortexport im ersten Durchlauf aktivieren | Ist diese Option aktiviert, werden während der Bereitstellung festgelegte Kennwörter bei der Objekterstellung exportiert. |
Globale Parameter
Auf der Registerkarte "Globale Parameter" im Verwaltungs-Agent-Designer können Sie die Windows PowerShell-Skripts konfigurieren, die vom Connector ausgeführt werden. Sie können auch globale Werte für benutzerdefinierte Konfigurationseinstellungen konfigurieren, die auf der Registerkarte "Konnektivität" definiert sind.
Partitionsermittlung
Eine Partition ist ein separater Namespace innerhalb eines freigegebenen Schemas. So ist in Active Directory beispielsweise jede Domäne eine Partition innerhalb einer Gesamtstruktur. Eine Partition ist die logische Gruppierung für Import- und Exportvorgänge. Import und Export verfügen über Partitionen als Kontext, und alle Vorgänge werden in diesem Kontext durchgeführt. Partitionen sollen eine Hierarchie in LDAP darstellen. Der unterscheidende Name einer Partition wird beim Import verwendet, um zu überprüfen, dass alle zurückgegebenen Objekte innerhalb des Geltungsbereichs einer Partition liegen. Der Distinguished Name der Partition wird auch bei Metaverse-basierten Bereitstellungen für den Connectorbereich verwendet, um zu bestimmen, welcher Partition ein Objekt beim Exportieren zugeordnet werden soll.
Das Partitionsermittlungsskript empfängt die folgenden Parameter vom Connector:
| Name | Datentyp | BESCHREIBUNG |
|---|---|---|
| Konfigurationsparameter | KeyedCollection[Zeichenfolge, ConfigParameter] | Tabelle mit Konfigurationsparametern für den Connector. |
| Berechtigung | PSCredential- | Enthält alle Anmeldeinformationen, die vom Administrator auf der Registerkarte "Konnektivität" eingegeben wurden. |
Das Skript muss ein einzelnes Partition-Objekt oder eine List[T] von Partitionsobjekten an die Pipeline zurückgeben.
Entdeckung der Hierarchie
Das Hierarchieermittlungsskript wird nur verwendet, wenn die Funktion "Distinguished Name Style" LDAP ist. Das Skript wird verwendet, um es Ihnen zu ermöglichen, einen Satz von Containern zu durchsuchen und auszuwählen, die in oder außerhalb des Gültigkeitsbereichs für Import- und Exportvorgänge berücksichtigt werden. Das Skript darf nur eine Liste mit Knoten bereitstellen, bei denen es sich um direkt untergeordnete Elemente des für das Skript angegebenen Stammknotens handelt.
Das Hierarchieermittlungsskript empfängt die folgenden Parameter vom Connector:
| Name | Datentyp | BESCHREIBUNG |
|---|---|---|
| Konfigurationsparameter | KeyedCollection[Zeichenfolge, ConfigParameter] | Tabelle mit Konfigurationsparametern für den Connector. |
| Berechtigung | PSCredential- | Enthält alle Anmeldeinformationen, die vom Administrator auf der Registerkarte "Konnektivität" eingegeben wurden. |
| ParentNode | HierarchyNode | Der Stammknoten der Hierarchie, unter dem das Skript direkt untergeordnete Elemente zurückgeben soll. |
Das Skript muss ein einzelnes untergeordnetes HierarchyNode-Objekt oder ein List[T] von untergeordneten HierarchyNode-Objekten an die Pipeline zurückgeben.
Importieren
Connectors, die Importvorgänge unterstützen, müssen drei Skripts implementieren.
Import starten
Das Startimportskript wird am Anfang eines Importausführungsschritts ausgeführt. In diesem Schritt können Sie eine Verbindung mit dem Quellsystem herstellen und vorbereitende Schritte ausführen, bevor Sie Daten aus dem verbundenen System importieren.
