(0) exportieren Drucken
Alle erweitern

Konfigurieren der Filterung für die Verzeichnissynchronisierung

Veröffentlicht: September 2012

Letzte Aktualisierung: November 2014

Betrifft: Azure, Office 365, Windows Intune

Sie können die Filterung der Active Directory-Synchronisierung in Azure Active Directory jederzeit aktivieren. Wenn Sie die Standardkonfigurationen der Verzeichnissynchronisierung bereits ausgeführt und dann die Filterung konfiguriert haben, werden die herausgefilterten Objekte nicht mehr mit der Cloud synchronisiert. Folglich werden alle Objekte in der Cloud, die zuvor synchronisiert, dann jedoch aus der Synchronisierung herausgefiltert wurden, von der Verzeichnissynchronisierung gelöscht.
Sie können Objekte, die aufgrund eines Filterungsfehlers unbeabsichtigt gelöscht wurden, in der Cloud neu erstellen, indem Sie Ihre Filterkonfigurationen entfernen und die Verzeichnisse dann erneut synchronisieren.

ImportantWichtig
Die Modifikation oder Nutzung des Verzeichnissynchronisierungstools für andere als die offiziell dokumentierten Vorgänge wird von Microsoft nicht unterstützt. Die im weiteren Verlauf dieses Artikels beschriebenen Vorgänge werden unterstützt. 

Folgende Vorgänge werden nicht unterstützt:

  • Öffnen des zugrunde liegenden FIM-Synchronisierungsmoduls, um die Connectorkonfiguration zu ändern

  • Die manuelle Steuerung der Häufigkeit und/oder Sortierung der Ausführungsprofile für die Synchronisierung oder die Änderung der mit der Cloud synchronisierten Attribute. 

Durch all diese Vorgänge kann das Verzeichnissynchronisierungstool in einen inkonsistenten oder nicht unterstützten Zustand versetzt werden. Folglich kann Microsoft keinen technischen Support leisten, wenn das Tool auf diese Weise bereitgestellt/genutzt wird.

Die Filterkonfigurationen, die auf die Verzeichnissynchronisierungsinstanz angewendet werden, werden beim Installieren oder Aktualisieren auf eine neuere Version nicht gespeichert. Nach dem Upgrade auf eine neuere Version der Verzeichnissynchronisierung müssen Sie die Filterkonfigurationen erneut anwenden, bevor Sie den ersten Synchronisierungszyklus ausführen.

noteHinweis
In diesem Artikel wird der Begriff SourceAD als Name für den Verwaltungs-Agent des Active Directory-Domänendiensts verwendet.
Der Name dieses Verwaltungs-Agents kann abhängig von der in Ihrer Umgebung installierten Version des Verzeichnissynchronisierungstools auch Active Directory Connector lauten.

Die folgenden drei Filterkonfigurationstypen können auf das Verzeichnissynchronisierungstool angewendet werden:

  • Auf Basis von Organisationseinheiten (OE): Mit diesem Filtertyp können Sie die Eigenschaften des SourceAD-Verwaltungs-Agents im Verzeichnissynchronisierungstool verwalten. Mithilfe des Filtertyps können Sie auswählen, welchen Organisationseinheiten das Synchronisieren mit der Cloud gestattet wird.

  • Domänenbasiert: Mit diesem Filtertyp können Sie die Eigenschaften des SourceAD-Verwaltungs-Agents im Verzeichnissynchronisierungstool verwalten. Mithilfe des Typs können Sie auswählen, welchen Domänen das Synchronisieren mit der Cloud gestattet wird.

  • Auf Basis von Benutzerattributen: Mit dieser Filtermethode können Sie attributbasierte Filter für Benutzerobjekte angeben. So können Sie steuern, welche Objekte nicht mit der Cloud synchronisiert werden sollen.

  1. Melden Sie sich auf dem Computer, auf dem die Verzeichnissynchronisierung ausgeführt wird, mit einem Konto an, das Mitglied der lokalen Sicherheitsgruppe "MIISAdmins" ist.

  2. Öffnen Sie den Identitäts-Manager, indem Sie auf die Datei miisclient.exe doppelklicken, die sich im folgenden Ordner befindet:

    • %ProgramFiles%\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell

  3. Klicken Sie im Identitäts-Manager auf Verwaltungs-Agents, und doppelklicken Sie dann auf Active Directory Connector.

  4. Klicken Sie auf Verzeichnispartitionen konfigurieren und dann auf Container.

  5. Geben Sie Ihre Domänenanmeldeinformationen für die lokale Active Directory-Gesamtstruktur ein, sobald Sie dazu aufgefordert werden.

    noteHinweis
    Nach dem Öffnen des Anmeldeinformationsdialogfelds wird das Konto "MSOL_AD_Sync" angezeigt. Für das Konto wird ein zufällig generiertes Kennwort verwendet, das Administratoren nicht bekannt ist. Beim Ausführen dieses Filtervorgangs sollten Sie ein Konto mit Zugriff auf die Active Directory-Gesamtstruktur eingeben. Es muss sich um ein Enterprise-Administratorkonto handeln. Mit dem Enterprise-Administratorkonto kann die ganze Gesamtstruktur angezeigt und die Filterung in jeder Domäne der Gesamtstruktur ausgeführt werden. Durch die Verwendung eines Domänenadministratorkontos wird der Anzeigebereich des Verzeichnissynchronisierungstools eingeschränkt und die Erweiterung des Filters auf andere Domänen möglicherweise verhindert.

