Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a témakör a Microsoft Identity Manager 2016 (MIM) üzembe helyezésének és üzemeltetésének ajánlott eljárásait ismerteti
SQL-beállítás
Megjegyzés
Az SQL-t futtató kiszolgáló beállítására vonatkozó alábbi javaslatok feltételezik a FIMService számára dedikált SQL-példányt és a FIMSynchronizationService-adatbázishoz dedikált SQL-példányt. Ha összevont környezetben futtatja a FIMService szolgáltatást, a konfigurációnak megfelelő módosításokat kell végrehajtania.
A strukturált lekérdezési nyelv (SQL) kiszolgáló konfigurálása kritikus fontosságú a rendszer optimális teljesítménye szempontjából. A mim optimális teljesítményének elérése nagy léptékű implementációkban az SQL-t futtató kiszolgálók ajánlott eljárásainak alkalmazásától függ. További információkért tekintse meg az SQL ajánlott eljárásaival kapcsolatos alábbi témaköröket:
Tempdb-teljesítmény optimalizálása
Adatok és naplófájlok előzetes telepítése
Ne támaszkodja az automatikus műveletet. Ehelyett manuálisan kezelheti ezeknek a fájloknak a növekedését. Biztonsági okokból hagyhatja az automatikus használatot, de proaktív módon kell kezelnie az adatfájlok növekedését. A MIM-adatbázis mintaméreteit a FIM kapacitástervezési útmutatójának .
SQL-adatok és naplófájlok előzetes előkészítése
Indítsa el az SQL Server Management Studiót.
Lépjen a FIMService adatbázisra, kattintson a jobb gombbal a FIMService elemre, majd kattintson a Tulajdonságok parancsra.
A Fájlok lapon bontsa ki az adatbázisfájlokat a szükséges méretre.
Napló elkülönítése adatfájlokból
Kövesse az SQL Server ajánlott eljárásait az adatbázisok tranzakció- és adatnapló-fájljainak elkülönítéséhez a fizikai lemezek elkülönítéséhez.
További tempdb-fájlok létrehozása
Az optimális teljesítmény érdekében javasoljuk, hogy cpu-magonként egy adatfájlt hozzon létre a tempdb-fájlban.
További tempdb-fájlok létrehozása
Indítsa el az SQL Server Management Studiót.
Lépjen a System Databases adatbázis-tempdb elemére, kattintson a jobb gombbal a tempdb elemre, majd kattintson a Tulajdonságok parancsra.
A Fájlok lapon hozzon létre egy adatfájlt minden processzormaghoz. Mindenképpen különítse el a tempdb-adatokat és a naplófájlokat különböző meghajtókra és orsókra.
A naplófájlok megfelelő helyének biztosítása
Fontos tisztában lenni a helyreállítási modell lemezkövetelményeivel. Az egyszerű helyreállítási mód megfelelő lehet a kezdeti rendszerbetöltés során a lemezterület használatának korlátozásához, de a legutóbbi biztonsági mentés után létrehozott adatok adatvesztésnek vannak kitéve. Teljes helyreállítási mód használata esetén a lemezhasználatot olyan biztonsági másolatokkal kell kezelnie, amelyek a tranzakciónapló gyakori biztonsági mentéseit tartalmazzák a nagy lemezterület-használat elkerülése érdekében. További információ: helyreállítási modell áttekintése.
SQL Server-memória korlátozása
Attól függően, hogy mennyi memóriája van az SQL Serveren, és ha más szolgáltatásokkal (azaz a MIM 2016 Szolgáltatással és a MIM 2016 szinkronizálási szolgáltatással) osztja meg az SQL-kiszolgálót, érdemes lehet korlátozni az SQL memóriahasználatát. Ezt a korlátozást az alábbi lépésekkel állíthatja be.
Indítsa el az SQL Server Enterprise Managert.
Válassza az Új lekérdezés lehetőséget.
Hajtsa végre a következő lekérdezést:
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDEEz a példa újrakonfigurálja az SQL Servert, hogy legfeljebb 12 gigabájt (GB) memóriát használjon.
Ellenőrizze a beállítást a következő lekérdezéssel:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Biztonsági mentés és helyreállítás konfigurálása
Általában az adatbázis rendszergazdájával kell együttműködnie egy biztonsági mentési és helyreállítási stratégia kialakításához. Néhány javaslat a következőkre terjed ki:
- Adatbázis-biztonsági mentések végrehajtása a szervezet biztonsági mentési szabályzatának megfelelően.
- Ha a növekményes naplók biztonsági mentése nem tervezett, az adatbázist egyszerű helyreállítási módra kell állítani.
- A biztonsági mentési stratégia megvalósítása előtt győződjön meg arról, hogy tisztában van a különböző helyreállítási modellek következményeivel. Ismerje meg ezeknek a modelleknek a lemezterület-követelményeit. A teljes helyreállítási modell gyakori napló biztonsági mentését igényli a nagy lemezterület-használat elkerülése érdekében.
További információ: helyreállítási modell áttekintése és FIM 2010 biztonsági mentési és visszaállítási útmutató.
Biztonsági mentési rendszergazdai fiók létrehozása a FIM szolgáltatáshoz a telepítés után
A FIMService-rendszergazdák csoport tagjai egyedi engedélyekkel rendelkeznek, amelyek kritikus fontosságúak a MIM-telepítés működéséhez. Ha nem tud bejelentkezni a Rendszergazdák csoport részeként, az egyetlen megoldás a rendszer korábbi biztonsági mentésének visszaállítása. A helyzet enyhítése érdekében javasoljuk, hogy a telepítés utáni konfiguráció részeként vegyen fel más felhasználókat a FIM felügyeleti készletébe.
