Использование возможностей и потенциала MIIS

Использование возможностей и потенциала MIIS

MIIS является очень мощным средством. С помощью правильной конфигурации и некоторых интересных сценариев его можно настроить для выполнения невероятно большого количества автоматизированных действий. Современные среды изобилуют каталогами, что увеличивает объем администрирования, необходимого для ручного создания и удаления учетных записей и ручного обновления информации о пользова­телях. MIIS может существенно облегчить эти требования, улучшив администрирова­ние и безопасность. Следующие разделы посвящены некоторым наиболее ценным возможностям MIIS и их эффективному использованию.

Управление учетными данными с помощью MIIS

С помощью MIIS можно реализовать большинство базовых и простых конфигура­ций. Например, с помощью MIIS можно синхронизировать учетные данные между учетными записями в различных каталогах. Информация учетных данных может включать в себя имена, адреса электронной почты и физические адреса, должности, членство в подразделениях и многое другое. В общем случае информация учетных данных — это тип данных, обычно встречающийся в корпоративных телефонных справочниках или intranet-сетях.

Чтобы использовать MIIS для управления учетными данными между Active Directory и сервером каталогов LDAP, выполните следующие высокоуровневые шаги:

  1. Установите MIIS 2003.
  2. Создайте агент управления для каждого каталога, в том числе агент управления Active Directory и агент LDAP.
  3. Сконфигурируйте агенты управления на импорт типов объектов каталогов в их соответствующие связующие пространства имен.
  4. Сконфигурируйте один из агентов управления — например, для Active Directory — чтобы спроецировать объекты каталогов связующего пространства и иерархию каталогов в пространство имен метастрок.
  5. В каждом из агентов управления можно сконфигурировать функцию, называе­мую потоком атрибутов, чтобы определить, какие атрибуты объектов каталогов нужно проецировать из каждого каталога в соответствующие объекты катало­гов метастрок.
  6. Сконфигурируйте правила потоков атрибутов для каждого аген­та управления.
  7. Сконфигурируйте свойства присоединения учетных записей для объектов ката­логов. Это наиболее ответственный шаг, поскольку в нем определяется, как объекты из каждого каталога соотносятся друг с другом в пространстве имен метастрок. Чтобы сконфигурировать присоединение учетных записей, можно использовать некоторые критерии, например, табельный номер работника или сочетание его имени и фамилии. Главное здесь — определить наиболее уни­кальную информацию, чтобы избежать проблем с размещением двух объектов с одинаковыми именами, например, если в Active Directory существуют два поль­зователя с именами Том Джонс.
  8. После завершения конфигурирования MA и присоединения учетных записей сконфигурируйте профили выполнения агентов управления, чтобы сообщить агентам управления, что они должны делать с каталогом и пространством имен соединителя. Например, можно выполнить полный импорт или экспорт дан­ных. При первом запуске MA импортируется информация подключенного ката­лога и создается первоначальное пространство имен соединителя.
  9. После первого запуска MA их можно запустить во второй раз для распростране­ния авторитетных данных метастрок в соответствующие связующие простран­ства имен и в подключенные каталоги.
  10. Эти шаги можно использовать для упрощения задач сопровождения учетных запи­сей, когда необходимо одновременное управление несколькими каталогами. Кроме выполнения управления учетными данными для пользовательских учетных записей, с помощью MIIS можно выполнять задачи управления группами. Если группа спроеци­рована в пространство имен метастроки, то атрибут членства в группах может быть реплицирован в другие подключенные каталоги с помощью их агентов управления. Это позволяет изменять членство в группах только в одном каталоге, а затем автома­тически реплицировать его в другие каталоги.

    Разнесение и уничтожение учетных записей с помощью MIIS

    Разнесение (provisioning) учетных записей в MIIS позволяет выполнять сложное конфигурирование агентов управления каталогами, а также специальных агентов раз­несения, используемых для автоматизации создания и удаления учетных записей в не­скольких каталогах. Например, если в Active Directory создается новая пользователь­ская учетная запись, то агент управления Active Directory может пометить эту учетную запись. Затем, при выполнении соответствующих MA для других подключенных ката­логов, новая пользовательская учетная запись может быть автоматически сгенериро­вана в этих других каталогах. Процесс разнесения и уничтожения в MIIS может оказаться очень удобным в ситуациях, в которых требуется автоматическое создание и удаление пользовательских учетных записей. Например, в базе данных учета кадров HR PeopleSoft может быть создана одна пользовательская учетная запись, что повлечет цепочку созданий учет­ных записей.

    В дополнение к созданию этих учетных записей могут быть автоматически удалены все связанные учетные записи — с помощью процесса уничтожения в MIIS. Автомати­зация этого процесса упрощает администрирование многих учетных записей пользо­вателей в организации и минимизирует риск случайного оставления действующей учетной записи пользователя после увольнения работника. Следующий высокоуровневый пример демонстрирует шаги, необходимые для про­ведения простого разнесения учетной записи. В этом примере домен к MIIS подклю­чен Windows NT. Все учетные записи пользователей, созданные в этом домене, имеют соответствующие почтовые ящики Exchange Server 2003, созданные в отдельном лесу Active Directory.

    1. Установите MIIS Enterprise.
    2. Сконфигурируйте агент управления для подключенного домена Windows NT 4.0.
    3. Сконфигурируйте MA для NT 4.0, чтобы атрибуты, необходимые для создания почтового ящика ресурсов, поступали в метастроку.
    4. Сконфигурируйте поток атрибутов между атрибутами NT MA и метастрокой MIIS.
    5. Сконфигурируйте MA для домена Active Directory в лесу Exchange Resource.
    6. Убедитесь, что атрибуты MA Active Directory, которые нужны MIIS для создания почтового ящика, установлены аналогично параметрам.
    7. С помощью Visual Studio .NET 2003 укажите специализированную DLL-библиотеку расширения правил, необходимую для автоматического создания пользователь­ской учетной записи с почтовым ящиком в лесу ресурсов. В нашем случае DLL-библиотека должна использовать в сценарии класс MVExtensionExchange.
    8. Установите эту DLL-библиотеку расширения правил в метастроку.
    9. Сконфигурируйте профили выполнения для импорта информации и автомати­ческого создания почтовых ящиков.
    10. Хотя описанный пример довольно сложен, он полезен в ситуациях, в которых один лес Exchange Server 2003 или Exchange 2000 используется в нескольких организациях. Идентификатор безопасности (SID) учетной записи домена NT импортируется в ме-тастроку и используется для создания почтового ящика в лесу ресурсов, содержащем учетную запись внешнего домена в виде связанной внешней учетной записи. С помощью централизованной реализации MIIS лес ресурсов Exchange может поддерживать автоматическое создание почтовых ящиков работников для большого количества подключенных доменов.

      Резюме по MIIS 2003

      MIIS является универсальным и мощным инструментом синхронизации каталогов, который можно использовать для упрощения и автоматизации выполнения некото­рых задач управления каталогами. В силу природы MIIS это средство может оказаться очень опасным, поскольку агенты управления могут иметь полный доступ к подклю­ченным каталогам. Из-за неверной конфигурации агентов управления MMS может произойти потеря данных, поэтому, прежде чем запустить MIIS в производственные каталоги любой организации, необходимо выполнить тщательное планирование и ла­бораторное тестирование. Часто целесообразно обратиться к сертифицированным провайдерам/партнерам решений Microsoft, чтобы принять решение, годится ли MIIS для вашей среды, либо даже для проектирования и помощи во внедрении.

      Аналогичные записи:
      Вы можете оставить комментарий, или ссылку на Ваш сайт.

      Оставить комментарий

      Вы должны быть авторизованы, чтобы разместить комментарий.