Erstellen des LDAP-Datenspeichers mit dem ADAM-Verzeichnisdienst (Active Directory Application Mode, Active Directory-Anwendungsmodus)

  • Artikel

Letzte Aktualisierung: Juni 2007

 

Letztes Änderungsdatum des Themas: 2015-02-27

In manchen Situationen ist der Active Directory-Verzeichnisdienst möglicherweise nicht verfügbar (beispielsweise in einem Linux-basierten Netzwerk), oder eine Organisation möchte Active Directory in ihrem Netzwerkbetriebssystem nicht zum Authentifizieren von Project Server-Benutzern verwenden. In solchen Fällen kann ein externer Verzeichnisspeicher, gegenüber dem die Benutzer authentifiziert werden, zum Erstellen des LDAP-Datenspeichers (Lightweight Directory Access-Protokoll) verwendet werden.

ADAM (Active Directory Application Mode, Active Directory-Anwendungsmodus) ist ein Verzeichnisdienst, der die Anforderungen von Organisationen erfüllen soll, die nicht nur Active Directory zum Bereitstellen von Verzeichnisdiensten für verzeichnisfähige Anwendungen verwenden möchten, oder von Organisationen, in denen Active Directory nicht verfügbar ist. Während Active Directory viele Vorteile für die Verwaltung einer Netzwerkinfrastruktur bietet, benötigen Organisationen oft einen flexibleren Verzeichnisdienst für die Unterstützung verzeichnisfähiger Anwendungen. ADAM ist ein LDAP-Verzeichnisdienst speziell für verzeichnisfähige Anwendungen, wie beispielsweise Microsoft Office Project Server 2007. ADAM wird nicht als Systemdienst, sondern als Benutzerdienst ausgeführt. Sie können ADAM auf Servern und Domänencontrollern unter Betriebssystemen der Windows Server 2003-Produktfamilie (mit Ausnahme von Windows Server 2003 Web Edition) und auf Computern unter Windows XP Professional ausführen.

ADAM kann in den folgenden Szenarien als Verzeichnisdienst für Office Project Server 2007-Benutzer verwendet werden:

  • Ein Unternehmen möchte Geschäftspartnern oder Auftragnehmern über Project Web Access (PWA) den Zugriff auf bestimmte Unternehmensressourcen ermöglichen. Die Unternehmensrichtlinien lassen das Hinzufügen dieser Benutzer zur Active Directory-Struktur des Unternehmens, damit sie sich mit Windows-Authentifizierung bei PWA anmelden können, nicht zu. Das Unternehmen möchte nicht, dass diese Benutzer über nicht autorisierten Zugriff auf Unternehmensressourcen verfügen. ADAM kann verwendet werden, um ein separates Verzeichnis zu erstellen, in dem diese Benutzer authentifiziert werden können, wenn sie sich über Project Web Access bei einer Extranetwebsite anmelden.

  • Ein Unternehmen hat vorher Microsoft Office Project Server 2003 verwendet. Dabei wurde zum Authentifizieren der Intranet- und Extranetbenutzer die Project Server-Authentifizierung verwendet. Die Benutzer wurden gegenüber einem Verzeichnis authentifiziert, das sich in der Project Server 2003-Datenbank befand. Das Unternehmen hat jetzt auf Office Project Server 2007 aktualisiert. In dieser Anwendung wird die Project Server-Authentifizierung nicht unterstützt. Das Unternehmen verwendet ADAM zum Erstellen eines neuen Verzeichnisses, dem es dann die migrierten Project Server 2003-Konten hinzufügt. Anschließend werden die entsprechenden PWA-Websites für Intranet- und Extranetbenutzer erstellt, wobei beide Benutzergruppen auf die gleichen Inhalte zugreifen. Diese Benutzer können jetzt auf Office Project Server 2007 zugreifen und werden über das von der ADAM-Instanz erstellte Verzeichnis authentifiziert.

  • Ein Unternehmen möchte Active Directory in seinem Netzwerkbetriebssystem (Network Operating System, NOS) nur für die NOS-Authentifizierung und -Autorisierung verwenden. Das Unternehmen möchte den zusätzlichen Aufwand für die Wartung von Active Directory für die Anwendungsauthentifizierung vermeiden. Mithilfe von ADAM wird ein separates Verzeichnis für Benutzer, die auf Office Project Server 2007 zugreifen, erstellt.

  • Weitere Informationen zu ADAM finden Sie in Schrittweise Anleitung für ADAM (https://go.microsoft.com/fwlink/?linkid=92703\&clcid=0x407).