FIM szolgáltatás
A FIM service Exchange-postaláda konfigurálása
Az alábbi ajánlott eljárások a Microsoft Exchange Server mim 2016 szolgáltatásfiókhoz való konfigurálásához.
- Konfigurálja úgy a szolgáltatásfiókot, hogy csak belső e-mail címekről fogadhassa a leveleket. Pontosabban a szolgáltatásfiók postaládájának soha nem kell tudnia e-maileket fogadni külső SMTP-kiszolgálókról.
A szolgáltatásfiók konfigurálása
Az Exchange Felügyeleti konzolon válassza ki a FIM szolgáltatásfiókot.
Válassza a Tulajdonságok lehetőséget, válassza a Levelezési folyamat beállításai lehetőséget, majd válassza Levelezési korlátozások lehetőséget.
Jelölje be a Minden feladó hitelesítésének megkövetelése jelölőnégyzetet.
További információ: Üzenetkézbesítési korlátozások konfigurálása.
Konfigurálja úgy a szolgáltatásfiókot, hogy az elutasítsa az 1 MB-nál nagyobb méretű leveleket. Kövesse az ajánlott eljárásokat az üzenetméretkorlátok postaláda vagy Mail-Enabled nyilvános mappa konfigurálásához.
Konfigurálja úgy a szolgáltatásfiókot, hogy a postaláda tárolási kvótája 5 GB legyen. Az optimális eredmények érdekében kövesse a Storage-kvóták konfigurálása postaláda-című témakörben felsorolt ajánlott eljárásokat.
MIM-portál
SharePoint-indexelés letiltása
Javasoljuk, hogy tiltsa le a Microsoft Office SharePoint-indexelést®. Nincsenek olyan dokumentumok, amelyeket indexelni kell. Az indexelés számos hibanapló-bejegyzést és potenciális teljesítményproblémát okoz a MIM-ben. A SharePoint-indexelés letiltásához hajtsa végre az alábbi lépéseket:
A MIM 2016 portált futtató kiszolgálón kattintson a Start gombra.
Kattintson az Összes program elemre.
A Minden program listában kattintson a Felügyeleti eszközök elemre.
A Felügyeleti eszközök területen kattintson a Központi SharePoint-felügyelet elemre.
A Központi felügyelet lapon kattintson a Műveletek gombra.
Az Operatív lap Globális konfiguráció területén kattintson az Időzítőfeladat-definíciók elemre.
Az Időzítőfeladat-definíciók lapon kattintson a SharePoint Services keresési frissítésére.
Az Időzítő szerkesztése lapon kattintson a Letiltás gombra.
MIM 2016 – Kezdeti adatbetöltés
Ez a szakasz a külső rendszerről a MIM-re történő kezdeti adatbetöltés teljesítményének növeléséhez szükséges lépések sorozatát sorolja fel. Fontos tisztában lenni azzal, hogy ezek közül a lépések közül néhány csak a rendszer kezdeti sokasága alatt történik. A terhelés befejezésekor alaphelyzetbe kell állítani őket. Ezek a lépések egyszeri műveletre és nem folyamatos szinkronizálásra használhatók.
Fontos
Győződjön meg arról, hogy az útmutató SQL-beállítási szakaszában ismertetett ajánlott eljárásokat alkalmazta.
1. lépés: Az SQL Server konfigurálása a kezdeti adatbetöltéshez
Az adatok kezdeti betöltése hosszadalmas folyamat lehet. Amikor kezdetben sok adatot szeretne betölteni, lerövidítheti az adatbázis feltöltéséhez szükséges időt, ha ideiglenesen kikapcsolja a teljes szöveges keresést, és újra bekapcsolja azokat a MIM 2016 felügyeleti ügynök (FIM MA) exportálása után.
A teljes szöveges keresés ideiglenes kikapcsolása:
Indítsa el az SQL Server Management Studiót.
Válassza az Új lekérdezés lehetőséget.
Futtassa a következő SQL-utasításokat:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Fontos
Ezeknek az eljárásoknak a nem implementálása nagy lemezterület-használatot eredményezhet, ami azt eredményezheti, hogy elfogy a lemezterület. A témakör további részleteit a Helyreállítási modell áttekintésecímű témakörben találja. A FIM biztonsági mentési és visszaállítási útmutatója további információkat tartalmaz.
2. lépés: A minimálisan szükséges MIM-konfiguráció alkalmazása a betöltési folyamat során
A kezdeti betöltési folyamat során csak a fim-konfigurációhoz szükséges minimális konfigurációt kell alkalmaznia a felügyeleti házirend-szabályok (MPR-ek) esetében, és állítsa be a definíciókat. Az adatbetöltés befejezése után hozza létre az üzembe helyezéshez szükséges további készleteket. A műveleti munkafolyamatok Run-On Szabályzatfrissítési beállításával visszamenőlegesen alkalmazhatja ezeket a szabályzatokat a betöltött adatokra.
3. lépés: A FIM szolgáltatás konfigurálása és feltöltése külső identitásadatokkal
Ezen a ponton a Hogyan szinkronizálhatom a felhasználókat az Active Directory tartományi szolgáltatásokból a FIM-hez útmutatóban leírt eljárásokkal konfigurálhatja és szinkronizálhatja a rendszert az Active Directory felhasználóival. Ha szinkronizálnia kell a csoportadatokat, a folyamat eljárásait az Csoportok szinkronizálása az Active Directory Tartományi szolgáltatásokból a FIM útmutatóba ismerteti.
