Поделиться через

Импорт данных из служб домен Active Directory

  • Статья

База данных Service Manager в Service Manager содержит сведения о вашем предприятии и используется всеми частями структуры управления службами. Соединитель Active Directory можно использовать для добавления пользователей, групп, принтеров и компьютеров (и только этих типов объектов) в качестве элементов конфигурации в базу данных Service Manager.

Примечание.

Если одно и то же имя пользователя существует в двух разных подразделениях (OUS) в домене Active Directory, Service Manager не может импортировать обе учетные записи пользователей, а событие регистрируется в журнале приложений System Center Operations Manager.

Кроме того, при настройке соединителя Active Directory для импорта данных из группы Active Directory можно установить флажок для автоматического добавления пользователей из группы Active Directory. Когда они выбраны, все пользователи, добавленные в группу Active Directory, будут автоматически добавлены в базу данных Service Manager. Если эти пользователи удалены из группы Active Directory, они останутся в базе данных Service Manager; однако они будут находиться в группе "Удаленные элементы".

При создании соединителя Active Directory не удается обновить объекты в соединителе. Вместо этого вы создаете группы безопасности в Active Directory, которые сопоставляют роли пользователей в Service Manager. Например, можно создать группу безопасности в службах домен Active Directory (AD DS) с именем "Разрешения инцидентов". В Service Manager можно назначить эту группу безопасности роли пользователя "Сопоставители инцидентов". При создании соединителя Active Directory и автоматическом добавлении пользователей групп AD, импортированных этим соединителем, когда пользователь, являющийся членом группы безопасности "Разрешения инцидентов", запускает консоль Service Manager, они будут предоставлены права и разрешения сопоставителя инцидентов.

Если вы импортируете данные из нескольких подразделений или поддоменов, вы можете создать запрос протокола LDAP, указывающий компьютеры, принтеры, пользователи или группы пользователей для импорта с соединителем. Например, фильтр LDAP для всех объектов, которые находятся в Далласе (Dallas) или Остине (Austin) и содержат имя Джон (John) будет следующим: (&(givenName=John) (|(l=Dallas) (l=Austin))). Запросы можно протестировать. Настраивать соединителя Active Directory можно будет после того, как будут исправлены все ошибки. Дополнительные сведения о запросах LDAP см. в разделе Search Filter Syntax (Синтаксис фильтра поиска).

Если позже необходимо выполнить операции обслуживания в базе данных Service Manager, можно временно отключить соединитель и приостановить импорт данных. Затем можно возобновить импорт данных, повторно включив соединитель.

При импорте большого количества пользователей из AD DS) или из Configuration Manager загрузка ЦП может увеличиться до 100 процентов. Вы заметите это на одном ядре ЦП. Например, если импортировать 20 000 пользователей, загрузка ЦП может оставаться высокой до часа. Эту проблему можно устранить, создав соединители и импортируя пользователей в Service Manager перед развертыванием продукта в организации и путем планирования синхронизации соединителей в нерабочее время. Установка Service Manager на компьютере с несколькими ядрами ЦП также сводит к минимуму влияние импорта большого количества пользователей.

Создание соединителя Active Directory

Для создания, проверки и подтверждения состояния соединителя Active Directory можно использовать следующие процедуры в Service Manager для импорта объектов из служб домен Active Directory (AD DS).

Примечание.

Соединитель Active Directory (AD) был импровизирован для синхронизации с определенным контроллером домена. Вы можете указать контроллер домена в запросе LDAP соединителя Active Directory.

Создание соединителя Active Directory и импорт объектов из AD DS

  1. В консоли Service Manager выберите "Администрирование".

  2. В области администрирования разверните узел администрирование и выберите "Соединители".

  3. В области "Задачи" в разделе "Соединители" выберите "Создать соединитель" и выберите "Соединитель Active Directory".

  4. Выполните в мастере создания соединителя Active Directory следующие действия.

    1. На странице "Перед началом работы" нажмите кнопку "Далее".

    2. На странице "Общие" в поле "Имя" введите имя нового соединителя. Убедитесь, что установлен флажок "Включить этот соединитель" и нажмите кнопку "Далее".

