Freigeben über

Importieren von Daten aus Active Directory Domain Services

  • Artikel

Die Service Manager-Datenbank in Service Manager enthält Informationen zu Ihrem Unternehmen und wird von allen Teilen Ihrer Dienstverwaltungsstruktur verwendet. Sie können einen Active Directory Connector verwenden, um Benutzende, Gruppen, Drucker und Computer (und nur diese Objekttypen) als Konfigurationselemente in die Service Manager-Datenbank hinzuzufügen.

Hinweis

Wenn derselbe Benutzername in zwei verschiedenen Organisationseinheiten (OEs) in der Active Directory-Domäne vorhanden ist, kann Service Manager beide Benutzerkonten nicht importieren, und ein Ereignis wird im Anwendungsprotokoll von System Center Operations Manager protokolliert.

Darüber hinaus können Sie beim Konfigurieren eines Active Directory-Connectors zum Importieren von Daten aus einer Active Directory-Gruppe eine Option auswählen, mit der Benutzende automatisch aus der Active Directory-Gruppe hinzugefügt werden. Wenn sie ausgewählt werden, werden alle Benutzenden, die der Active Directory-Gruppe hinzugefügt werden, automatisch zur Service Manager-Datenbank hinzugefügt. Wenn diese Benutzenden aus der Active Directory-Gruppe entfernt werden, bleiben sie in der Service Manager-Datenbank, befinden sich jedoch in der Gruppe „Gelöschte Objekte“.

Wenn Sie einen Active Directory-Connector erstellt haben, können ausgewählte Objekte im Connector nicht aktualisiert werden. Stattdessen erstellen Sie Sicherheitsgruppen in Active Directory, die den Benutzerrollen in Service Manager zugeordnet sind. Sie können beispielsweise eine Sicherheitsgruppe in Active Directory Domain Services (AD DS) mit dem Namen „Incident Resolvers“ erstellen. In Service Manager können Sie diese Sicherheitsgruppe der Benutzerrolle „Incident Resolvers“ zuweisen. Wenn Sie den Active Directory-Connector erstellen und die Option Benutzende von AD-Gruppen, die von diesem Connector importiert werden, automatisch hinzufügen auswählen, werden einem Benutzenden, der Mitglied der Sicherheitsgruppe „Incident Resolver“ ist, beim Start der Service Manager-Konsole Incident Resolver-Rechte und -Berechtigungen gewährt.

Wenn Sie Daten aus mehreren OEs oder Unterdomänen importieren, haben Sie die Möglichkeit, eine LDAP-Abfrage (Lightweight Directory Access Protocol) zu erstellen, die Computer, Drucker, Benutzende oder Benutzergruppen angibt, die mit dem Connector importiert werden sollen. Ein LDAP-Filter für alle Objekte, die sich entweder in Dallas oder in Austin befinden und den Vornamen „John“ haben, sieht beispielsweise wie folgt aus: (&(givenName=John) (|(l=Dallas) (l=Austin))). Sie können Ihre Abfragen testen. Alle Fehler müssen korrigiert werden, bevor Sie den Active Directory-Connector konfigurieren können. Weitere Informationen zu LDAP-Abfragen finden Sie unter Suchfilter-Syntax.

Wenn Sie später Wartungsvorgänge in der Service Manager-Datenbank ausführen müssen, können Sie den Connector vorübergehend deaktivieren und den Import von Daten anhalten. Später können Sie den Import von Daten fortsetzen, indem Sie den Connector erneut aktivieren.

Wenn Sie eine große Anzahl von Benutzenden aus AD DS oder aus Configuration Manager importieren, kann die CPU-Auslastung auf 100 Prozent steigen. Sie werden dies auf einem Kern der CPU bemerken. Wenn Sie beispielsweise 20.000 Benutzende importieren, bleibt die CPU-Auslastung möglicherweise bis zu einer Stunde hoch. Sie können dieses Problem beheben, indem Sie Connectors erstellen und die Benutzenden in Service Manager importieren, bevor Sie das Produkt in Ihrem Unternehmen bereitstellen, und indem Sie die Synchronisierung der Connectors außerhalb der Geschäftszeiten planen. Wenn Sie Service Manager auf einem Computer mit einem Mehrkern-Prozessor installieren, werden die Auswirkungen des Imports einer großen Anzahl von Benutzenden ebenfalls minimiert.