Szinkronizálási és exportálási sorozatok
A teljesítmény optimalizálásához futtasson egy exportálást egy szinkronizálási futtatás után, amely számos függőben lévő exportálási műveletet eredményez egy összekötőtérben. Ezután futtasson egy megerősítési importálási futtatást az érintett összekötőtérhez társított felügyeleti ügynökön. Ha például szinkronizálási futtatási profilokat kell futtatnia több felügyeleti ügynökön egy kezdeti adatbetöltés részeként, minden egyes szinkronizálás futtatása után futtatnia kell egy exportálást, majd egy változásimportálást. Az inicializálási ciklus részét képező összes forráskezelési ügynök esetében hajtsa végre a következő lépéseket:
Teljes importálás egy forráskezelési ügynökön.
Teljes szinkronizálás a forráskezelési ügynökön.
Exportálás az összes érintett célkezelő ügynökön szakaszos exportálási műveletekkel.
Változásimportálás az összes érintett célkezelő ügynökön szakaszos exportálási műveletekkel.
4. lépés: A teljes MIM-konfiguráció alkalmazása
A kezdeti adatbetöltés befejezése után a teljes MIM-konfigurációt kell alkalmaznia az üzembe helyezéshez.
A forgatókönyvtől függően ez a lépés további készletek, MPR-ek és munkafolyamatok létrehozását is magában foglalhatja. Minden olyan szabályzat esetében, amelyet visszamenőlegesen kell alkalmaznia a rendszer összes meglévő objektumára, a műveleti munkafolyamatok futtatási szabályzatfrissítési beállításával visszamenőlegesen alkalmazza ezeket a szabályzatokat a betöltött adatokra.
5. lépés: Az SQL újrakonfigurálását a korábbi beállításokhoz
Ne felejtse el módosítani az SQL-beállítást a normál beállításokra. Ezek a módosítások a következők:
A teljes szöveges keresés bekapcsolása
A biztonsági mentési szabályzat frissítése a szervezeti szabályzat szerint
Miután befejezte a kezdeti adatbetöltést, újra be kell kapcsolnia a teljes szöveges keresést. Futtassa a következő SQL-utasításokat a teljes szöveges keresés ismételt bekapcsolásához:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Ha egyszerű helyreállítási módra kell váltania, győződjön meg arról, hogy a szervezet biztonsági mentési szabályzatának megfelelően újrakonfigurálja a biztonsági mentés ütemezését. A FIM biztonsági mentési ütemezéseinek további részletei a FIM biztonsági mentési és visszaállítási útmutatójában.
Konfiguráció-áttelepítés
A megjelenítendő nevek módosításának elkerülése
Számos objektumtípus, például MPR esetén a syncproduction.ps1 szkript a megjelenítendő nevet használja egyetlen horgonyattribútumként két rendszer között. Következésképpen egy meglévő MPR megjelenítési nevének módosítása a meglévő MPR törlését eredményezi, amelyet egy új MPR létrehozása követ. Ez az eredmény azért fordul elő, mert az áttelepítési folyamat nem tud sikeresen csatlakozni azokhoz az MPR-ekhez, amelyek csatlakozási feltételei megváltoztak. A probléma elkerülése érdekében egy egyéni attribútumot az összes konfigurációs objektumtípushoz köthet, és ezt az attribútumot illesztésfeltételként használhatja. Ez a folyamat lehetővé teszi a megjelenítendő nevek módosítását az áttelepítési folyamat befolyásolása nélkül.
Kerülje a köztes fájlok tartalmának módosítását
Bár az alacsony szintű objektumok fájlformátuma és alkalmazásprogramozási felülete (API) nyilvános, és a fejlesztők támogatják a manipulációkat, nem javasoljuk, hogy a migrálás során módosítsa a köztes formátumok tartalmát. Szükség lehet azonban a teljes ImportObjects eltávolítására a changes.xml, vagy a pilot.xml keresési és csereműveleteinek végrehajtására a verziószámok vagy a próbatartománynévrendszer (DNS) adatainak lecserélése érdekében az éles DNS-adatokhoz.
Győződjön meg arról, hogy a verziószám helyes pilot.xml a verziók közötti migráláskor
Bár a verziószámok közötti migrálás nem ajánlott vagy támogatott, ezt az áttelepítést gyakran úgy teheti meg, hogy a próbaverzió számát az éles verziószámra cseréli pilot.xml. A WorkflowDefinition és a
Az ActivityInformationConfiguration objektumai megkövetelik, hogy a verziószám pontosan hivatkozzon az éles környezet munkafolyamat-tevékenységeire. Ha nem sikerül lecserélni a verziószámot, a Compare-FIMConfig parancsmag azonosítja a WorkflowDefinitions XOML attribútumai közötti különbségeket, és migrálja a próbaverzió verziószámát. Előfordulhat, hogy az éles FIM-szolgáltatás nem indítja el a munkafolyamat-tevékenységeket helytelen verziószámmal.
Kerülje a ciklikus hivatkozásokat
A ciklikus hivatkozások általában nem ajánlottak a MIM-konfigurációban. A ciklusok azonban néha akkor fordulnak elő, ha az A beállítás a B halmazra hivatkozik, a B halmaz pedig az A beállításra is hivatkozik. A ciklikus hivatkozásokkal kapcsolatos problémák elkerülése érdekében módosítsa az A vagy a B beállítás definícióját, hogy mindkettő ne hivatkozzon egymásra. Ezután indítsa újra az áttelepítési folyamatot. Ha ciklikus hivatkozásokkal rendelkezik, és a Compare-FIMConfig parancsmag hibát eredményez, manuálisan kell megszakítani a ciklust. Mivel a Compare-FIMConfig parancsmag sorrendben adja ki a módosítások listáját, a konfigurációs objektumok hivatkozásai között nem kell ciklusokat létrehozni.
