Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Identity Manger (MIM) funziona con il dominio di Active Directory (AD). È necessario avere già installato Active Directory e assicurarsi di disporre di un controller di dominio nell'ambiente per un dominio che è possibile amministrare.
Questo articolo illustra i passaggi per preparare il dominio per lavorare insieme a MIM.
Creare account utente e gruppi di utenti
Tutti i componenti della distribuzione MIM devono avere le proprie identità nel dominio. Sono inclusi i componenti MIM, ad esempio Servizio e Sincronizzazione, nonché SharePoint e SQL.
Nota
Questa procedura dettagliata usa nomi e valori di esempio di un'azienda chiamata Contoso. Sostituisci questi con i tuoi. Per esempio:
- Nome controller di dominio - corpdc
- Nome di dominio - contoso
- Nome del server del servizio MIM - corpservice
- Nome del server di sincronizzazione MIM - corpsync
- Nome di SQL Server - corpsql
- Password - Pass@word1
Accedere al controller di dominio come amministratore di dominio (ad esempio Contoso\Administrator).
Creare gli account utente seguenti per i servizi MIM. Avviare PowerShell e digitare lo script di PowerShell seguente per aggiornare il dominio.
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMINSTALL –name MIMINSTALL Set-ADAccountPassword –identity MIMINSTALL –NewPassword $sp Set-ADUser –identity MIMINSTALL –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSSPR –name MIMSSPR Set-ADAccountPassword –identity MIMSSPR –NewPassword $sp Set-ADUser –identity MIMSSPR –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 New-ADUser –SamAccountName MIMpool –name MIMpool Set-ADAccountPassword –identity MIMPool –NewPassword $sp Set-ADUser –identity MIMPool –Enabled 1 -PasswordNeverExpires 1Creare gruppi di sicurezza per tutti i gruppi.
New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator Add-ADGroupmember -identity MIMSyncAdmins -Members MIMService Add-ADGroupmember -identity MIMSyncAdmins -Members MIMInstallAggiungere Nomi Principali di Servizio (SPN) per abilitare l'autenticazione Kerberos per gli account di servizio.
setspn -S http/mim.contoso.com Contoso\mimpool setspn -S http/mim Contoso\mimpool setspn -S http/passwordreset.contoso.com Contoso\mimsspr setspn -S http/passwordregistration.contoso.com Contoso\mimsspr setspn -S FIMService/mim.contoso.com Contoso\MIMService setspn -S FIMService/corpservice.contoso.com Contoso\MIMServiceDurante l'installazione è necessario aggiungere i record DNS 'A' seguenti per la risoluzione dei nomi corretta
- mim.contoso.com Indirizza a l'indirizzo IP fisico corpservice
- passwordreset.contoso.com puntare all'indirizzo IP fisico di corpservice
- passwordregistration.contoso.com Punta all'indirizzo IP fisico di corpservice