Herunterladen und Installieren von ADAM

Sie können ADAM vom Microsoft Download Center herunterladen. Die Anwendung ist auch als Bestandteil von Microsoft Windows Server 2003 R2 verfügbar und kann über den Manager für optionale Komponenten installiert werden.

Im folgenden Verfahren wird das Herunterladen und Installieren von ADAM auf dem Computer beschrieben. Überprüfen Sie die Systemanforderungen auf der unten genannten ADAM-Downloadseite.

Herunterladen und Installieren von ADAM

  1. Gehen Sie in einem Webbrowser zur ADAM-Downloadseite (https://go.microsoft.com/fwlink/?linkid=92704\&clcid=0x407).

  2. Suchen Sie die Datei ADAMSP1_x86_GER.exe, und klicken Sie auf Download.

  3. Klicken Sie auf der Seite Dateidownload - Sicherheitswarnung auf Ausführen.

  4. Klicken Sie auf der ersten Seite des Assistenten zum Installieren von Softwareupdates auf Weiter.

  5. Wählen Sie auf der Seite Lizenzvertrag die Option Ich stimme zu aus, und klicken Sie auf Weiter.

  6. Klicken Sie nach Abschluss der Installation auf Fertig stellen.

Erstellen einer neuen Instanz von ADAM

Nach dem Installieren von ADAM auf dem Computer können Sie eine neue Instanz von ADAM konfigurieren, um die Verzeichnisstruktur zu erstellen. Mit dem folgenden Verfahren können Sie die Ports für den Zugriff auf das Verzeichnis auswählen, eine Anwendungsverzeichnispartition erstellen und LDIF-Dateien importieren, um eine Vorlage für Active Directory bereitzustellen.

Erstellen einer neuen Instanz von ADAM

  1. Klicken Sie im Startmenü auf Alle Programme, und klicken Sie in der Programmgruppe ADAM auf ADAM-Instanz erstellen.

  2. Klicken Sie auf der Willkommensseite auf Weiter.

  3. Wählen Sie auf der Seite Setupoptionen die Option Eine eindeutige Instanz installieren aus. Klicken Sie auf Weiter.

  4. Geben Sie auf der Seite Instanzname in das Feld Instanzname einen eindeutigen Namen für die Instanz ein. Der Dienstname entspricht dem eingegebenen Namen, wobei am Anfang des Namens "ADAM_" eingefügt wird. Wenn Sie beispielsweise "Instanz1" eingegeben haben, lautet der Dienstname "ADAM_Instanz1."

  5. Klicken Sie auf Weiter.

  6. Geben Sie auf der Seite Ports in das Feld LDAP-Portnummer eine verfügbare Portnummer ein (beispielsweise 50000). Geben Sie in das Feld SSL-Portnummer eine andere verfügbare Portnummer ein (beispielsweise 50001). Klicken Sie auf Weiter. Wenn Sie keine Portnummern eingeben, werden die Standardports für LDAP und SSL ausgewählt.

  7. Wählen Sie auf der Seite Anwendungsverzeichnispartition die Option Ja, eine Anwendungsverzeichnispartition erstellen aus.

  8. Beim Erstellen einer neuen Anwendungsverzeichnispartition während der Installation müssen Sie einen eindeutigen Distinguished Name für die Partition angeben. ADAM unterstützt Namen im DNS- und im X.500-Format für Verzeichnispartitionen der höchsten Ebene, einschließlich der Distinguished Name-Komponenten in der folgenden Tabelle:

    Attribut Beschreibung

    C=

    Land/Region

    CN=

    Allgemeiner Name

    DC=

    Domänenkomponente

    L=

    Speicherort

    O=

    Organisation

    OU=

    Organisationseinheit

    Geben Sie in das Feld Partitionsname den Distinguished Name ein, den Sie für diese Anwendungsverzeichnispartition verwenden möchten. Trennen Sie die einzelnen Komponenten durch Kommas. Beispiel: OU=Contoso,O=Marketing,C=US.

  9. Geben Sie auf der Seite Speicherort einen Speicherort für die ADAM-Daten und Datenwiederherstellungsdateien ein. Sie können die Standardspeicherorte in den Feldern Datendatei und Datenwiederherstellungsdateien verwenden. Klicken Sie auf Weiter.

  10. Geben Sie auf der Seite Dienstkontoauswahl das Konto ein, unter dem diese Instanz von ADAM ausgeführt werden soll. Sie können das Netzwerkdienstkonto für den Server verwenden oder ein Benutzerkonto zum Ausführen des Diensts angeben. Klicken Sie auf Weiter.