Biztonság
MIM MA-fiók
A MIM MA-fiók nem minősül szolgáltatásfióknak, és rendszeres felhasználói fióknak kell lennie. A fiókoknak helyileg kell bejelentkezniük ahhoz, hogy a FIM szinkronizálási szolgáltatásfiókja megszemélyesítse azt.
A MIM MA-fiók helyi bejelentkezésének engedélyezése
Kattintson a Start menü Felügyeleti eszközök parancsára, majd a Helyi biztonsági házirend parancsra.
Nyissa meg a Helyi házirendek csomópontot, majd kattintson a Felhasználói jogok hozzárendelése elemre.
A helyi bejelentkezés engedélyezése házirendben győződjön meg arról, hogy a FIM MA-fiók explicit módon van megadva, vagy adja hozzá a már hozzáféréssel rendelkező csoportok egyikéhez.
FIM Szinkronizálási szolgáltatás és FIM Services-fiókok
A MIM-kiszolgáló összetevőit futtató kiszolgálók biztonságos konfigurálásához korlátozni kell a szolgáltatásfiókokat. Az előző eljárással kapcsolja be a MIM MA-fiókot, és állítsa be a következő korlátozásokat a FIM szinkronizálási szolgáltatásra és a FIM-szolgáltatásfiókokra:
Bejelentkezés megtagadása kötegelt feladatként
Bejelentkezés megtagadása helyileg
A számítógép hálózati hozzáférésének megtagadása
A szolgáltatásfiókok nem lehetnek a helyi rendszergazdák csoportjának tagjai.
A FIM Szinkronizálási szolgáltatás szolgáltatásfiókja nem lehet tagja a FIM Szinkronizálási szolgáltatáshoz való hozzáférés szabályozásához használt biztonsági csoportoknak (a FIMSynctől kezdve például a FIMSyncAdmins és így tovább).
Fontos
Ha mindkét szolgáltatásfiókhoz ugyanazt a fiókot szeretné használni, és elkülöníti a FIM szolgáltatást és a FIM szinkronizálási szolgáltatást, akkor nem állíthatja be a számítógép hozzáférésének megtagadása beállítást az mms szinkronizálási szolgáltatáskiszolgáló hálózatáról. Ha a hozzáférés megtagadva, akkor a FIM szolgáltatás nem léphet kapcsolatba a FIM szinkronizálási szolgáltatással a konfiguráció módosítása és a jelszavak kezelése érdekében.
A kioszkszerű számítógépeken üzembe helyezett jelszó-visszaállításnak helyi biztonságot kell beállítania a virtuális memória lapfájlja törléséhez
Ha a FIM jelszó-alaphelyzetbe állítását kioszknak szánt munkaállomáson helyezi üzembe, javasoljuk, hogy kapcsolja be a Shutdown: Clear virtual memory pagefile helyi biztonsági házirend-beállítást, hogy a folyamatmemória bizalmas információi ne legyenek elérhetők jogosulatlan felhasználók számára.
SSL implementálása a FIM-portálhoz
Erősen ajánlott biztonságos szoftvercsatornák rétegét (SSL) használni a FIM Portal-kiszolgálón az ügyfelek és a kiszolgáló közötti forgalom védelméhez.
Az SSL implementálása:
A MIM Portal-kiszolgálón nyissa meg az IIS Managert.
Kattintson a helyi számítógép nevére.
Kattintson a Kiszolgálótanúsítványok elemre.
Kattintson a Tanúsítványkérelem létrehozása gombra.
A Köznapi név szövegmezőbe írja be a kiszolgáló nevét.
Kattintson a Tovább gombra, majd a Tovább gombra.
Mentse a fájlt tetszőleges helyre. Ezt a helyet a következő lépésekben kell elérnie.
Nyissa meg a https://servername/certsrv. Cserélje le a kiszolgálónevet a tanúsítványokat kiállító kiszolgáló nevére.
Kattintson az Új tanúsítvány kérése gombra.
Kattintson a Speciális kérés elküldése gombra.
Kattintson a Tanúsítványkérelem elküldése gombra egy base-64 kódolású kóddal.
Illessze be az előző lépésben mentett fájl tartalmát.
A tanúsítványsablonban válassza a WebKiszolgáló lehetőséget.
Kattintson a Küldés gombra.
Mentse a tanúsítványt az asztalra.
Az IIS-kezelőben kattintson a Teljes minősítési kérelem gombra.
Mutasson az IIS Managerre az asztalra mentett tanúsítványra.
A Rövid név mezőbe írja be a kiszolgáló nevét.
Kattintson a Webhelyek elemre, majd válassza a SharePoint – 80 lehetőséget.
Kattintson a Kötések elemre, majd a Hozzáadás gombra.
Válassza a https lehetőséget.
Tanúsítvány esetén válassza ki azt a tanúsítványt, amelynek neve megegyezik a kiszolgáló nevével, az imént importált tanúsítvánnyal.
Kattintson az OK gombra.
Távolítsa el a HTTP-kötést.
Kattintson az SSL-beállítások elemre, majd ellenőrizze az SSL megkövetelése jelölőnégyzetet.
Mentse a beállításokat.
Kattintson a Start menü Felügyeleti eszközök, majd a SharePoint 3.0 Központi felügyelet parancsára.
Kattintson a Műveletek, majd az Alternatív hozzáférés-leképezések elemre.
Kattintson a https://servername.
Módosítsa https://servernamehttps://servernameértékre, majd kattintson az OK gombra.
Kattintson a Start menü Futtatás parancsára, írja be az iisreset parancsot, majd kattintson az OK gombra.
Teljesítmény
Az optimális teljesítménykonfiguráció érdekében:
Alkalmazza az SQL telepítési ajánlott eljárásait a jelen dokumentum SQL-beállítási szakaszában leírtak szerint.
