Microsoft Identity Manager 2016 最佳做法
本主題說明部署和操作 Microsoft Identity Manager 2016 (MIM) 的最佳做法
SQL 設定
注意
設定執行 SQL 的伺服器所適用的下列建議假設有一個 FIMService 專用的 SQL 執行個體以及一個 FIMSynchronizationService 資料庫專用的 SQL 執行個體。 如果您是在合併環境中執行 FIMService,則必須針對您的設定進行適當的調整。
結構化查詢語言 (SQL) 伺服器的設定是取得最佳系統效能的關鍵要素。 能否在大規模實作中達到最佳 MIM 效能,取決於是否已針對執行 SQL 的伺服器套用最佳做法。 如需詳細資訊,請參閱有關 SQL 最佳做法的下列主題:
預先調整資料和記錄檔大小
請勿依賴自動成長功能, 而是以手動方式管理這些檔案的成長。 基於安全理由,您可以開啟自動成長功能,但應該主動管理資料檔案的成長。 如需 MIM 資料庫的大小範例,請參閱 FIM 容量規劃指南。
預先調整 SQL 資料和記錄檔大小
啟動 SQL Server Management Studio。
巡覽至 FIMService 資料庫,以滑鼠右鍵按一下 FIMService,然後按一下 [內容]。
在 [檔案] 頁面中,將資料庫檔案擴展為所需的大小。
隔離記錄檔與資料檔案
請遵循 SQL Server 最佳做法,以隔離上資料庫的交易和數據記錄檔,以分隔實體磁碟。
建立其他的 tempdb 檔案
為了達到最佳效能,建議您在 tempdb 檔案中根據每個 CPU 核心建立一個資料檔案。
建立其他的 tempdb 檔案
啟動 SQL Server Management Studio。
巡覽至 [系統資料庫] 中的 tempdb 資料庫,以滑鼠右鍵按一下 tempdb,然後按一下 [內容]。
在 [檔案] 頁面中,為每個 CPU 核心建立一個資料檔案。 請務必將 tempdb 資料和記錄檔分隔到不同的磁碟機和主軸。
確定有足夠的空間供記錄檔使用
請務必了解復原模式的磁碟需求。 在初始系統載入期間,簡單復原模式可能適合用來限制磁碟空間的使用,但在最近備份之後所建立的資料卻會發生資料遺失的情況。 使用完整恢復模式時,您必須透過包含經常備份事務歷史記錄的備份來管理磁碟使用量,以避免使用高磁碟空間。 如需詳細資訊,請參閱復原模式概觀。
限制 SQL Server 記憶體
根據您在 SQL 伺服器上具有的記憶體數量,以及是否與其他服務 (也就是 MIM 2016 服務和 MIM 2016 同步處理服務) 共用 SQL 伺服器,您可能想要限制 SQL 的記憶體耗用量。 您可以透過下列步驟來設定此限制。
啟動 SQL Server Enterprise Manager。
選取 [新增查詢]。
執行下列查詢:
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDE這個範例會將 SQL 伺服器重新設定為使用不超過 12 GB 的記憶體。
使用下列查詢來驗證設定:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
備份與復原設定
在一般情況下,您應該與您的資料庫管理員合作,以設計備份和還原策略。 其中一些建議包括:
- 根據組織的備份原則來執行資料庫備份。
- 如果沒有規劃增量記錄檔備份,資料庫應該設定為簡單復原模式。
- 請在實作備份策略之前,請確定您已了解不同復原模式可能造成的影響。 了解這些模式的磁碟空間需求。 完整復原模式需要經常備份記錄檔,以避免產生較高的磁碟空間使用量。
如需詳細資訊,請參閱復原模式概觀和 FIM 2010 備份與還原指南。
安裝之後為 FIM 服務建立備份系統管理員帳戶