Erstellen eines Active Directory-Connectors.

Sie können die folgenden Verfahren in Service Manager verwenden, um den Status eines Active Directory-Connectors zu erstellen, zu überprüfen und zu bestätigen, um Objekte aus Active Directory Domain Services (AD DS) zu importieren.

Hinweis

Der Active Directory (AD)-Connector wurde improvisiert, um mit einem bestimmten Domänencontroller zu synchronisieren. Sie können den Domänencontroller in der LDAP-Abfrage des Active Directory-Connectors angeben.

Erstellen eines Active Directory-Connectors und Importieren von Objekten aus AD DS

  1. Wählen Sie in der Service Manager-Konsole Verwaltung.

  2. Erweitern Sie im Bereich Verwaltung Verwaltung und wählen Sie Connectors.

  3. Wählen Sie im Bereich Aufgaben unter Connectors die Option Connector erstellen und wählen Sie Active Directory Connector.

  4. Führen Sie die folgenden Schritte im Active Directory-Connector-Assistenten aus:

    1. Wählen Sie auf der Seite Vorbereitung die Option Weiter.

    2. Auf der Seite Allgemein geben Sie im Feld Name einen Namen für den neuen Connector ein. Vergewissern Sie sich, dass das Kontrollkästchen Diesen Connector aktivieren aktiviert ist, und wählen Sie Weiter.

    3. Auf der Seite Domäne oder Organisationseinheit wählen Sie Domäne verwenden: Domänenname. Oder wählen Sie Domäne oder OE auswählen, und wählen Sie dann Durchsuchen, um eine Domäne oder eine Organisationseinheit (OE) in Ihrer Umgebung auszuwählen.

    4. Im Bereich Zertifikate wählen Sie Neu.

    5. Geben Sie im Dialog Ausführendes Konto im Feld Anzeigename einen Namen für das ausführende Konto ein. In der Liste Konto wählen Sie Windows-Konto. Geben Sie die Anmeldedaten für ein Konto ein, das Leserechte für AD DS hat, und wählen Sie OK. Auf der Seite Domäne oder Organisationseinheit wählen Sie Verbindung testen.

      Hinweis

      Sonderzeichen (z.B. das kaufmännische „Und“ [&]) im Feld Benutzername werden nicht unterstützt.

    6. Vergewissern Sie sich im Dialog Verbindung testen, dass Die Verbindung zum Server war erfolgreich angezeigt wird, und wählen Sie OK. Auf der Seite Domäne oder Organisationseinheit wählen Sie Weiter.

    7. Gehen Sie auf der Seite Objekte auswählen wie folgt vor:

      1. Wählen Sie alle Computer, Drucker, Benutzenden und Benutzergruppen aus, um alle Elemente zu importieren, oder

      2. Wählen Sie Einzelne Computer, Drucker, Benutzenden oder Benutzergruppen auswählen, um nur die ausgewählten Elemente zu importieren oder,

      3. Wählen Sie LDAP-Abfragefilter für Computer, Drucker, Benutzende oder Benutzergruppen bereitstellen, wenn Sie Ihre eigene Lightweight Directory Access Protocol (LDAP)-Abfrage erstellen möchten.

      Wenn Sie möchten, dass neue Benutzende, die zu von Ihnen importierten Gruppen hinzugefügt werden, automatisch zu Service Manager hinzugefügt werden, wählen Sie Benutzende von AD-Gruppen, die von diesem Connector importiert wurden, automatisch hinzufügen aus, und klicken Sie auf Weiter.

    8. Legen Sie auf der Seite Zeitplan in der Liste Synchronisieren die Häufigkeit und den Zeitpunkt der Synchronisierung fest, und wählen Sie Weiter.

    9. Vergewissern Sie sich auf der Seite Zusammenfassung, dass die Einstellungen korrekt sind, und wählen Sie Erstellen.

    10. Vergewissern Sie sich auf der Seite Abschluss, dass Sie die folgende Bestätigungsmeldung erhalten:

      Der Active Directory-Connector wurde erfolgreich erstellt.

      Wählen Sie dann Schließen.

      Hinweis

      Je nach Umfang der zu importierenden Daten müssen Sie möglicherweise warten, bis der Import abgeschlossen ist.