Kapcsolja ki a SharePoint-indexelést a MIM Portál webhelyen. További információ: SharePoint indexelés letiltása szakasz.
Szolgáltatásspecifikus ajánlott eljárások
Kérelemkezelés
Alapértelmezés szerint a MIM 2016 kiüríti a lejárt rendszerobjektumokat, amelyek 30 napos időközzel tartalmazzák a kapcsolódó jóváhagyásokkal, jóváhagyási válaszokkal és munkafolyamat-példányokkal rendelkező befejezett kérelmeket. Ha a szervezetnek hosszabb kérelemelőzményekre van szüksége, exportálnia kell a kéréseket a MIM-ből, és egy kiegészítő adatbázisban kell tárolnia őket, hogy a 30 napos időszakon túl is megőrizze őket. Bár a 30 napos kérelemtörlési időszak konfigurálható, az ablak kiterjesztése negatív hatással lehet a teljesítményre a rendszerben található további objektumok miatt.
Felügyeleti szabályzat szabályai
A megfelelő MPR típus használata
A MIM kétféle MPR-t, kérést és beállításáttűnést biztosít:
MPR kérése (RMPR)
- Az erőforrásokon végzett létrehozási, olvasási, frissítési vagy törlési (CRUD) műveletek hozzáférés-vezérlési szabályzatának (hitelesítés, engedélyezés és művelet) meghatározására szolgál,
- Akkor alkalmazható, ha CRUD-műveletet ad ki egy célerőforrásra a MIM-ben, és
- A szabályban meghatározott egyező feltételek, vagyis a CRUD által a szabályra vonatkozó kérések hatóköre.
Áttűnési MPR (TMPR) beállítása
- Szabályzatok definiálására használható, függetlenül attól, hogy az objektum hogyan lépett be az áttűnési csoport által képviselt aktuális állapotba. A TMPR használatával modellezheti a jogosultsági szabályzatokat.
- Akkor alkalmazható, ha egy erőforrás belép vagy elhagy egy társított készletet, és
- Hatókör a csoport tagjaira terjed ki.
Megjegyzés
További információ: Üzletszabályzat-szabályok tervezése.
Csak szükség esetén engedélyezze az MPR-eket
A konfiguráció alkalmazásakor használja a minimális jogosultság elvét. Az MPR-ek szabályozzák a MIM üzembe helyezéséhez szükséges hozzáférési szabályzatot. Csak a felhasználók többsége által használt funkciókat engedélyezze. Nem minden felhasználó használja például a MIM-et a csoportkezeléshez, ezért a társított csoportfelügyeleti MPR-eket le kell tiltani. Alapértelmezés szerint a MIM letiltotta a legtöbb nem rendszergazdai engedély használatát.
Duplikált beépített MPR-ek a közvetlen módosítás helyett
Ha módosítania kell a beépített MPR-eket, létre kell hoznia egy új MPR-t a szükséges konfigurációval, és ki kell kapcsolnia a beépített MPR-t. Ennek az új MPR-nek a létrehozása biztosítja, hogy a frissítési folyamaton keresztül bevezetett beépített MPR-ek jövőbeli változásai ne befolyásolják negatívan a rendszerkonfigurációt.
A végfelhasználói engedélyeknek explicit attribútumlistákat kell használniuk, amelyek a felhasználók üzleti igényeire terjednek ki
Az explicit attribútumlisták használatával megelőzhető, hogy a rendszer véletlenül engedélyeket adjon a nem kiemelt felhasználóknak, amikor attribútumokat adnak hozzá az objektumokhoz. A rendszergazdáknak explicit módon kell hozzáférést adniuk az új attribútumokhoz a hozzáférés eltávolítása helyett.
Az adatokhoz való hozzáférést a felhasználók üzleti igényeire kell korlátozni. A csoporttagok például nem férhetnek hozzá annak a csoportnak a szűrőattribútumához, amelynek tagjai. A szűrő véletlenül olyan szervezeti adatokat jeleníthet meg, amelyekhez a felhasználó általában nem fér hozzá.
Az MPR-eknek tükrözniük kell a rendszerben érvényes engedélyeket
Ne adjon engedélyeket olyan attribútumokhoz, amelyeket a felhasználó soha nem használhat. Például nem adhat engedélyt az alapvető erőforrásattribútumok, például az objectType módosítására. Az MPR ellenére a rendszer megtagadja az erőforrás típusának módosítását az erőforrás létrehozása után.
Az olvasási engedélyeknek különnek kell lenniük a módosítási és létrehozási engedélyektől, ha explicit attribútumokat használnak az MPR-ben
Ha az MPR-ek attribútumait explicit módon listázzák, a létrehozáshoz és a módosításhoz szükséges attribútumok általában eltérnek az olvasáshoz elérhető attribútumtól. Az olvasás például a Rendszerattribútumok, például a Létrehozó vagy az ObjectId attribútumokon keresztül adható meg, míg a Rendszerattribútumokhoz nem adható meg létrehozás vagy módosítás.
A létrehozási engedélyeknek különnek kell lenniük a Módosítási engedélyektől, ha explicit attribútumokat használnak a szabályokban
A Létrehozás művelethez a felhasználónak ki kell választania az objectType elemet a művelet részeként. Ez az attribútum egy alapvető rendszerattribútum, amely a létrehozási művelet után nem módosítható.
Egy kérelem MPR használata az azonos hozzáférési követelményekkel rendelkező összes attribútumhoz
Az azonos hozzáférési követelményekkel rendelkező attribútumok esetében, amelyek várhatóan nem változnak, egyetlen kérelem MPR-jével kombinálhatja őket a hatékonyság érdekében.