FIMService 系統管理員集合中的成員具有 MIM 部署作業不可或缺的獨特權限。 如果您無法以系統管理員集合的一份子來登入,唯一的解決方法就是回復為先前的系統備份。 若要消除這種情況,建議您將其他使用者新增至 FIM 系統管理集合作為後續安裝設定的一部分。
FIM 服務
設定 FIM 服務的服務 Exchange 信箱
以下是針對 MIM 2016 服務的服務帳戶設定 Microsoft Exchange Server 的最佳做法。
- 設定服務帳戶,使其只能接受來自內部電子郵件位址的郵件。 具體而言,此服務帳戶的信箱應該永遠無法從外部 SMTP 伺服器接收郵件。
設定服務帳戶
在 Exchange 管理主控台中,選取 FIM 服務的服務帳戶。
依序選取 [內容] 和 [郵件流程設定],然後選取 [Mail Delivery Restriction]\(郵件傳遞限制)。
選取 [需要驗證所有寄件者] 核取方塊。
如需詳細資訊,請參閱 設定訊息傳遞限制。
設定服務帳戶,使其拒絕大小大於 1 MB 的郵件。 遵循最佳做法,為信箱或擁有郵件功能的公用資料夾設定郵件大小限制。
設定服務帳戶,使其具有 5 GB 的信箱儲存空間配額。 為了取得最佳結果,請遵循設定信箱的儲存空間配額中所列出的最佳做法。
MIM 入口網站
停用 SharePoint 索引
建議您停用 Microsoft Office SharePoint® 索引。 沒有需要編製索引的文件。 編制索引會在 MIM 中造成許多錯誤記錄項目及潛在的效能問題。 若要停用 SharePoint 索引編制,請執行下列步驟:
在管理 MIM 2016 入口網站的伺服器上,按一下 [開始]。
按一下 [所有程式]。
在 [所有程式] 清單中,按一下 [系統管理工具]。
在 [系統管理工具] 下,按一下 [SharePoint 管理中心]。
在 [管理中心] 頁面上,按一下 [作業]。
在 [作業] 頁面的 [通用設定] 下,按一下 [計時器工作定義]。
在 [計時器工作定義] 頁面上,按一下 [SharePoint Services 搜尋重新整理]。
在 [編輯計時器工作] 頁面上,按一下 [停用]。
MIM 2016 初始資料載入
本節列出一系列的步驟,用來提高從外部系統將初始資料載入至 MIM 的效能。 請務必了解其中一些步驟只在系統的初始擴展期間執行。 在載入完成後應該加以重設。 這些步驟適用於一次性作業,而不是連續同步處理。
重要
請確定您已套用本指南的<SQL 設定>一節中所述的最佳做法。
步驟 1:設定用於初始資料載入的 SQL 伺服器
資料的初始載入可能相當耗時。 當您計劃要初始載入大量資料時,可以暫時關閉全文檢索搜尋,並在 MIM 2016 管理代理程式 (FIM MA) 的匯出完成後再次開啟該搜尋功能,藉以縮短擴展資料庫所花費的時間。
暫時關閉全文檢索搜尋:
啟動 SQL Server Management Studio。
選取 [新增查詢]。
執行下列 SQL 陳述式:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
重要
不實作這些程序會導致產生較高的磁碟空間使用量,而這可能會造成磁碟空間不足。 您可以在復原模式概觀中找到關於這個主題的其他詳細資料。 FIM 備份與還原指南包含其他資訊。
步驟 2:在載入程序中套用必要的最小 MIM 設定
在初始載入程序中,您應該只針對管理原則規則 (MPR) 與集合定義套用 FIM 設定所需的最小設定。 在資料載入完成之後,請建立部署所需的其他集合。 使用動作工作流程上的 [Run-On Policy]\(於原則更新時執行) 設定,對載入的資料追溯套用這些原則。
步驟 3:使用外部身分識別資料設定並填入 FIM 服務
此時,您應該遵循 How Do I Synchronize Users from Active Directory 網域服務 to FIM 指南中所述的程式,設定和同步處理您的系統與 Active Directory 中的使用者。 如果您需要同步處理群組資訊,該流程的程序說明於如何從 Active Directory Domain Services 將群組同步處理到 FIM \(英文\) 指南中。
同步處理和匯出順序
為了將效能最佳化,請在導致連接器空間產生大量擱置中匯出作業的同步處理回合之後執行匯出。 然後,對與受影響的連接器空間相關聯的管理代理程式執行確認匯入回合。 例如,當您需要對數個管理代理程式執行同步處理回合設定檔作為初始資料載入的一部分時,應該在每個個別的同步處理回合之後執行匯出,接著執行差異匯入。 對於屬於初始化週期的每一個來源管理代理程式,請執行下列步驟:
對來源管理代理程式執行完整匯入。
對來源管理代理程式執行完整同步處理。
使用分段的匯出作業對所有受影響的目標管理代理程式執行匯出。
使用分段的匯出作業對所有受影響的目標管理代理程式執行差異匯入。
步驟 4:套用完整的 MIM 設定
完成初始資料載之後,您應該針對部署套用完整的 MIM 設定。
根據您的案例,此步驟可能包括建立其他集合、MPR 和工作流程。 對於您需要對系統的所有現有物件回溯套用的任何原則,請使用動作工作流程上的 [於原則更新時執行] 設定,對載入的資料追溯套用這些原則設定。
步驟 5:將 SQL 重新設定為先前的設定
請記得要將 SQL 設定變更為其一般設定。 這些變更包括:
開啟全文檢索搜尋
根據您的組織原則更新備份原則
完成初始資料載之後,您需要再次開啟全文檢索搜尋。 執行下列 SQL 陳述式,以再次開啟全文檢索搜尋:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
如果您必須切換到簡單復原模式,請確定您已根據貴組織的備份原則重新設定備份排程。 如需 FIM 備份排程的其他詳細資料,請參閱 FIM 備份與還原指南。
設定移轉
避免變更顯示名稱
對於許多物件類型 (例如 MPR),syncproduction.ps1 指令碼會使用顯示名稱作為兩個系統之間唯一的錨點屬性。 因此,變更現有的 MPR 顯示名稱會導致刪除現有的 MPR,接著建立新的 MPR。 產生此結果是因為移轉程序無法順利聯結已變更其聯結準則的 MPR。 若要避免發生這個問題,您可以將自訂屬性繫結至所有設定物件類型,並使用該屬性作為聯結準則。 此程式可讓您修改顯示名稱,而不會影響移轉程式。
避免變更中繼檔案的內容
雖然低階物件的檔案格式和應用程式設計介面 (API) 為公用且開發人員支援這些操作,但不建議您在移轉期間變更中繼格式的內容。 不過,可能需要從 changes.xml 移除整個 ImportObjects 或對 pilot.xml 執行尋找和取代作業來取代生產環境 DNS 資訊的版本號碼或試驗「網域名稱系統 (DNS)」資訊。
確定在不同版本間移轉時,pilot.xml 中的版本號碼正確無誤
雖然不建議或支援跨版本號碼的移轉,但您通常可以藉由將試驗版本號碼取代為 pilot.xml 中的生產版本號碼來進行此移轉。 具體來說,WorkflowDefinition 和
ActivityInformationConfiguration 物件需要版本號碼精確參考生產環境中的工作流程活動。 無法取代版本號碼,會導致 Compare-FIMConfig Cmdlet 識別 WorkflowDefinitions 的「可延伸物件標記語言 (XOML)」屬性之間的差異,並移轉試驗的版本號碼。 生產環境 FIM 服務可能無法啟動版本號碼不正確的工作流程活動。
避免循環參考
一般來說,不建議在 MIM 設定中使用循環參考。 不過,當集合 A 參考集合 B,而集合 B 也參考集合 A 時,有時候會發生循環參考。若要避免發生循環參考問題,您應該變更集合 A 或集合 B 的定義,使它們不會彼此參考。 然後,重新啟動移轉程序。 如果您有循環參考,而且 Compare-FIMConfig Cmdlet 導致結果錯誤,如此一來,就必須手動中斷循環。 因為 Compare-FIMConfig Cmdlet 會以優先順序輸出變更的清單,所以它需要設定物件的參考中不存在任何循環。
安全性
MIM MA 帳戶
MIM MA 帳戶不會視為服務帳戶,而應該是一般使用者帳戶。 此帳戶必須能夠在本機登入,以便讓 FIM 同步處理服務的服務帳戶可以模擬它。
啟用 MIM MA 帳戶以在本機登入
依序按一下 [開始]、[系統管理工具],然後按一下 [本機安全性原則]。
開啟 [本機原則] 節點,然後按一下 [使用者權限指派]。
在 [允許本機登入] 原則中,請確定已明確指定 FIM MA 帳戶,或將其新增至其中一個已授予存取權的群組。
FIM 同步處理服務和 FIM 服務帳戶
若要以安全的方式設定執行 MIM 伺服器元件的伺服器,服務帳戶應該受到限制。 使用先前的程序來開啟 MIM MA 帳戶時,請對 FIM 同步處理服務和 FIM 服務帳戶設定下列限制:
拒絕以批次工作登入
拒絕本機登入
拒絕從網路存取這部電腦
服務帳戶不應該是本機系統管理員群組的成員。
FIM 同步處理服務的服務帳戶不應該是用來控制 FIM 同步處理服務 (以 FIMSync 為開頭的群組,例如 FIMSyncAdmins 等等) 存取權之安全性群組的成員。
重要
如果您選擇為兩個服務帳戶使用相同的帳戶,而且可以將 FIM 服務和 FIM 同步處理服務分隔開來,那麼就無法從 MMS 同步處理服務伺服器的網路中拒絕存取這部電腦。 如果存取遭拒,則會禁止 FIM 服務連絡 FIM 同步處理服務,因此無法變更設定和管理密碼。
密碼重設若已部署到類似 Kiosk 的電腦,應該將本機安全性設定為清除虛擬記憶體分頁檔
在預定為 kiosk 的工作站上部署 FIM 密碼重設時,建議 Shutdown: Clear virtual memory pagefile 開啟本機安全策略設定,以確保來自進程記憶體的敏感性資訊不適用於未經授權的使用者。
實作 FIM 入口網站的 SSL
強烈建議在 FIM 入口網站伺服器上使用安全通訊階層 (SSL),來保護用戶端與伺服器之間的流量。
實作 SSL:
在 MIM 入口網站伺服器上,開啟 [IIS 管理員]。
按一下本機電腦名稱。
按一下 [伺服器憑證]。
按一下 [建立憑證要求]。
在 [一般名稱] 文字方塊中,輸入伺服器的名稱。
按一下 [下一步],然後再按一下 [下一步]。
將檔案儲存到任何位置。 您在後續的步驟中將需要存取這個位置。
瀏覽至 https://servername/certsrv. 以發行憑證的伺服器名稱取代 <伺服器名稱>。
按一下 [Request a new Certificate]\(要求新憑證)。
按一下 [Submit an Advanced Request]\(提交進階要求)。
用 Base-64 編碼來按一下 [Submit a Certificate Request]\(提交憑證要求)。
貼上您在上一個步驟中儲存的檔案內容。
在 [憑證範本]中,選取 [Web 伺服器]。
按一下 [提交]。
將憑證儲存到您的桌面。
在 [IIS 管理員] 中,按一下 [Complete Certification Request]\(完成憑證要求)。
將 [IIS 管理員] 指向您剛才儲存至桌面的憑證。
對於 [易記名稱],請輸入伺服器的名稱。
按一下 [網站],然後選取 SharePoint – 80。
按一下 [繫結],然後按一下 [新增]。
選取 https。
針對憑證,選取與伺服器同名的憑證,也就是您剛才匯入的憑證。
按一下 [確定]。
移除 HTTP 繫結。
按一下 [SSL 設定],然後檢查 [需要 SSL]。
儲存設定。
依序按一下 [開始] 和 [系統管理工具],然後按一下 [SharePoint 3.0 管理中心]。
按一下 [作業],然後按一下 [備用存取對應]。
按一下 https://servername.