    3. На странице "Домен или подразделение" выберите "Использовать домен: доменное имя". Или нажмите кнопку "Разрешить мне выбрать домен или подразделение", а затем выберите "Обзор ", чтобы выбрать домен или подразделение в вашей среде.

    4. В области "Учетные данные" нажмите кнопку "Создать".

    5. В диалоговом окне "Учетная запись запуска от имени" введите имя учетной записи запуска от имени. В списке Учетная запись выберите пункт Учетная запись Windows. Введите учетные данные для учетной записи с правами на чтение из AD DS и нажмите кнопку "ОК". На странице "Домен или подразделение" выберите "Проверить подключение".

      Примечание.

      Специальные символы (например, амперсанд [&]) в поле имени пользователя не поддерживаются.

    6. В диалоговом окне "Тестовое подключение" убедитесь, что подключение к серверу выполнено успешно, и нажмите кнопку "ОК". На странице "Домен" или "Подразделение" нажмите кнопку "Далее".

    7. На странице Выбор объектоввыполните следующие действия.

      1. Выберите вариант все компьютеры, принтеры, группы пользователей и пользователи , если необходимо импортировать все элементы.

      2. Выберите вариант выбрать отдельные компьютеры, принтеры, группы пользователей или отдельных пользователей , если необходимо импортировать только выбранные элементы.

      3. Выберите вариант Укажите фильтры запросов LDAP для компьютеров, принтеров, пользователей и групп пользователей , если необходимо создать собственный запрос LDAP.

      Если вы хотите, чтобы новые пользователи, добавленные в все импортируемые группы, добавлялись автоматически в Service Manager, выберите автоматически добавить пользователей групп AD, импортированных этим соединителем, и нажмите кнопку "Далее".

    8. На странице "Расписание" в списке "Синхронизация" задайте частоту и время синхронизации и нажмите кнопку "Далее".

    9. На странице "Сводка" убедитесь, что параметры правильны и нажмите кнопку "Создать".

    10. На странице завершения убедитесь, что вы получите следующее сообщение подтверждения:

      Соединитель Active Directory успешно создан.

      Затем нажмите кнопку "Закрыть".

      Примечание.

      В зависимости от объема импортируемых данных может потребоваться дождаться завершения импорта.

Проверка создания соединителя Active Directory

  1. Найдите созданный соединитель Active Directory в области Соединители . На его отображение может уйти какое-то время.

  2. В области Соединители убедитесь, что в столбце Состояние указано значение Успешно завершено.

  3. В области Элементы конфигурации разверните узел Элементы конфигурации. Разверните узлы Компьютеры и Все компьютеры Windows, а затем убедитесь, что в области Все компьютеры Windows отображаются нужные компьютеры из доменных служб Active Directory. Разверните узлы Принтерыи Все принтеры, а затем убедитесь, что в области Все принтеры отображаются нужные принтеры из доменных служб Active Directory.

  4. В консоли Service Manager выберите "Элементы конфигурации". В области "Элементы конфигурации" выберите "Пользователи", а затем убедитесь, что предполагаемые пользователи и группы пользователей из AD DS отображаются на панели "Пользователи".

Подтверждение состояния соединителя Active Directory

  • Просмотрите столбцы в области Соединитель . Здесь имеются сведения о времени запуска, времени завершения, состоянии и процентной доле импортированных элементов конфигурации.

Символ PowerShellДля создания соединителя Active Directory Service Manager можно использовать команду Windows PowerShell. Сведения об использовании Windows PowerShell для создания нового соединителя Active Directory Service Manager см. в статье New-SCADConnector.

Синхронизация соединителя Active Directory

Чтобы обеспечить актуальность базы данных Service Manager, соединитель Active Directory синхронизируется с службами домен Active Directory (AD DS) каждый час после начальной синхронизации. Однако для синхронизации соединителя можно использовать следующую процедуру, чтобы вручную синхронизировать соединитель и убедиться, что она синхронизирована.

Синхронизация соединителя Active Directory вручную

  1. В консоли Service Manager выберите "Администрирование".

  2. В области администрирования разверните узел администрирование и выберите "Соединители".

  3. В области соединителей выберите соединитель Active Directory, который требуется синхронизировать.

  4. В области "Задачи" в имени соединителя выберите "Синхронизировать сейчас".

    Примечание.