Ne adjon korlátlan hozzáférést még a kiválasztott egyszerű csoportoknak is
A MIM-ben az engedélyek pozitív állításként vannak definiálva. Mivel a MIM nem támogatja a megtagadási engedélyeket, az erőforrásokhoz való korlátlan hozzáférés megnehezíti az engedélyek kizárását. Ajánlott eljárásként csak a szükséges engedélyeket adja meg.
Egyéni jogosultságok definiálása TMPR-ek használatával
Egyéni jogosultságok definiálásához használja az áttűnési MPR-ek (TMPR-k) beállítását RMPR-ek helyett. A TMPR-ek egy állapotalapú modellt biztosítanak a jogosultságok hozzárendeléséhez vagy eltávolításához a meghatározott átmeneti csoportok vagy szerepkörök tagsága, valamint a kapcsolódó munkafolyamat-tevékenységek alapján. A TMPR-eket mindig párokban kell definiálni, egyet az áttűnő erőforrásokhoz, egyet pedig a kifelé irányuló erőforrásokhoz. Emellett minden áttűnési MPR-nek külön munkafolyamatokat kell tartalmaznia a tevékenységek kiépítéséhez és megszüntetéséhez.
Megjegyzés
A leépítési munkafolyamatnak biztosítania kell, hogy a Szabályzatfrissítés futtatása attribútum értéke igaz legyen.
Az áttűnés beállítása az MPR-ben utolsóként
TMPR-pár létrehozásakor kapcsolja be utoljára az áttűnést az MPR-ben. Ez a rendelés biztosítja, hogy egyetlen erőforrás sem maradjon jogosultsággal, ha hozzáadja és eltávolítja a készletből, miközben az MPR be van kapcsolva, de mielőtt az MPR ki van kapcsolva.
A TMPR munkafolyamatainak először ellenőriznie kell a célerőforrás állapotát
A kiépítési munkafolyamatoknak először ellenőriznie kell, hogy a célerőforrás már ki van-e építve a jogosultságnak megfelelően. Ha igen, akkor nem tehet semmit.
A munkafolyamatok megszüntetésének először ellenőriznie kell, hogy a célerőforrás ki van-e építve. Ha így van, akkor a célerőforrást le kell bontania. Ellenkező esetben semmit sem tehet.
Válassza a TMPR-ek házirendfrissítésének futtatása lehetőséget
Ez a beállítás biztosítja, hogy a megfelelő kiépítési viselkedés érvényes legyen a szabályzatfrissítések végrehajtásakor, és használja a Futtató házirend frissítési jelzőt a TMPR-ekhez társított műveleti munkafolyamatokon, és hogy a szabályzatdefiníciók változásai a műveleti munkafolyamatokat az áttűnési csoport új tagjaira alkalmazzák.
Ne társítsa ugyanazt a jogosultságot két különböző átmeneti készlettel
Ha ugyanazt a jogosultságot két különböző áttűnési készlettel társítja, akkor szükségtelenül visszavonhatja és újra megadhatja a jogosultságokat, ha az erőforrás egyik halmazból a másikba kerül. Ajánlott eljárásként győződjön meg arról, hogy egy készlet tartalmazza a társított jogosultságot igénylő összes erőforrást. Ez az eljárás egy-az-egyhez kapcsolatot biztosít az áttűnési készlet és a munkafolyamatot biztosító jogosultság között.
Megfelelő műveletsor használata jogosultságok eltávolításakor a rendszerben
A jogosultságok rendszerbeli eltávolításakor végrehajtott lépések sorrendje két különböző működési eredményt eredményezhet. Győződjön meg arról, hogy tisztában van azzal, hogy mely sorrend vonatkozik a kívánt effektusra.
Jogosultság eltávolítása a rendszerből (és visszavonni a jogosultsággal rendelkező összes tagtól):
Tiltsa le a T-In MPR-t. Ez a változás elkerüli az új támogatásokat.
Törölje a T-Set szűrőt, vagy módosítsa úgy, hogy a készlet üres legyen. Ez azt eredményezi, hogy az összes meglévő tag kilép, és alkalmazza az áttűnési szabályzatot, beleértve a jogosultsághoz társított konfigurált deprovision munkafolyamatokat is.
Tiltsa le a T-Out MPR-t.
Ha el szeretne távolítani egy jogosultságot, de az aktuális tagokat egyedül szeretné hagyni (például ne használja a MIM-et a jogosultság kezelésére):
Tiltsa le a T-In MPR-t. Ez a változás elkerüli az új támogatásokat.
Tiltsa le a T-Out MPR-t.
Törölje a T-Set szűrőt, vagy módosítsa úgy, hogy a készlet üres legyen. Mivel a készlet már nincs TMPR-hez kötve, a rendszer nem alkalmaz bontási munkafolyamatokat.
Beállítások
A készletek ajánlott eljárásainak alkalmazásakor figyelembe kell vennie, hogy az optimalizálások milyen hatással vannak a kezelhetőségre és a jövőbeli felügyelet egyszerűségére. Ezeknek a javaslatoknak a alkalmazása előtt megfelelő tesztelést kell végezni a várható éles méretekben a teljesítmény és a kezelhetőség megfelelő egyensúlyának azonosítása érdekében.
Megjegyzés
Az alábbi irányelvek a dinamikus csoportokra és a dinamikus csoportokra vonatkoznak.
A dinamikus beágyazás használatának minimalizálása
Ez egy másik készlet ComputedMember attribútumára hivatkozó készlet szűrőjára vonatkozik. A halmazok beágyazásának gyakori oka, hogy a tagsági feltételt nem lehet több halmazra duplikálni. Bár ez a megközelítés a készletek jobb kezelhetőségét eredményezheti, teljesítménybeli kompromisszum áll fenn. A teljesítményre úgy optimalizálhat, ha a beágyazott készlet tagsági feltételeit duplikálja ahelyett, hogy magát a halmazt ágyazta be.