將 https://servername 變更為 https://servername,然後按一下 [確定]。
依序按一下 [開始] 和 [執行]、輸入 iisreset,然後按一下 [確定]。
效能
為了取得最佳效能設定:
如本文件的<SQL 設定>一節中所述,套用 SQL 設定最佳故法。
關閉 MIM 入口網站上的 SharePoint 索引。 For more information, see the Disable SharePoint indexing section.
功能相關的最佳作法
要求管理
MIM 2016 預設會清除過期的系統物件,其中包括間隔為 30 天且含有相關聯的核准、核准回覆以及工作流程執行個體的已完成要求。 如果您的組織需要較長的要求歷程記錄,則應該從 MIM 匯出要求,並將它們儲存在輔助資料庫以保留超過 30 天的時間範圍。 雖然可設定 30 天的要求刪除時間範圍,但延長這個時間範圍可能會因為系統中的其他物件而對效能產生負面影響。
管理原則規則
使用適當的 MPR 類型
MIM 提供兩種類型的 MPR (要求和集合轉換):
要求 MPR (RMPR)
- 用來針對資源定義建立、讀取、更新或刪除 (CRUD) 作業 (驗證、授權和動作) 訪問控制原則,
- 針對 MIM 中的目標資源發出 CRUD 作業時套用,以及
- 透過規則中定義的符合條件設定範圍,也就是套用規則的 CRUD 要求。
集合轉換 MPR (TMPR)
- 用來定義原則,而不管物件如何進入轉換集合所表示的目前狀態。 使用 TMPR 來建立權利原則模型。
- 當資源進入或離開相關聯的集合時套用,以及
- 範圍為集合的成員。
注意
如需詳細資訊,請參閱 設計商務原則規則。
僅在必要時啟用 MPR
套用您的設定時,請使用最低權限原則。 MPR 會控制 MIM 部署的存取原則。 只啟用可供大部分使用者使用的功能。 例如,並非所有使用者都使用 MIM 進行群組管理,因此應該停用相關聯的群組管理 MPR。 MIM 出廠時預設會停用大部分的非系統管理員權限。
重複內建 MPR 而不是直接修改
需要修改內建 MPR 時,您應該使用所需的設定來建立新的 MPR,並關閉內建 MPR。 建立這個新的 MPR 可確保透過升級程式導入之內建 MPR 的任何未來變更都不會對您的系統設定造成負面影響。
使用者權限應該使用範圍為使用者商務需求的明確屬性清單
使用明確的屬性清單,可在將屬性新增至物件時,協助您防止意外授予權限給非特殊權限的使用者。 系統管理員應該明確需要授予存取權給新屬性,而不是嘗試移除存取權限。
資料的存取權範圍應該限於使用者的商務需求。 例如,群組成員不應該對其所屬群組的篩選條件屬性具有存取權。 篩選條件可能會不慎洩漏使用者通常不具有存取權的組織資料。
MPR 應該反映系統中的有效權限
避免授予權限給使用者永遠不能使用的屬性。 例如,您不應該授予修改核心資源屬性 (例如 objectType) 的權限。 儘管 MPR,系統仍會拒絕在建立資源之後修改資源類型的任何嘗試。
在 MPR 中使用明確屬性時,讀取權限應該與修改和建立權限分開
在 MPR 中明確列出屬性時,建立和修改所需的屬性通常與可用於讀取的屬性不同。 例如,讀取可以透過系統屬性 (例如 Creator 或 objectId) 授予,但建立或修改則無法針對系統屬性指定。
在規則中使用明確屬性時,建立權限應該與修改權限分開
建立作業會要求使用者選取該 objectType 作為其作業的一部分。 此屬性是無法在建立作業之後修改的核心系統屬性。
對所有具有相同存取權需求的屬性,使用一個要求 MPR
對於具有相同存取權需求且預期不要變更的屬性,您可以將它們合併成單一要求 MPR 來提高效率。
避免甚至為選取的主要群組提供沒有限制的存取權
在 MIM 中,權限定義為正向宣告。 因為 MIM 不支援 [拒絕] 權限,所以若給與資源不受限制的存取權,會使得權限的排除作業變得非常複雜。 最佳做法是只授予必要的權限。
使用 TMPR 來定義自訂權利
使用集合轉換 MPR (TMPR) 而不是 RMPR 來定義自訂權利。 TMPR 提供以狀態為基礎的模型,可根據已定義轉換集合中的成員資格,或是角色及伴隨的工作流程活動來指派或移除權利。 TMPR 應一律以配對定義、一個用於轉換中的資源,另一個用於資源轉換。此外,每個轉換 MPR 都應該包含用於布建和取消布建活動的個別工作流程。
注意
任何解除佈建工作流程都應確保 [於原則更新時執行] 屬性已設定為 true。
在最後一個 MPR 中啟用集合轉換
建立 TMPR 配對後,請在最後一個 MPR 中開啟集合轉換。 此順序可確保如果已開啟「輸入 MPR」,但在「輸出 MPR」開啟之前,於集合中新增或移除資源,則沒有任何資源保有權利。
TMPR 中的工作流程應該先檢查目標資源狀態
佈建工作流程應該會先進行檢查,以判斷目標資源是否已根據權利佈建。 如果已佈建,則它應該不會執行任何動作。
解除佈建工作流程應該會先進行檢查,以判斷目標資源是否已佈建。 如果已佈建,則它應該會解除佈建目標資源。 否則,它應該不會執行任何動作。
為 TMPR 選取 [於原則更新時執行]
此設定可確保在實作原則更新時套用正確的布建行為,並在與TMPR相關聯的動作工作流程上使用 RunOn 原則更新旗標,而且原則定義中的變更會將動作工作流程套用至轉換集的新成員。
避免將相同的權利與兩組不同的轉換集合產生關聯
將相同的權利與兩組不同的轉換集合產生關聯,可能會導致不必要的撤銷和重新授予權利 (如果資源是從某個集合移至其他集合的話)。 最佳做法是確保某個集合包含所有要求相關聯權利的資源。 此程式可確保轉換集與授與工作流程的權利之間的一對一關聯性。
在系統中移除權利時,請使用適當的作業順序
在系統中移除權利時所執行的步驟順序可能會導致兩個不同的操作結果。 請確定您了解何種順序適用於您想要的效果。
從系統中移除權利 (以及從目前擁有權利的所有成員中撤銷):
停用 T-In MPR。 這項變更可避免新的授與。
刪除 T-Set 篩選器或變更它,使集合成為空。 這會造成轉出所有現有的成員,並套用轉出原則,包括與權利相關聯的已設定解除佈建工作流程。
停用 T-Out MPR。
若要移除權利,但目前成員維持不動 (例如,停止使用 MIM 來管理權利):
停用 T-In MPR。 這項變更可避免新的授與。
停用 T-Out MPR。
刪除 T-Set 篩選器或變更它,使集合成為空。 因為集合不再繫結至 TMPR,所以不會套用任何解除佈建工作流程。
集合
在套用集合的最佳做法時,您必須考慮最佳化作業對管理功能所造成的影響,以方便日後進行管理。 在套用這些建議之前,您應該執行具有預期生產規模的適當測試,以找出效能與易管理性之間的適當平衡。
注意
下列指導方針全都適用於動態集和動態群組。
盡量減少使用動態巢狀結構
這是指某個集合參考另一個集合的 ComputedMember 屬性所使用的篩選條件。 使用巢狀集合的一個常見原因,是要避免成員資格條件在許多集合之間重複。 雖然這種方法可使得集合更易於管理,但同時可能會對效能造成影響。 您可以藉由複製巢狀集合的成員資格條件,而不是將集合本身巢狀化,以便最佳化效能。
您可能會遇到無法避免巢狀集合以滿足功能需求的情況。 以下是您應該將集合巢狀化的主要情況。 例如,若要定義不含全職員工擁有者之所有群組的集合,則必須使用集合的巢狀結構,如下所示︰/Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember],其中 'X' 是所有全職員工集合的 ObjectID。
盡量減少使用負面條件
負面條件是使用了下列運算子或函式的成員資格條件:!=、not()、\<、\<=。 若要最佳化效能,在可能的情況下,請使用多個正面條件來表逹您想要的條件,而不是以負面條件來表逹。
盡量減少使用依據多值參考屬性的成員資格條件
應該盡量減少使用依據多值參考屬性的條件,因為這些大量的集合可能會影響成員資格條件中所使用屬性的作業效能。
密碼重設
用於密碼重設且類似 Kiosk 的電腦應該將本機安全性設定為清除虛擬記憶體分頁檔
在預期成為 Kiosk 的工作站上部署 MIM 密碼重設時,建議您開啟 [關機: 清除虛擬記憶體分頁檔] 本機安全性原則設定,以確保來自處理序記憶體的機密資訊不會被未經授權的使用者取得。
使用者應該在他們所登入的電腦上一律註冊進行密碼重設
當使用者嘗試透過 Web 入口網站註冊進行密碼重設時,不管登入網站的人員是誰,MIM 一律會代表登入的使用者起始註冊。 使用者應該在他們所登入的電腦上一律註冊進行密碼重設。
請勿將 AvoidPdcOnWan 登錄機碼設定為 true
使用 MIM 2016 密碼重設時,請勿將 AvoidPdcOnWan 登錄機碼設定為 true。
如果這個登錄機碼設定為 true,使用者很可能會通過密碼閘道、在主要網域控制站 (PDC) 上重設其密碼,並嘗試登入。 由於此登錄機碼之故,本機網域控制站不會使用 PDC 執行第二次驗證;因此,將拒絕登入要求。 如果使用者遭拒絕的次數太多,可能會被鎖定網域,因此必須連絡支援人員。
請勿開啟記錄純文字密碼功能
在 Windows 中開啟診斷服務層級追蹤時,可記錄純文字密碼
Communication Foundation (WCF)。 此選項預設為不開啟,建議您不要在生產環境中開啟它。 當使用者註冊進行密碼重設時,這些密碼都是加密的「簡易物件存取通訊協定 (SOAP)」訊息內可見的純文字項目。 如需詳細資訊,請參閱設定訊息記錄。
請勿將授權工作流程對應到密碼重設程序
您不應該將授權工作流程附加到密碼重設作業。 密碼重設需要包含非同步活動 (例如,核准活動) 的同步回應和授權工作流程。
請勿將多個動作活動對應到密碼重設
您不應該在密碼重設作業中附加包含多個動作活動的工作流程。 案例範例會在密碼重設 MPR 中附加第二個 AD DS 密碼重設活動。 不支援此狀況。
新增、移除或變更現有工作流程中的活動順序時,需要重新登錄
在新增、移除或變更現有工作流程中的驗證活動順序時,請務必選取需要重新登錄的選項。 使用者在工作流程中新增或移除活動之後,嘗試進行密碼重設驗證,但在他們重新登錄之前,可能會產生不良影響。
入口網站設定和資源控制顯示器設定
考慮在使用者設定檔頁面中加入隱私權免責聲明
在 MIM 中,某些使用者設定檔資訊預設會顯示給其他使用者。 為了使用者方便起見,系統管理員應考慮在 [使用者設定檔] 頁面中,加入與其公司原則一致的自訂文字。 如需將自訂文字新增至 MIM 入口網站頁面的詳細資訊,請參閱設定和自訂 FIM 入口網站簡介。
結構描述
請勿刪除個人或群組的資源類型