Überprüfen der Erstellung eines Active Directory-Connectors

  1. Suchen Sie im Bereich Connectors den Active Directory-Connector, den Sie erstellt haben. Möglicherweise müssen Sie eine Minute warten, bis der Connector erscheint.

  2. Überprüfen Sie im Bereich Connectors die Spalte Status auf den Status Erfolgreich abgeschlossen.

  3. Erweitern Sie im Bereich Konfigurationselemente Konfigurationselemente. Erweitern Sie Computer und Alle Windows-Computer, und überprüfen Sie, ob die gewünschten Computer aus AD DS im Bereich Alle Windows-Computer erscheinen. Erweitern Sie Drucker, erweitern Sie Alle Drucker, und überprüfen Sie dann, ob die gewünschten Drucker aus AD DS im Bereich Alle Drucker angezeigt werden.

  4. Wählen Sie in der Service Manager-Konsole Konfigurationselemente. Wählen Sie im Bereich Konfigurationselemente die Option Benutzende, und überprüfen Sie dann, ob die gewünschten Benutzenden und Benutzergruppen aus AD DS im Bereich Benutzende angezeigt werden.

Bestätigen des Status eines Active Directory-Connectors

  • Zeigen Sie die Spalten im Bereich Konnektor an; die Spalten enthalten Informationen über die Startzeit, die Endzeit, den Status und den Prozentsatz der importierten Konfigurationselemente.

PowerShell-SymbolSie können mit einem Windows PowerShell-Befehl einen neuen Service Manager Active Directory Connector erstellen. Informationen über die Verwendung von Windows PowerShell zum Erstellen eines neuen Service Manager Active Directory-Connectors finden Sie unter New-SCADConnector.

Synchronisieren eines Active Directory-Connectors

Um sicherzustellen, dass die Service Manager-Datenbank auf dem neuesten Stand ist, synchronisiert der Active Directory-Connector jede Stunde nach der ersten Synchronisierung mit Active Directory Domain Services (AD DS). Sie können jedoch das folgende Verfahren verwenden, um den Connector manuell zu synchronisieren und zu überprüfen, ob er synchronisiert ist.

Manuelles Synchronisieren eines Active Directory-Connectors

  1. Wählen Sie in der Service Manager-Konsole Verwaltung.

  2. Erweitern Sie im Bereich Verwaltung Verwaltung und wählen Sie Connectors.

  3. Wählen Sie im Bereich Connectors den Active Directory-Connector aus, den Sie synchronisieren möchten.

  4. Wählen Sie im Bereich Aufgaben unter dem Namen des Konnektors die Option Jetzt synchronisieren aus.

    Hinweis

    Je nach Umfang der zu importierenden Daten müssen Sie möglicherweise warten, bis der Import abgeschlossen ist.

Überprüfen, ob ein Active Directory-Connector synchronisiert wurde

  1. Wählen Sie in der Service Manager-Konsole Konfigurationselemente.

  2. Erweitern Sie im Bereich Konfigurationselemente den Bereich Drucker, und wählen Sie Alle Drucker. Vergewissern Sie sich, dass alle neuen Drucker in AD DS im mittleren Bereich angezeigt werden.

  3. Erweitern Sie Computer, und wählen Sie Alle Windows-Computer. Stellen Sie sicher, dass alle neuen Computer in AD DS im mittleren Fenster angezeigt werden.

  4. Wählen Sie in der Service Manager-Konsole Konfigurationselemente.

  5. Wählen Sie im Bereich Konfigurationselemente die Option Benutzende. Überprüfen Sie, ob alle neuen Benutzenden und Gruppen in AD DS im mittleren Bereich angezeigt werden.

Deaktivieren und Aktivieren eines Active Directory-Connectors

Sie können das folgende Verfahren verwenden, um einen Active Directory-Connector in Service Manager zu deaktivieren oder zu aktivieren und seine Statusänderung zu validieren.