Előfordulhatnak olyan esetek, amikor nem kerülheti el a beágyazott készleteket a funkcionális követelmények teljesítéséhez. Ezek az elsődleges helyzetek, amikor be kell ágyaznia a készleteket. Ha például az alkalmazottak Full-Time nélküli csoportok készletét szeretné meghatározni, a csoportok beágyazását a következőképpen kell használni: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], ahol az "X" a Minden teljes munkaidős alkalmazott halmaz objektumazonosítója.
A negatív feltételek használatának minimalizálása
A negatív feltételek az alábbi operátorokat vagy függvényeket használó tagsági feltételek: !=, not(), \< , \<=. Ha a teljesítményre szeretne optimalizálni, lehetőség szerint fejezze ki a kívánt feltételt több pozitív feltétellel, és ne negatív feltételként.
A tagsági feltételek használatának minimalizálása többértékű referenciaattribútumok alapján
A többértékű referenciaattribútumokon alapuló feltételek használatát minimalizálni kell, mert ezek nagy száma befolyásolhatja a tagsági feltételben használt attribútum műveleteinek teljesítményét.
Új jelszó kérése
A jelszó-visszaállításhoz használt kioszkszerű számítógépeknek helyi biztonságot kell beállítaniuk a virtuális memória oldalfájljának törléséhez
Ha a MIM jelszó-alaphelyzetbe állítását kioszknak szánt munkaállomáson helyezi üzembe, javasoljuk, hogy kapcsolja be a Shutdown: Clear virtual memory pagefile local security policy (A virtuális memória törlése lapfájl helyi biztonsági házirendjének beállítása) beállítást, hogy a folyamatmemória bizalmas információi ne legyenek elérhetők a jogosulatlan felhasználók számára.
A felhasználóknak mindig regisztrálniuk kell a jelszó-visszaállításra egy olyan számítógépen, amelyen bejelentkeztek
Amikor egy felhasználó egy webportálon keresztül próbál regisztrálni a jelszó-visszaállításra, a MIM mindig a bejelentkezett felhasználó nevében kezdeményez regisztrációt, függetlenül attól, hogy ki van bejelentkezve a webhelyre. A felhasználóknak mindig regisztrálniuk kell a jelszó-visszaállításra egy olyan számítógépen, amelyen bejelentkeztek.
Ne állítsa a AvoidPdcOnWan beállításkulcsot igaz értékre
A MIM 2016 jelszó-visszaállítás használatakor ne állítsa a AvoidPdcOnWan beállításkulcsot igaz értékre.
Ha ez a beállításkulcs igaz értékre van állítva, a felhasználó nagy valószínűséggel átmegy a jelszókapukon, az elsődleges tartományvezérlőn (PDC) visszaállítja a jelszót, és megpróbál bejelentkezni. Emiatt a beállításkulcs miatt a helyi tartományvezérlő nem hajtja végre a másodlagos ellenőrzést a PDC-vel, ezért megtagadja a bejelentkezési kérést. Ha a felhasználót elég alkalommal megtagadják, kizárhatja a tartományból, és ügyfélszolgálatot kell hívnia.
Ne kapcsolja be a világos szöveges jelszavak naplózását
A windowsos diagnosztikai szolgáltatásszint-nyomkövetés bekapcsolásakor a világos szöveges jelszavak naplózhatóak
Communication Foundation (WCF). Ez a beállítás alapértelmezés szerint nincs bekapcsolva, és nem ajánlott éles környezetben bekapcsolni. Ezek a jelszavak egyértelmű szöveges elemekként jelennek meg egy titkosított Simple Object Access Protocol (SOAP) üzenetben, amikor a felhasználók jelszó-visszaállításra regisztrálnak. További információ: Üzenetnaplózás konfigurálása.
Ne képezz le engedélyezési munkafolyamatot a jelszó-visszaállítási folyamathoz
Ne csatoljon engedélyezési munkafolyamatot jelszó-visszaállítási művelethez. A jelszó-visszaállításhoz szinkron válaszra van szükség, és az olyan tevékenységeket tartalmazó engedélyezési munkafolyamatok, mint a jóváhagyási tevékenység, aszinkronok.
Ne képezz le több művelettevékenységet jelszó-visszaállításra
Ne csatoljon olyan munkafolyamatot, amely egynél több művelettevékenységet tartalmaz egy jelszó-visszaállítási művelethez. Egy példaforgatókönyv egy második AD DS-jelszó-visszaállítási tevékenység csatlakoztatása egy jelszó-visszaállítási MPR-hez. Ez a forgatókönyv nem támogatott.
Újraregisztráció megkövetelése meglévő munkafolyamat tevékenységeinek hozzáadásakor, eltávolításakor vagy módosításakor
Ha meglévő munkafolyamatban adja hozzá, távolítja el vagy módosítja a hitelesítési tevékenységek sorrendjét, mindig válassza ki azt a lehetőséget, amely újraregisztrációt igényel. Azok a felhasználók, akik egy tevékenység munkafolyamathoz való hozzáadása vagy eltávolítása után, de az újraregisztrálás előtt próbálnak hitelesítést végezni a jelszó-visszaállításhoz, nemkívánatos hatások léphetnek fel.
Portálkonfiguráció és erőforrás-vezérlés megjelenítési konfigurációja
Fontolja meg adatvédelmi nyilatkozat hozzáadását a felhasználói profil oldalához
A MIM-ben alapértelmezés szerint előfordulhat, hogy egyes felhasználói profiladatok megjelennek más felhasználók számára. A felhasználók jóindulásaként a rendszergazdáknak érdemes megfontolniuk a vállalati szabályzatoknak megfelelő egyéni szöveg hozzáadását a Felhasználói profil lapra. További információ az egyéni szöveg MIM-portállapra való felvételéről: Bevezetés a FIM-portál konfigurálásának és testreszabásánakcímű témakörbe.