    В зависимости от объема импортируемых данных может потребоваться дождаться завершения импорта.

Проверка синхронизации соединителя Active Directory

  1. В консоли Service Manager выберите "Элементы конфигурации".

  2. В области "Элементы конфигурации" разверните принтеры и выберите "Все принтеры". Убедитесь, что все новые принтеры в AD DS отображаются на средней панели.

  3. Разверните компьютеры и выберите "Все компьютеры Windows". Убедитесь, что все новые компьютеры в AD DS отображаются на средней панели.

  4. В консоли Service Manager выберите "Элементы конфигурации".

  5. В области "Элементы конфигурации" выберите "Пользователи". Убедитесь, что все новые пользователи и группы в AD DS отображаются на средней панели.

Отключение и включение соединителя Active Directory

Для отключения или включения соединителя Active Directory в Service Manager и проверки его состояния можно использовать следующую процедуру.

Отключение соединителя Active Directory

  1. В консоли Service Manager выберите "Администрирование".

  2. В области администрирования разверните узел администрирование и выберите "Соединители".

  3. В области соединителей выберите соединитель Active Directory, который требуется отключить.

  4. В области "Задачи" в имени соединителя нажмите кнопку "Отключить".

  5. В диалоговом окне "Отключить соединитель" нажмите кнопку "ОК".

Включение соединителя Active Directory

  1. В консоли Service Manager выберите "Администрирование" и выберите "Соединители".

  2. В области соединителей выберите соединитель Active Directory, который требуется включить.

  3. В области "Задачи" в имени соединителя нажмите кнопку "Включить".

  4. В диалоговом окне "Включить соединитель" нажмите кнопку "ОК".

Проверка изменения состояния соединителя Active Directory

  1. После включения или отключения соединителя Active Directory подождите около 30 секунд. Затем в консоли Service Manager выберите "Администрирование" и выберите "Соединители".

  2. На средней панели найдите соединитель, для которого вы изменили состояние, а затем проверьте значение в столбце "Включено ".

Символ PowerShellКоманды Windows PowerShell можно использовать для выполнения этих задач и других связанных задач, как показано ниже.

  • Сведения об использовании Windows PowerShell для запуска соединителя Service Manager см. в разделе Start-SCSMConnector.

  • Сведения об использовании Windows PowerShell для получения соединителей, определенных в Service Manager и просмотре их состояния, см. в статье Get-SCSMConnector.

  • Сведения об использовании Windows PowerShell для обновления свойств соединителя Service Manager см. в разделе Update-SCSMConnector.

Импорт данных из других доменов

Вы можете импортировать данные из доменов, отличных от домена, в котором находится Service Manager. Например, Service Manager устанавливается в доменЕ A (где полное доменное имя [полное доменное имя] a.woodgrove.com), и вы хотите импортировать данные из домена B (где полное доменное имя b.woodgrovetest.net). В этом сценарии нужно решить, как указать путь к источнику данных и учетную запись запуска от имени.

Для этого в домене Б определите существующую учетную запись службы или создайте новую. Эта учетная запись службы должна быть учетной записью домена и иметь разрешение на чтение из доменных служб Active Directory.

Затем в Service Manager создайте новый соединитель Active Directory в мастере соединителя Active Directory. На странице Домен или подразделение выполните следующие действия.

Укажите путь к источнику данных и учетную запись запуска от имени

  1. Используйте соответствующий метод в соответствии с расположением доменов:

    • Если два домена находятся в одном лесу, в области сведений о сервере выберите домен или подразделение, а затем выберите "Обзор ", чтобы выбрать домен и подразделение.

    • Если два домена находятся в разных лесах, в области сведений о сервере выберите домен или подразделение, а затем введите домен и подразделение в поле. Например, введите LDAP://b.woodgrovetest.net/OU=OU Name,DC=b,DC=woodgrovetest,DC=net.

  2. В области "Учетные данные" нажмите кнопку "Создать".

  3. В диалоговом окне "Учетная запись запуска от имени пользователя", "Пароль" и "Домен" введите учетные данные для учетной записи службы из домена b.woodgrovetest.net.

    Примечание.

    Если два домена находятся в разных лесах, необходимо ввести доменное имя в поле имени пользователя. Например, введите b.woodgrovetest.net\UserName.

Следующие шаги