Microsoft TechNet
Deutschland (Deutsch) Anmelden
Home Lernen Library Downloads Support Events & Media Community Foren Blogs
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Konfigurieren der Filterung für die Verzeichnissynchronisierung

Veröffentlicht: September 2012

Letzte Aktualisierung: Februar 2013

Betrifft: Office 365, Windows Azure Active Directory, Windows Intune

noteHinweis
Dieses Thema enthält Onlinehilfe für mehrere Microsoft-Clouddienste, einschließlich Windows Intune und Office 365.

Sie können die Active Directory-Synchronisierungsfilterung in Windows Azure Active Directory jederzeit aktivieren. Die herausgefilterten Objekte werden nicht mehr mit der Cloud synchronisiert, wenn Sie die Standardkonfigurationen der Verzeichnissynchronisierung bereits ausgeführt und dann die Filterung konfiguriert haben. Dies führt dazu, dass alle Objekte in der Cloud, die zuvor synchronisiert wurden, dann jedoch aus der Synchronisierung gefiltert wurden, vom Verzeichnissynchronisierungsprozess gelöscht werden.
Sie können Objekte, die aufgrund eines Filterungsfehlers unbeabsichtigt gelöscht wurden, in der Cloud neu erstellen, indem Sie Ihre Filterkonfiguration entfernen und Ihre Verzeichnisse dann erneut synchronisieren.

ImportantWichtig
Die Filterkonfigurationen, die auf Ihre Verzeichnissynchronisierungsinstanz angewendet werden, werden beim Installieren bzw. Upgrade auf eine neuere Version nicht gespeichert. Nach dem Upgrade auf eine neuere Version der Verzeichnissynchronisierung müssen Sie die Filterkonfigurationen erneut anwenden, bevor Sie den ersten Synchronisierungszyklus ausführen.

Filteroptionen

Die folgenden drei Filterkonfigurationstypen können auf das Verzeichnissynchronisierungstool angewendet werden:

  • Auf Basis von Organisationseinheiten (OE): Diesen Filtertyp können Sie zum Verwalten der Eigenschaften des SourceAD-Verwaltungs-Agents im Verzeichnissynchronisierungstool verwenden. Mit diesem Filtertyp können Sie auswählen, welchen Organisationseinheiten das Synchronisieren mit der Cloud gestattet wird.

  • Domänenbasiert: Diesen Filtertyp können Sie zum Verwalten der Eigenschaften des SourceAD-Verwaltungs-Agents im Verzeichnissynchronisierungstool verwenden. Mit diesem Filtertyp können Sie auswählen, welchen Domänen das Synchronisieren mit der Cloud gestattet wird.

  • Auf Basis von Benutzerattributen: Mit dieser Filtermethode können Sie attributbasierte Filter für Benutzerobjekte angeben. So können Sie steuern, welche Objekte nicht mit der Cloud synchronisiert werden sollen.

Einrichten der Filterung auf Basis von Organisationseinheiten

  1. Melden Sie sich auf dem Computer, auf dem die Verzeichnissynchronisierung ausgeführt wird, mit einem Konto an, das Mitglied der lokalen Sicherheitsgruppe „MIISAdmins“ ist.

  2. Öffnen Sie den Identitäts-Manager mit einem Doppelklick auf die Datei „miisclient.exe“. Deren Speicherort hängt von Ihrer Version des Verzeichnissynchronisierungstools ab:

    1. 32-Bit: Programme\Microsoft Online Directory Sync\SYNCBUS\UIShell

    2. 64-Bit: Programme\Microsoft Online Directory Sync\SYNCBUS\Synchronization Service\UIShell

  3. Klicken Sie im Identitäts-Manager auf Verwaltungs-Agents, und doppelklicken Sie dann auf SourceAD.

  4. Klicken Sie auf Verzeichnispartitionen konfigurieren und dann auf Container.

  5. Geben Sie bei entsprechender Aufforderung Ihre Domänenanmeldeinformationen für die lokale Active Directory-Gesamtstruktur ein.

    noteHinweis
    Mit dem Anmeldeinformationsdialogfeld wird das Konto „MSOL_AD_Sync“ angezeigt. Von diesem Konto wird ein zufällig generiertes Kennwort verwendet. Das Kennwort ist Administratoren also nicht bekannt. Beim Ausführen dieses Filtervorgangs müssen Sie ein Konto mit Zugriff auf die Active Directory-Gesamtstruktur eingeben. Es muss sich um ein Enterprise-Administratorkonto handeln. Mit dem Enterprise-Administratorkonto kann die ganze Gesamtstruktur angezeigt werden, und die Filterung kann in jeder Domäne der Gesamtstruktur ausgeführt werden. Durch das Verwenden eines Domänenadministratorkontos wird der Anzeigebereich des Verzeichnissynchronisierungstools eingeschränkt, und ein Erweitern des Filters auf andere Domänen kann möglicherweise nicht ausgeführt werden.

  6. Entfernen Sie im Dialogfeld Container auswählen die Organisationseinheiten, die nicht mit dem Cloudverzeichnis synchronisiert werden sollen, und klicken Sie dann auf OK. Klicken Sie auf der Seite Eigenschaften von SourceAD auf OK.

  7. Führen Sie eine vollständige Synchronisierung aus: Klicken Sie auf der Registerkarte Verwaltungs-Agent mit der rechten Maustaste auf SourceAD. Klicken Sie auf Ausführen, auf Vollständiger Import, vollständige Synchronisierung und dann auf OK.