Das Startimportskript empfängt die folgenden Parameter vom Connector:
| Name | Datentyp | BESCHREIBUNG |
|---|---|---|
| Konfigurationsparameter | KeyedCollection[Zeichenfolge, ConfigParameter] | Tabelle mit Konfigurationsparametern für den Connector. |
| Berechtigung | PSCredential- | Enthält alle Anmeldeinformationen, die vom Administrator auf der Registerkarte "Konnektivität" eingegeben wurden. |
| OpenImportConnectionRunStep | OpenImportConnectionRunStep | Informiert das Skript über den Typ der Importausführung (Delta oder vollständig), Partition, Hierarchie, Wasserzeichen und erwartete Seitengröße. |
| Typen | Schema | Schema für den importierten Verbinderbereich. |
Das Skript muss ein einzelnes OpenImportConnectionResults--Objekt an die Pipeline zurückgeben, z. B.: Write-Output (New-Object Microsoft.MetadirectoryServices.OpenImportConnectionResults)
Daten importieren
Das Importdatenskript wird vom Connector aufgerufen, bis das Skript angibt, dass keine weiteren Zu importierenden Daten vorhanden sind. Der Windows PowerShell-Connector hat eine Seitengröße von 9.999 Objekten. Wenn Ihr Skript mehr als 9.999 Objekte für den Import zurückgibt, müssen Sie paging unterstützen. Der Connector macht eine benutzerdefinierte Dateneigenschaft verfügbar, die Sie zum Speichern eines Wasserzeichens verwenden können, damit jedes Mal, wenn das Importdatenskript aufgerufen wird, das Importieren von Objekten an der Stelle fortgesetzt wird, an der sie unterbrochen wurde.
Das Importdatenskript empfängt die folgenden Parameter vom Connector:
| Name | Datentyp | BESCHREIBUNG |
|---|---|---|
| Konfigurationsparameter | KeyedCollection[Zeichenfolge, ConfigParameter] | Tabelle mit Konfigurationsparametern für den Connector. |
| Berechtigung | PSCredential- | Enthält alle Anmeldeinformationen, die vom Administrator auf der Registerkarte "Konnektivität" eingegeben wurden. |
| GetImportEntriesRunStep | ImportRunStep | Enthält das Wasserzeichen (CustomData), das bei ausgelagerten Importvorgängen und bei Deltaimportvorgängen verwendet werden kann. |
| OpenImportConnectionRunStep | OpenImportConnectionRunStep | Informiert das Skript über den Typ der Importausführung (Delta oder vollständig), Partition, Hierarchie, Wasserzeichen und erwartete Seitengröße. |
| Typen | Schema | Schema für den importierten Verbinderbereich. |
Das Importdatenskript muss ein List[CSEntryChange] -Objekt in die Pipeline schreiben. Diese Auflistung besteht aus CSEntryChange-Attributen, die jedes zu importierende Objekt darstellen. Bei einer vollständigen Importausführung sollte diese Auflistung über einen vollständigen Satz von CSEntryChange-Objekten verfügen, die alle Attribute für jedes Objekt aufweisen. Während eines Delta-Imports sollte das CSEntryChange-Objekt entweder die Deltas auf Attributebene für jedes zu importierende Objekt oder eine vollständige Darstellung der Objekte enthalten, die sich geändert haben (Ersetzungsmodus).
Import beenden
Am Ende der Importausführung wird das Skript "End Import" ausgeführt. Dieses Skript sollte alle erforderlichen Bereinigungsaufgaben ausführen (z. B. Schließen von Verbindungen zu Systemen und Reagieren auf Fehler).
Das Endimportskript empfängt die folgenden Parameter vom Connector:
| Name | Datentyp | BESCHREIBUNG |
|---|---|---|
| Konfigurationsparameter | KeyedCollection[Zeichenfolge, ConfigParameter] | Tabelle mit Konfigurationsparametern für den Connector. |
| Berechtigung | PSCredential- | Enthält alle Anmeldeinformationen, die vom Administrator auf der Registerkarte "Konnektivität" eingegeben wurden. |
| OpenImportConnectionRunStep | OpenImportConnectionRunStep | Informiert das Skript über den Typ der Importausführung (Delta oder vollständig), Partition, Hierarchie, Wasserzeichen und erwartete Seitengröße. |
| CloseImportConnectionRunStep | CloseImportConnectionRunStep | Informiert das Skript über den Grund, warum der Import beendet wurde. |
Das Skript muss ein einzelnes CloseImportConnectionResults-objekt an die Pipeline zurückgeben, z. B.: Write-Output (New-Object Microsoft.MetadirectoryServices.CloseImportConnectionResults)
Exportieren
Ähnlich der Importarchitektur des Connectors müssen Connectoren, die den Export unterstützen, drei Skripte implementieren.
mit dem Export beginnen
Das Startexportskript wird am Anfang eines Exportausführungsschritts ausgeführt. Während dieses Schritts können Sie eine Verbindung mit dem Quellsystem herstellen und alle vorbereitenden Schritte durchführen, bevor Sie Daten in das verbundene System exportieren.