  11. Weisen Sie auf der Seite für die ADAM-Verwaltung die Benutzer oder Gruppen zu, die über Administratorberechtigungen für diese Instanz von ADAM verfügen sollen. Sie können Zurzeit angemeldeter Benutzer auswählen, um dieses Benutzerkonto anzugeben, oder Sie können Dieses Konto auswählen und einen lokalen Benutzer oder eine lokale Gruppe bzw. einen Domänenbenutzer oder eine Domänengruppe angeben. Klicken Sie auf Weiter.

  12. Geben Sie auf der Seite zum Importieren von LDIF-Dateien eine Auswahl von LDIF-Dateien (LDAP Data Interchange-Format) an. Diese Dateien enthalten verschiedene Benutzerklassen-Schemadefinitionen sowie Objekte zur Verwendung mit dem Windows-Autorisierungs-Manager, die in das Schema der neuen ADAM-Instanz importiert werden können.

    In der folgenden Tabelle werden die einzelnen optionalen LDIF-Dateien beschrieben, die Sie importieren können:

    LDIF-Datei Benutzerklassen Importieren Sie diese Datei im folgenden Fall:

    MS-Users.LDF

    • Person

    • Organizational-Person

    • User

    Sie möchten Benutzerobjekte im ADAM-Verzeichnis erstellen, aber Sie möchten nicht Benutzer der InetOrgPerson-Klasse (gemäß der Definition in RFC 2798) erstellen.

    MS-InetOrgPerson.LDF

    • Person

    • Organizational-Person

    • Users

    • InetOrgPerson

    Sie möchten Benutzerobjekte im ADAM-Verzeichnis erstellen, und Sie möchten Benutzer der InetOrgPerson-Klasse (gemäß der Definition in RFC 2798) erstellen.

    MS-UserProxy.LDF

    • User-Proxy

    Sie möchten in ADAM Proxyobjekte für die Verwendung in Bindungsumleitungen erstellen.

    MS-ASMan.LDF

    Nicht zutreffend

    Sie möchten den Autorisierungs-Manager mit ADAM verwenden.

  13. Wählen Sie Die ausgewählten LDIF-Dateien für diese ADAM-Instanz importieren aus, wählen Sie in der Liste Verfügbare Dateien die LDIF-Datei aus, und klicken Sie auf Hinzufügen, um die Datei in die Liste Ausgewählte LDIF-Dateien zu verschieben. Wenn Sie keine LDIF-Datei als Vorlage verwenden möchten, klicken Sie auf Keine LDIF-Dateien für diese ADAM-Instanz importieren. Klicken Sie auf Weiter.

    Tipp

    Sie können die LDIF-Dateien später mithilfe des Befehlszeilentools LDIFDE (LDIF Directory Exchange) importieren.

  14. Überprüfen Sie auf der Seite Installationsbereit die Auswahl, und klicken Sie dann auf Weiter, um die Installation der Instanz zu starten.

  15. Klicken Sie nach Abschluss der Installation der Instanz auf Fertig stellen.

Konfigurieren der ADAM-Instanz

Sie können das Tool ADAM-ADSI-Editor zum Konfigurieren der Instanz von ADAM verwenden. Der ADAM-ADSI-Editor wird mit ADAM installiert und kann über die Programmgruppe ADAM geöffnet werden.

Konfigurieren einer ADAM-Instanz

  1. Klicken Sie im Startmenü auf Alle Programme, und klicken Sie in der Programmgruppe ADAM auf ADAM-ADSI-Editor.

  2. Wählen Sie im ADAM-ADSI-Editor im Menü Aktion die Option Verbinden mit aus.

  3. Geben Sie auf der Seite Verbindungseinstellungen in das Feld Verbindungsname einen eindeutigen Namen ein.

  4. Geben Sie in das Feld Port die Portnummer ein, die Sie beim Erstellen der LDAP-Instanz für den LDAP-Port angegeben haben.

  5. Wählen Sie im Abschnitt Verbindung mit folgendem Knoten herstellen die Option Definierter Name (DN) oder Namenskontext aus. Geben Sie in das Feld den Partitionsnamen ein, den Sie beim Erstellen der LDAP-Instanz eingegeben haben. Beispiel: OU=Contoso,o=Marketing,C=US.