  6. Deaktivieren Sie im Dialogfeld Container auswählen die Organisationseinheiten, die nicht mit dem Cloudverzeichnis synchronisiert werden sollen, und klicken Sie dann auf OK. Klicken Sie auf der Seite Eigenschaften von SourceAD auf OK.

  7. Führen Sie eine vollständige Synchronisierung aus: Klicken Sie auf der Registerkarte Verwaltungs-Agent mit der rechten Maustaste auf Active Directory Connector, klicken Sie auf Ausführen, auf Vollständiger Import, vollständige Synchronisierung und dann auf OK.

  1. Melden Sie sich auf dem Computer, auf dem die Verzeichnissynchronisierung ausgeführt wird, mit einem Konto an, das Mitglied der lokalen Sicherheitsgruppe "MIISAdmins" ist.

  2. Öffnen Sie den Identitäts-Manager, indem Sie auf die Datei miisclient.exe doppelklicken, die sich im folgenden Ordner befindet:

    • %ProgramFiles%\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell

  3. Klicken Sie im Identitäts-Manager auf Verwaltungs-Agents, und doppelklicken Sie dann auf Active Directory Connector.

  4. Klicken Sie auf Verzeichnispartitionen konfigurieren, und wählen Sie dann die Domänen aus, die Sie synchronisieren möchten. Deaktivieren Sie das Kontrollkästchen einer Domäne, wenn die Domäne aus dem Synchronisierungsprozess herausgefiltert werden soll.

  5. Klicken Sie auf OK.

  6. Wenn Sie eine Domäne aus dem Bereich von Active Directory Connector entfernt haben, müssen Sie die Ausführungsprofile aktivieren:

    1. Klicken Sie mit der rechten Maustaste auf Active Directory Connector, und wählen Sie dann Ausführungsprofile konfigurieren aus.

    2. Wählen Sie aus den Schrittdetails Vollständiger Import des Ausführungsprofils den Schritt für die Domäne aus, deren Auswahl Sie soeben aufgehoben haben, und klicken Sie dann auf Schritt löschen.

    3. Klicken Sie auf OK.

      noteHinweis
      Wenn Sie eine Domäne hinzufügen, müssen Sie einen Ausführungsprofilschritt für die Domäne hinzufügen.

  7. Führen Sie eine vollständige Synchronisierung aus: Klicken Sie auf der Registerkarte Verwaltungs-Agent mit der rechten Maustaste auf Active Directory Connector. Klicken Sie auf Ausführen, auf Vollständiger Import, vollständige Synchronisierung und dann auf OK.

Die Filterung auf Basis von Benutzerattributen kann nur auf Benutzerobjekte angewendet werden. Für Kontakte und Gruppen werden komplexe Filterregeln verwendet, die über den Rahmen dieses Artikels hinausgehen.
Zum Herausfiltern bestimmter Benutzer ist es erforderlich, dass Sie die Benutzerobjekte in Ihrer lokalen Organisation aktualisieren, die nicht mit der Cloud synchronisiert werden sollen. Sie können auf Grundlage beliebiger Benutzerobjektattribute filtern.
Beispielsweise können Sie für jeden Benutzer in Ihrer lokalen Organisation, der nicht mit der Cloud synchronisiert werden soll, dem Benutzerattribut extensionAttribute15 die Zeichenfolge NoSync hinzufügen. In diesem Beispiel erstellen Sie nach der Konfiguration des lokalen Benutzers im Identitäts-Manager eine Filterregel, um die NoSync-Benutzer aus dem Synchronisierungsprozess auszuschließen.
Im folgenden Verfahren wird die Konfiguration der Benutzerfilterung mithilfe der Zeichenfolge NoSync in extensionAttrtibute15 beschrieben.

  1. Wählen Sie in Active Directory-Benutzer und -Computer im Menü Ansicht die Option Erweiterte Funktionen aus, und öffnen Sie die Eigenschaftenseite des Benutzers.

  2. Legen Sie auf der Registerkarte Attribut-Editor das Attribut extensionAttribute15 auf NoSync fest.

  1. Melden Sie sich auf dem Computer, auf dem die Verzeichnissynchronisierung ausgeführt wird, mit einem Konto an, das Mitglied der lokalen Sicherheitsgruppe "MIISAdmins" ist.

  2. Öffnen Sie den Identitäts-Manager, indem Sie auf die Datei miisclient.exe doppelklicken, die sich im folgenden Ordner befindet:

    • %ProgramFiles%\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell

  3. Klicken Sie im Identitäts-Manager auf Verwaltungs-Agents, und doppelklicken Sie dann auf Active Directory Connector.

  4. Klicken Sie auf Connector-Filter konfigurieren, und verfahren Sie dann wie folgt:

    1. Wählen Sie im Raster Objekttyp der Datenquelle die Option Benutzer aus, und klicken Sie auf Neu.

    2. Wählen Sie unter Nach Benutzer filtern für das Attribut Datenquelle den Wert extensionAttribute15 aus. Wählen Sie für Operator den Wert Ist gleich aus, und geben Sie dann im Feld Wert den Wert NoSync ein.

    3. Klicken Sie auf Bedingung hinzufügen und dann auf OK.

  5. Klicken Sie auf der Eigenschaftenseite von SourceAD auf OK.

  6. Führen Sie eine vollständige Synchronisierung aus: Klicken Sie auf der Registerkarte Verwaltungs-Agent mit der rechten Maustaste auf Active Directory Connector, klicken Sie auf Ausführen, auf Vollständiger Import, vollständige Synchronisierung und dann auf OK.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft