从微软AD服务器上同步指定账户的配置

《从微软AD服务器上同步指定账户的配置》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、iMCUAM以用户组为过滤条件从微软AD服务器上同步指定账户的配置 一、 组网需求：iMCUAM可以配置为从LDAP服务器上自动同步用户信息，免去了管理员同时维护两套用户信息的繁琐。最常用的LDAP服务器是微软的域控制器（AD服务器）。通常情况下，配置同步时都是以组织单元为单位同步账户。如下图所示：有时用户希望仅同步同一个组织单元内的部分用户，而不是将整个组织单元下的用户都同步过来。以上图为例，比如用户希望仅同步“技术支持中心”这个组织单元下的“张三”和“李四”这两个账户，而不同步“王五”这个账户。但是又不希望通过调整组织单元

2、结构（比如将“张三”和“李四”转移到单独的组织单元内）来达到目的。在不调整组织单元结构的情况下，我们首先想到的是通过在iMC服务器上配置同步过滤属性将具有同一属性的账户都同步过来，而排除那些不具备该属性的账户。而如果所有LDAP用户的属性都相同的情况下，这个方法就行不通了。采用以用户组为单位同步账户的方式可以实现上述需求。这种方式仅需要在AD服务器上增加一些配置，而无需修改原有的组织结构。二、 组网图：三、 配置步骤：1.  增加安全组1）首先新建一个组织单元。 2）选择新建的组织单元，在其下新建一个用户组。2.  将需要同步

3、至iMC服务器的账户添加到安全组中1）选中新建的用户组，进入其属性窗口中的成员选项卡。2）在输入对象名称栏中直接输入用户的登录名，将需要同步至iMC服务器的账户添加到安全组中。3.  配置LDAP服务器1）配置LDAP服务器，这里“BASEDN”一栏仍然配置为用户实际所属的组织单元，而非安全组所属的组织单元。2）配置LDAP同步策略，将过滤条件配置为：(&(memberOf=cn=认证用户,ou=EAD用户组,dc=itoip,dc=com)(objectclass=*))，其中“认证用户”为安全组的名称，“EAD用户组”为该

4、安全组所在的组织单元的名称。配置完成后，点击LDAP同步策略列表中后方的同步按钮，待同步完成后即可查看接入用户列表验证同步的效果。四、 配置关键点：1)   在iMC服务器上配置LDAP服务器时，“BASEDN”一栏仍然配置为用户实际所属的组织单元，而非安全组所属的组织单元。2)   如果需要在多个组织单元中同步特定的用户，AD服务器上可以只配置一个安全组，将每个组织单元中需要同步的用户都加入该安全组。配置LDAP服务器时，“BASEDN”必须能够包含存在待同步用户的多个组织单元。建议创建多个以组织单元名称命名的LDAP服务器

5、配置，每个LDAP服务器配置中的“BASEDN”都仅指向一个单独的组织单元。同时创建多个LDAP同步策略，同样以组织单元名称命名，与LDAP服务器配置一一对应。这些LDAP同步策略的名称虽然不同，但过滤规则是一样的。