Deaktivieren eines Active Directory-Connectors

  1. Wählen Sie in der Service Manager-Konsole Verwaltung.

  2. Erweitern Sie im Bereich Verwaltung Verwaltung und wählen Sie Connectors.

  3. Wählen Sie im Bereich Connectors den Active Directory Connector, den Sie deaktivieren möchten.

  4. Wählen Sie im Bereich Aufgaben unter dem Namen des Konnektors die Option Deaktivieren aus.

  5. Wählen Sie im Dialogfeld Konnektor deaktivieren die Option OK aus.

Aktivieren eines Active Directory-Connectors

  1. Wählen Sie in der Service Manager-Konsole Verwaltung und wählen Sie Connectors.

  2. Wählen Sie im Bereich Connectors den Active Directory Connector, den Sie aktivieren möchten.

  3. Wählen Sie im Bereich Aufgaben unter dem Namen des Connectors Aktivieren.

  4. Wählen Sie im Dialog Connector aktivieren OK.

Überprüfen der Statusänderung eines Active Directory-Connectors

  1. Nachdem Sie einen Active Directory-Connector aktiviert oder deaktiviert haben, warten Sie etwa 30 Sekunden. Wählen Sie dann in der Service Manager-Konsole Verwaltung und wählen Sie Connectors.

  2. Suchen Sie im mittleren Bereich den Connector, für den Sie den Status geändert haben, und überprüfen Sie den Wert in der Spalte Aktiviert.

PowerShell-SymbolSie können Windows PowerShell-Befehle verwenden, um diese und andere damit zusammenhängende Aufgaben zu erledigen, wie folgt:

  • Weitere Informationen darüber, wie Sie Windows PowerShell zum Starten eines Service Manager-Connectors verwenden, finden Sie unter Start-SCSMConnector.

  • Weitere Informationen darüber, wie Sie Windows PowerShell verwenden, um in Service Manager definierte Connectors abzurufen und ihren Status anzuzeigen, finden Sie unter Get-SCSMConnector.

  • Weitere Informationen darüber, wie Sie mit Windows PowerShell die Eigenschaften eines Service Manager-Connectors aktualisieren können, finden Sie unter Update-SCSMConnector.

Importieren von Daten aus anderen Domänen

Sie können Daten aus anderen Domänen als der Domäne importieren, in der sich der Service Manager befindet. Nehmen wir beispielsweise an, dass Service Manager in Domäne A installiert ist (der vollqualifizierte Domänenname [FQDN] lautet a.woodgrove.com) und Sie Daten aus Domäne B importieren möchten (der FQDN lautet b.woodgrovetest.net). In diesem Szenario müssen Sie darüber nachdenken, wie Sie den Pfad der Datenquelle und das ausführende Konto angeben.

Identifizieren Sie in Domäne B entweder ein vorhandenes Dienstkonto oder erstellen Sie zu diesem Zweck ein neues Konto. Dieses Dienstkonto muss ein Domänenkonto sein und Lesezugriff auf Active Directory Domain Services haben.

Als Nächstes erstellen Sie in Service Manager einen neuen Active Directory-Connector im Active Directory-Connector-Assistenten. Folgen Sie diesen Schritten auf der Seite Domäne oder Organisationseinheit.

Bestimmen des Datenquellenpfads und des ausführenden Kontos

  1. Verwenden Sie die entsprechende Methode entsprechend dem Speicherort der Domänen:

    • Wenn sich die beiden Domänen in derselben Gesamtstruktur befinden, wählen Sie im Bereich Serverinformationen die Option Domäne oder OE auswählen und wählen Sie Durchsuchen, um die Domäne und die Organisationseinheit (OE) auszuwählen.

    • Wenn sich die beiden Domänen in verschiedenen Gesamtstrukturen befinden, wählen Sie im Bereich Serverinformationen die Option Domäne oder OE auswählen und geben Sie dann die Domäne und OE in das Feld ein. Geben Sie zum Beispiel LDAP://b.woodgrovetest.net/OE=OE-Name,DC=b,DC=woodgrovetest,DC=net ein.

  2. Im Bereich Zertifikate wählen Sie Neu.

  3. Geben Sie im Dialogfeld „Ausführen als“-Konto in den Feldern Benutzername, Passwort und Domäne die Anmeldeinformationen für das Dienstkonto der Domäne b.woodgrovetest.net ein.

    Hinweis

    Wenn sich die beiden Domänen in verschiedenen Gesamtstrukturen befinden, müssen Sie den Domänennamen in das Feld Benutzername eingeben. Geben Sie z. B. b.woodgrovetest.net\UserName ein.

Nächste Schritte