Einrichten der domänenbasierten Filterung

  1. Melden Sie sich auf dem Computer, auf dem die Verzeichnissynchronisierung ausgeführt wird, mit einem Konto an, das Mitglied der lokalen Sicherheitsgruppe „MIISAdmins“ ist.

  2. Öffnen Sie den Identitäts-Manager mit einem Doppelklick auf die Datei „miisclient.exe“. Deren Speicherort hängt von Ihrer Version des Verzeichnissynchronisierungstools ab:

    1. 32-Bit: Programme\Microsoft Online Directory Sync\SYNCBUS\UIShell

    2. 64-Bit: Programme\Microsoft Online Directory Sync\SYNCBUS\Synchronization Service\UIShell

  3. Klicken Sie im Identitäts-Manager auf Verwaltungs-Agents, und doppelklicken Sie dann auf SourceAD.

  4. Klicken Sie auf Verzeichnispartitionen konfigurieren, und wählen Sie die Domänen aus, die synchronisiert werden sollen. Deaktivieren Sie das Kontrollkästchen einer Domäne, wenn die Domäne aus dem Synchronisierungsprozess herausgefiltert werden soll.

  5. Klicken Sie auf OK.

  6. Führen Sie eine vollständige Synchronisierung aus: Klicken Sie auf der Registerkarte Verwaltungs-Agent mit der rechten Maustaste auf SourceAD. Klicken Sie auf Ausführen, auf Vollständiger Import, vollständige Synchronisierung und dann auf OK.

Einrichten der Filterung auf Basis von Benutzerattributen

Die Filterung auf Basis von Benutzerattributen kann nur auf Benutzerobjekte angewendet werden. Von Kontakten und Gruppen werden komplexe Filterregeln außerhalb des Rahmens dieses Artikels verwendet.
Für das Herausfiltern bestimmter Benutzer ist es erforderlich, dass Sie die Benutzerobjekte in Ihrer lokalen Organisation aktualisieren, welche nicht mit der Cloud synchronisiert werden sollen. Sie können auf Basis aller Benutzerobjektattribute filtern.
Beispielsweise können Sie für jeden Benutzer in Ihrer lokalen Organisation, der nicht mit der Cloud synchronisiert werden soll, die Zeichenfolge „NoSync“ zum Benutzerattribut extensionAttribute15 hinzufügen. In diesem Beispiel erstellen Sie nach der Konfiguration des lokalen Benutzers eine Filterregel im Identitäts-Manager, um die „NoSync“-Benutzer vom Synchronisierungsprozess auszuschließen.
Im folgenden Verfahren wird die Konfiguration der Benutzerfilterung mithilfe der Zeichenfolge „NoSync“ in extensionAttrtibute15 beschrieben.

Schritt 1: Konfigurieren des lokalen Benutzerobjekts

  1. Klicken Sie unter Active Directory-Benutzer und -Computer im Menü Ansicht auf Erweiterte Funktionen, und öffnen Sie die Eigenschaftenseite für diesen Benutzer.

  2. Legen Sie auf der Registerkarte Attribut-Editor das Attribut extensionAttribute15 auf NoSync fest.

Schritt 2: Konfigurieren der Filterung auf dem SourceAD-Verwaltungs-Agent

  1. Melden Sie sich auf dem Computer, auf dem die Verzeichnissynchronisierung ausgeführt wird, mit einem Konto an, das Mitglied der lokalen Sicherheitsgruppe „MIISAdmins“ ist.

  2. Öffnen Sie den Identitäts-Manager mit einem Doppelklick auf die Datei „miisclient.exe“. Deren Speicherort hängt von Ihrer Version des Verzeichnissynchronisierungstools ab: 64-Bit: Programme\Microsoft Online Directory Sync\SYNCBUS\Synchronization Service\UIShell

    1. 32-Bit: Programme\Microsoft Online Directory Sync\SYNCBUS\UIShell

    2. 64-Bit: Programme\Microsoft Online Directory Sync\SYNCBUS\Synchronization Service\UIShell

  3. Klicken Sie im Identitäts-Manager auf Verwaltungs-Agents, und doppelklicken Sie dann auf SourceAD.

  4. Klicken Sie auf Connector-Filter konfigurieren, und führen Sie dann folgende Aktionen aus:

    1. Wählen Sie im Raster Objekttyp der Datenquelle die Option Benutzer aus, und klicken Sie dann auf Neu.

    2. Wählen Sie unter Nach Benutzer filtern beim Attribut Datenquelle den Wert extensionAttribute15 aus. Wählen Sie für Operator den Wert Equals aus, und geben Sie dann in das Feld Wert den Wert NoSync ein.

    3. Klicken Sie auf Bedingung hinzufügen und dann auf OK.

  5. Klicken Sie auf der Eigenschaftenseite von SourceAD auf OK.

  6. Führen Sie eine vollständige Synchronisierung aus: Klicken Sie auf der Registerkarte Verwaltungs-Agent mit der rechten Maustaste auf SourceAD. Klicken Sie auf Ausführen, auf Vollständiger Import, vollständige Synchronisierung und dann auf OK.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Informationen zur Datensicherheit
© 2013 Microsoft
|
Feedback zur Website
© 2013 Microsoft. Alle Rechte vorbehalten.