Das Startexportskript empfängt die folgenden Parameter vom Connector:
| Name | Datentyp | BESCHREIBUNG |
|---|---|---|
| Konfigurationsparameter | KeyedCollection[Zeichenfolge, ConfigParameter] | Tabelle mit Konfigurationsparametern für den Connector. |
| Berechtigung | PSCredential- | Enthält alle Anmeldeinformationen, die vom Administrator auf der Registerkarte "Konnektivität" eingegeben wurden. |
| OpenExportConnectionRunStep | OpenExportConnectionRunStep | Informiert das Skript über den Typ des Exportlaufs (Delta oder vollständig), Partition, Hierarchie und erwartete Seitengröße. |
| Typen | Schema | Schema für den exportierten Verbinderbereich. |
Das Skript sollte keine Ausgabe an die Pipeline zurückgeben.
Daten exportieren
Der Synchronisierungsdienst ruft das Exportdatenskript so oft auf, wie zum Verarbeiten aller ausstehenden Exporte erforderlich ist. Wenn die Anzahl der ausstehenden Exporte im Connectorbereich die Seitengröße des Connectors übersteigt, wird das Skript „Daten exportieren“ unter Umständen mehrmals aufgerufen (ggf. auch für das gleiche Objekt).
Das Exportdatenskript empfängt die folgenden Parameter vom Connector:
| Name | Datentyp | BESCHREIBUNG |
|---|---|---|
| Konfigurationsparameter | KeyedCollection[Zeichenfolge, ConfigParameter] | Tabelle mit Konfigurationsparametern für den Connector. |
| Berechtigung | PSCredential- | Enthält alle Anmeldeinformationen, die vom Administrator auf der Registerkarte "Konnektivität" eingegeben wurden. |
| CSEntries | IListCSEntryChange | Liste aller Verbinderraumobjekte mit ausstehenden Exporten, die während dieses Durchlaufs verarbeitet werden sollen. |
| OpenExportConnectionRunStep | OpenExportConnectionRunStep | Informiert das Skript über den Typ des Exportlaufs (Delta oder vollständig), Partition, Hierarchie und erwartete Seitengröße. |
| Typen | Schema | Schema für den exportierten Verbinderbereich. |
Das Exportdatenskript muss ein PutExportEntriesResults--Objekt an die Pipeline zurückgeben. Dieses Objekt muss keine Ergebnisinformationen für jeden exportierten Connector enthalten, es sei denn, es tritt ein Fehler oder eine Änderung am Anchor-Attribut auf. Um beispielsweise ein PutExportEntriesResults-Objekt an die Pipeline zurückzugeben: Write-Output (New-Object Microsoft.MetadirectoryServices.PutExportEntriesResults)
Export beenden
Am Ende des Exportlaufs wird das End Export-Skript ausgeführt. Dieses Skript sollte alle erforderlichen Bereinigungsaufgaben ausführen (z. B. Schließen von Verbindungen zu Systemen und Reagieren auf Fehler).
Das Endexportskript empfängt die folgenden Parameter vom Connector:
| Name | Datentyp | BESCHREIBUNG |
|---|---|---|
| Konfigurationsparameter | KeyedCollection[Zeichenfolge, ConfigParameter] | Tabelle mit Konfigurationsparametern für den Connector. |
| Berechtigung | PSCredential- | Enthält alle Anmeldeinformationen, die vom Administrator auf der Registerkarte "Konnektivität" eingegeben wurden. |
| OpenExportConnectionRunStep | OpenExportConnectionRunStep | Informiert das Skript über den Typ des Exportlaufs (Delta oder vollständig), Partition, Hierarchie und erwartete Seitengröße. |
| CloseExportConnectionRunStep | CloseExportConnectionRunStep | Informiert das Skript über den Grund, warum der Export beendet wurde. |
Das Skript sollte keine Ausgabe an die Pipeline zurückgeben.