Séma
Személy- vagy csoport típusú erőforrástípusok törlése
Bár a Személy és csoport típusú erőforrástípusok nincsenek megjelölve alapvető erőforrástípusokként, az erőforrásokat vagy a hozzájuk rendelt attribútumokat nem szabad törölni. A MIM-portál felhasználói felületének (UI) használatához meg kell jelenniük a Személy és csoport erőforrástípusoknak és attribútumaiknak.
Ne módosítsa az alapvető attribútumokat
Az összes erőforrástípushoz 13 Alapvető attribútum van hozzárendelve. Semmilyen módon nem módosíthatja a kapcsolatukat semmilyen erőforrástípussal. A 13 core attribútum a következő:
Létrehozás ideje
Alkotó
DeletedTime
Leírás
DetectedRulesList • DisplayName
ExpectedRulesList
Lejárati idő
Helyi beállítások
MVObjectID
ObjectID
ObjectType
ResourceTime
Ne törölje a naplózási követelményekhez függőséggel rendelkező sémaerőforrást
Ne törölje a sémaerőforrásokat, miközben továbbra is naplózási követelmények vonatkoznak ezekre az erőforrásokra.
A reguláris kifejezések kis- és nagybetűinek érzéketlensé tétele
A MIM-ben hasznos lehet, ha néhány reguláris kifejezés érzéketlen. A csoporton belüli kis- és nagybetűk figyelmen kívül hagyhatók a ?!:használatával. Például az alkalmazott típusa esetén használja a
\^(?!:contractor\|full time employee)%.
A tagattribútum kiszámítása
A szinkronizálási motor számára közzétett Member attribútum valójában a ComputedMembershez van leképezve. Ez a feltételalapú tagok és a manuálisan kiválasztott tagok kombinációja. A tagattribútum dinamikus kiszámítása akkor sem történik meg, ha mindhárom attribútumot (Szűrő, ExplicitMemberek és ComputedMemberek) hozzáadja.
A sztringek kezdő és záró szóközei figyelmen kívül lesznek hagyva
A MIM-ben beírhat sztringeket kezdő és záró szóközökkel, de a MIM-rendszer figyelmen kívül hagyja ezeket a szóközöket. Ha kezdő és záró szóközt tartalmazó sztringet küld be, a szinkronizálási motor és a webszolgáltatások figyelmen kívül hagyják ezeket a szóközöket.
Az üres sztringek nem egyenlők null értékkel
Az üres sztringek nem egyenlők null értékkel a MIM jelen kiadásában. Az üres sztringbemenet érvényes értéknek minősül. A nem jelen lévő érték null értékűnek minősül.
Munkafolyamat és kérelemfeldolgozás
Ne törölje a MIM 2016-tal szállított alapértelmezett munkafolyamatokat
A következő munkafolyamatok a MIM-sel vannak szállítva, és nem törölhetők:
Lejárati munkafolyamat
Szűrőérvényesítési munkafolyamat rendszergazdáknak
Szűrőérvényesítési munkafolyamat nem rendszergazdáknak
Csoport lejárati értesítési munkafolyamata
Csoportérvényesítési munkafolyamat
Tulajdonos-jóváhagyási munkafolyamat
Jelszó-visszaállítási művelet munkafolyamata
Jelszó-visszaállítási hitelesítés munkafolyamata
Kérelmező érvényesítése tulajdonosi engedéllyel
Kérelmező érvényesítése tulajdonosi engedély nélkül
Regisztrációhoz szükséges rendszer-munkafolyamat
Ne futtasson két vagy több Jóváhagyási aktiválást párhuzamosan
Ne futtasson két vagy több Jóváhagyási aktiválást párhuzamosan. Ennek hatására a kérés elakadhat az engedélyezési fázisban. Több jóváhagyás esetén vagy adja meg a jóváhagyók nagyobb listáját a jóváhagyásban, vagy sorrendbe kell foglalnia a két tevékenységet.
Az engedélyezési tevékenységek nem módosíthatják a MIM-erőforrások adatait
Ne használjon olyan tevékenységeket, amelyek módosítják a MIM-erőforrásokat, például a függvény-kiértékelő tevékenységet az engedélyezési munkafolyamatok munkafolyamatai részeként. Mivel a kérés nem lett véglegesítve a feldolgozás engedélyezési pontján, az identitásadatokon végrehajtott módosítások annak ellenére is alkalmazhatók, hogy a kérést esetleg elutasították.
A FIM szolgáltatáspartícióinak ismertetése
A MIM célja olyan kérések feldolgozása, amelyeket különböző MIM-ügyfelek, például a FIM szinkronizálási szolgáltatás és az önkiszolgáló összetevők kezdeményezhetnek a konfigurált üzleti szabályzatoknak megfelelően. Az egyes FIM-szolgáltatáspéldányok kialakításuk szerint egy vagy több FIM-szolgáltatáspéldányból álló logikai csoporthoz tartoznak, amelyet FIM szolgáltatáspartíciónak is neveznek. Ha csak egy FIM-szolgáltatáspéldány van üzembe helyezve az összes kérés kezeléséhez, lehetséges, hogy késéseket tapasztal. Egyes műveletek akár az önkiszolgáló műveletekhez megfelelő alapértelmezett időtúllépési értékeket is meghaladhatják. A FIM szolgáltatáspartíciói segíthetnek a probléma megoldásában.
További információ: FIM-szolgáltatáspartíciókismertetése.