雖然個人和群組的資源類型未標示為核心資源類型,但資源本身或指派給它們的屬性不應該被刪除。 MIM 入口網站中的使用者介面 (UI) 需要有個人和群組的資源類型和其屬性存在。
請勿修改核心屬性
有 13 個指派給所有資源類型的核心屬性。 您不應該以任何方式修改其與任何資源類型的關係。 13 個核心屬性如下:
CreatedTime
建立者
DeletedTime
Description
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
Locale
MVObjectID
ObjectID
ObjectType
ResourceTime
請勿刪除相依於稽核需求的結構描述資源
當您對結構描述資源仍具有稽核需求時,不應刪除這些資源。
將規則運算式設為不區分大小寫
在 MIM 中,將一些規則運算式設為不區分大小寫很有幫助。 您可以使用 來忽略群組內的大小寫 ?!:。 例如,針對員工類型,使用
\^(?!:contractor\|full time employee)%.
成員屬性的計算
公開至同步處理引擎的成員屬性實際上是對應到 ComputedMembers。 它是條件式成員及手動選取之成員的組合。 即使您新增了所有三個屬性 (Filter、ExplicitMembers 及 ComputedMembers),也不會對群組和集合以外的資源類型進行成員屬性的動態計算。
忽略字串的前置和尾端空格
在 MIM 中,您可以輸入含有前置和尾端空格的字串,但 MIM 系統會忽略這些空格。 如果您提交具有前置和尾端空格的字串,同步處理引擎和 Web 服務會忽略這些空格。
空字串不等於 null
在此版本的 MIM 中,空字串不等於 Null。 空字串輸入會被視為有效值。 不存在任何項目則被視為 null。
工作流程和要求處理
請勿刪除 MIM 2016 所隨附的預設工作流程
下列工作流程隨附於 MIM,不應予以刪除:
到期工作流程
系統管理員的篩選驗證工作流程
非系統管理員的篩選驗證工作流程
群組到期通知工作流程
群組驗證工作流程
擁有者核准工作流程
密碼重設動作工作流程
密碼重設驗證工作流程
使用擁有者授權的要求者驗證
不使用擁有者授權的要求者驗證
註冊所需的系統工作流程
不會以平行方式執行兩個或多個 ApprovalActivities
您不得以平行方式執行兩個或多個 ApprovalActivities。 執行此作業可能會導致要求堵塞在授權階段。 如果有多個核准,請在核准中包含較大的核准者清單,或是連續排列兩個活動。
授權活動不應該修改 MIM 資源資料
請避免在授權工作流程中,使用修改 MIM 資源的活動 (例如,函式評估工具活動) 作為工作流程的一部分。 由於在處理的授權點期間尚未認可要求,因此可以套用對身分識別資訊所執行的任何修改,儘管該要求可能會被拒絕。
了解 FIM 服務磁碟分割
MIM 的目標是要根據您設定的商務原則,處理可由各種 MIM 用戶端 (例如,FIM 同步處理服務和自助元件) 起始的要求。 根據設計,每個 FIM 服務執行個體所屬的邏輯群組包含一或多個 FIM 服務執行個體,這也稱為 FIM 服務磁碟分割。 如果您只部署了一個 FIM 服務執行個體來處理所有要求,很可能會發生處理延遲。 某些作業甚至可能會超過適用於自助作業的預設逾時值。 FIM 服務磁碟分割可協助您解決這個問題。
如需詳細資訊,請參閱 瞭解 FIM 服務分割區。
下一步
- FIM 備份與還原指南 \(英文\)
- 恢復模式概觀。