Kennwortsynchronisierung
Windows PowerShell-Connectors können als Ziel für Kennwortänderungen/-zurücksetzungen verwendet werden.
Das Kennwortskript empfängt die folgenden Parameter vom Connector:
| Name | Datentyp | BESCHREIBUNG |
|---|---|---|
| Konfigurationsparameter | KeyedCollection[Zeichenfolge, ConfigParameter] | Tabelle mit Konfigurationsparametern für den Connector. |
| Berechtigung | PSCredential- | Enthält alle Anmeldeinformationen, die vom Administrator auf der Registerkarte "Konnektivität" eingegeben wurden. |
| Partition | Partition | Verzeichnispartition, in der sich der CSEntry befindet. |
| CSEntry | CSEntry | Der Connectorbereichseintrag für das Objekt, für das eine Kennwortänderung oder -zurücksetzung vorliegt. |
| Operationstyp | Schnur | Gibt an, ob der Vorgang ein Zurücksetzen (SetPassword-) oder eine Änderung (ChangePassword) ist. |
| Passwortoptionen | Passwortoptionen | Flags zum Angeben des gewünschten Verhaltens bei der Kennwortzurücksetzung. Dieser Parameter ist nur verfügbar, wenn OperationType SetPassword-ist. |
| AltesPasswort | Schnur | Aufgefüllt mit dem alten Kennwort des Objekts für Kennwortänderungen. Dieser Parameter ist nur verfügbar, wenn OperationType ChangePassword-ist. |
| Neues Passwort | Schnur | Aufgefüllt mit dem neuen Kennwort des Objekts, das das Skript festlegen soll. |
Es wird nicht erwartet, dass das Kennwortskript Ergebnisse an die Windows PowerShell-Pipeline zurückgibt. Wenn im Kennwortskript ein Fehler auftritt, sollte das Skript eine der folgenden Ausnahmen auslösen, um den Synchronisierungsdienst über das Problem zu informieren:
- PasswordPolicyViolationException – Wird ausgelöst, wenn das Kennwort nicht der Kennwortrichtlinie im verbundenen System entspricht.
- PasswordIllFormedException – Wird ausgelöst, wenn das Kennwort für das verbundene System nicht akzeptabel ist.
- PasswordExtension – Wird für alle anderen Fehler im Kennwortskript ausgelöst.
Beispielanschlüsse
Eine vollständige Übersicht über die verfügbaren Beispiele für Verbinder finden Sie unter Windows PowerShell Connector Beispielverbinder-Sammlung.
Weitere Anmerkungen
Zusätzliche Konfiguration für den Identitätswechsel
Erteilen Sie dem Benutzer, der nachgeahmt wird, die folgenden Berechtigungen auf dem Server des Synchronisierungsdienstes.
Lesezugriff auf die folgenden Registrierungsschlüssel:
- HKEY_USERS\[SynchronizationServiceServiceAccountSID]\Software\Microsoft\PowerShell
- HKEY_USERS\[SynchronizationServiceServiceAccountSID]\Environment
Um den Sicherheitsbezeichner (SID) des Synchronisierungsdienstkontos zu ermitteln, führen Sie die folgenden PowerShell-Befehle aus:
$account = New-Object System.Security.Principal.NTAccount "<domain>\<username>"
$account.Translate([System.Security.Principal.SecurityIdentifier]).Value
Lesezugriff auf die folgenden Dateisystemordner:
- %ProgramFiles%\Microsoft Forefront Identity Manager\2010\Synchronization Service\Extensions
- %ProgramFiles%\Microsoft Forefront Identity Manager\2010\Synchronization Service\ExtensionsCache
- %ProgramFiles%\Microsoft Forefront Identity Manager\2010\Synchronization Service\MaData\{ConnectorName}
Ersetzen Sie den Namen des Windows PowerShell-Connectors für den Platzhalter "{ConnectorName}".
Problembehandlung
- Informationen zum Aktivieren der Protokollierung für die Behandlung von Connectorproblemen finden Sie unter Vorgehensweise: Aktivieren der ETW-Ablaufverfolgung für Connectors.