  6. Wählen Sie im Abschnitt Verbindung mit folgenden Anmeldeinformationen herstellen die Option Konto des zurzeit angemeldeten Benutzers aus, wenn der aktuelle Benutzer Administrator der ADAM-Instanz ist. Wählen Sie Dieses Konto aus, wenn Sie ein anderes Konto angeben möchten. Klicken Sie auf OK.

Gewähren des Zugriffs auf das Verzeichnis für den Farmadministrator

Stellen Sie sicher, dass das Konto des Farmadministrators für Windows SharePoint Services über Zugriff auf das Verzeichnis verfügt. Das folgende Verfahren kann verwendet werden, um dem Benutzerkonto Zugriff zu gewähren, indem es der Readers-Rolle hinzugefügt wird.

Hinzufügen eines Kontos für den Zugriff auf das Verzeichnis

  1. Im ADAM-ADSI-Editor sollte die ADAM-Instanz im linken Bereich angezeigt werden. Erweitern Sie den Instanznamen, und erweitern Sie dann den Namenskontext, damit die anderen erstellten Container angezeigt werden.

  2. Klicken Sie im linken Bereich auf CN=Roles. Klicken Sie im rechten Bereich auf CN=Readers, und klicken Sie auf Eigenschaften. Wählen Sie auf der Eigenschaftenseite von CN=Readers in der Attributliste den Eintrag Mitglied aus, und klicken Sie dann auf Bearbeiten.

  3. Klicken Sie auf der Seite Editor für mehrwertige definierte Namen mit Sicherheitsprinzipal auf Windows-Konto hinzufügen.

  4. Geben Sie auf der Seite Benutzer, Computer oder Gruppen auswählen den Namen des hinzuzufügenden Windows-Kontos ein, und klicken Sie dann auf OK.

  5. Klicken Sie auf der Eigenschaftenseite auf OK.

Hinzufügen von Benutzern zum Verzeichnis

Jetzt können Sie mit dem folgenden Verfahren Benutzer zum Verzeichnis hinzufügen. Außerdem können Sie innerhalb des Verzeichnisses Container für die Benutzer erstellen. Sie können beispielsweise separate Container für Supportbenutzer und Marketingbenutzer erstellen. Mit dem folgenden Verfahren wird ein einziger Container für alle Benutzer erstellt.

Hinzufügen von Benutzern zum Verzeichnis

  1. Klicken Sie im linken Bereich mit der rechten Maustaste auf den Namenskontext, klicken Sie auf Weiter, und klicken Sie dann auf Objekt. Wählen Sie auf der Seite Objekt erstellen in der Liste Wählen Sie eine Klasse aus den Eintrag Container aus. Klicken Sie auf Weiter.

  2. Geben Sie auf der Seite Objekt erstellen in das Feld Wert den eindeutigen Namen für den Container ein, dem Sie die Benutzer hinzufügen möchten (beispielsweise Benutzer oder Support). Klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.

  3. Klicken Sie im linken Bereich mit der rechten Maustaste auf das gerade erstellte Benutzercontainerobjekt, klicken Sie auf Neu, und klicken Sie dann auf Objekt.

  4. Wählen Sie auf der Seite Objekt erstellen in der Liste Klasse auswählen den Eintrag Benutzer aus. Klicken Sie auf Weiter

  5. Geben Sie auf der Seite zum Hinzufügen eines Benutzernamens in das Feld Wert den Namen des Benutzers ein. Klicken Sie auf Weiter

  6. Klicken Sie auf der Seite, auf der Sie Attribute für den Benutzer festlegen können, auf Fertig stellen.

  7. Klicken Sie im ADAM-ADSI-Editor im rechten Fensterbereich mit der rechten Maustaste auf den neuen Benutzer, und klicken Sie auf Kennwort zurücksetzen.

  8. Geben Sie auf der Seite Kennwort zurücksetzen das neue Kennwort in das Feld Neues Kennwort ein. Geben Sie das Kennwort in das Feld Kennwort bestätigen erneut ein. Klicken Sie auf OK.

    Tipp

    Wenn Sie ein neues Kennwort für einen Benutzer eingeben, werden auf dem Server vorhandene Kennwortrichtlinien von ADAM erzwungen.

  9. Fügen Sie dem Benutzercontainerobjekt nach Bedarf weitere Benutzer hinzu, indem Sie die Schritte 3 bis 8 wiederholen.

Siehe auch

Weitere Ressourcen

Was ist Active Directory-Anwendungsmodus? (https://go.microsoft.com/fwlink/?linkid=92963&clcid=0x407) (in englischer Sprache)