Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit onderwerp worden de aanbevolen procedures beschreven voor het implementeren en gebruiken van Microsoft Identity Manager 2016 (MIM)
SQL-installatie
Notitie
De volgende aanbevelingen voor het instellen van een server waarop SQL wordt uitgevoerd, veronderstellen een SQL-exemplaar dat is toegewezen aan de FIMService en een SQL-exemplaar dat is toegewezen aan de FIMSynchronizationService-database. Als u de FIMService uitvoert in een geconsolideerde omgeving, moet u aanpassingen aanbrengen die geschikt zijn voor uw configuratie.
Configuratie van de SQL-server (Structured Query Language) is essentieel voor optimale systeemprestaties. Het bereiken van optimale MIM-prestaties in grootschalige implementaties is afhankelijk van de toepassing van best practices voor een server waarop SQL wordt uitgevoerd. Zie de volgende onderwerpen over aanbevolen procedures voor SQL voor meer informatie:
artikel best practices voor SQL Server
Gegevens en logboekbestanden presiseren
Vertrouw niet op automatische groei. Beheer in plaats daarvan de groei van deze bestanden handmatig. U kunt autogroei om veiligheidsredenen laten staan, maar u moet de groei van de gegevensbestanden proactief beheren. Zie de FIM-handleiding voor capaciteitsplanningvoor voorbeeldgrootten van de MIM-database.
SQL-gegevens en logboekbestanden presiseren
Start SQL Server Management Studio.
Navigeer naar de database FIMService, klik met de rechtermuisknop op FIMService en klik vervolgens op Eigenschappen.
Vouw op de pagina Bestanden de databasebestanden uit tot de vereiste grootte.
Logboek isoleren van gegevensbestanden
Volg de aanbevolen procedures voor SQL Server om de transactie- en gegevensbestanden voor de databases op te isoleren om fysieke schijven te scheiden.
Extra tempdb-bestanden maken
Voor optimale prestaties raden we u aan om één gegevensbestand per CPU-kern te maken in het tempdb-bestand.
Aanvullende tempdb-bestanden maken
Start SQL Server Management Studio.
Navigeer naar de database tempdb in Systeemdatabases, klik met de rechtermuisknop op tempdb en klik vervolgens op Eigenschappen.
Maak op de pagina Bestanden één gegevensbestand voor elke CPU-kern. Zorg ervoor dat u de tempdb-gegevens en logboekbestanden scheidt van verschillende stations en spindels.
Zorg voor voldoende ruimte voor logboekbestanden
Het is belangrijk om inzicht te hebben in de schijfvereisten van uw herstelmodel. Eenvoudige herstelmodus is mogelijk geschikt tijdens de eerste systeembelasting om het gebruik van uw schijfruimte te beperken, maar de gegevens die zijn gemaakt nadat de meest recente back-up is blootgesteld aan gegevensverlies. Wanneer u de modus Volledig herstel gebruikt, moet u het schijfgebruik beheren via back-ups met regelmatige back-ups van het transactielogboek om te voorkomen dat er veel schijfruimte wordt gebruikt. Zie Overzicht van het herstelmodelvoor meer informatie.
Sql Server-geheugen beperken
Afhankelijk van de hoeveelheid geheugen die u op uw SQL-server hebt en als u de SQL-server deelt met andere services (dat wil weten MIM 2016 Service en MIM 2016 Synchronization Service), kunt u het geheugenverbruik van SQL beperken. U kunt deze beperking instellen via de volgende stappen.
Start SQL Server Enterprise Manager.
Selecteer Nieuwe query.
Voer de volgende query uit:
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDEIn dit voorbeeld wordt de SQL-server opnieuw geconfigureerd om maximaal 12 gigabyte (GB) geheugen te gebruiken.
Controleer de instelling met behulp van de volgende query:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
Back-up- en herstelconfiguratie
Over het algemeen moet u samenwerken met uw databasebeheerder om een back-up- en herstelstrategie te ontwerpen. Enkele aanbevelingen zijn:
- Voer databaseback-ups uit volgens het back-upbeleid van uw organisatie.
- Als incrementele logboekback-ups niet zijn gepland, moet de database worden ingesteld op de eenvoudige herstelmodus.
- Zorg ervoor dat u de implicaties van de verschillende herstelmodellen begrijpt voordat u uw back-upstrategie implementeert. Meer informatie over de schijfruimtevereisten voor deze modellen. Voor het volledige herstelmodel zijn frequente logboekback-ups vereist om veel schijfruimte te voorkomen.
Zie Recovery Model Overview and FIM 2010 Backup and Restore Guidevoor meer informatie.
Een Back-upbeheerdersaccount maken voor de FIM-service na de installatie
Leden van de SET FIMService-beheerders hebben unieke machtigingen die essentieel zijn voor de werking van uw MIM-implementatie. Als u zich niet kunt aanmelden als onderdeel van de set Administrators, is de enige oplossing om terug te keren naar een vorige back-up van het systeem. Om deze situatie te verhelpen, raden we u aan andere gebruikers toe te voegen aan de FIM-beheerset als onderdeel van uw configuratie na de installatie.
FIM-service
Exchange-postvak voor FIM Service-service configureren
Hier volgen de aanbevolen procedures voor het configureren van Microsoft Exchange Server voor het serviceaccount van de MIM 2016-service.
- Configureer het serviceaccount zodat het alleen e-mail van interne e-mailadressen kan accepteren. Het postvak van het serviceaccount mag nooit e-mail ontvangen van externe SMTP-servers.
Het serviceaccount configureren
Selecteer in de Exchange-beheerconsole het FIM-serviceaccount.
Selecteer Eigenschappen, selecteer Instellingen voor e-mailstroom en selecteer vervolgens Beperkingen voor e-mailbezorging.
Schakel het selectievakje Vereisen dat alle afzenders worden geverifieerd in.
Zie Beperkingen voor berichtbezorging configurerenvoor meer informatie.
Configureer het serviceaccount zodat e-mail met een grootte van meer dan 1 MB wordt geweigerd. Volg de aanbevolen procedure om limieten voor berichtgrootten te configureren voor een postvak of een Mail-Enabled openbare map.
Configureer het serviceaccount zodat het een opslagquotum voor postvakken van 5 GB heeft. Volg de aanbevolen procedures in Opslagquota configureren voor een postvakvoor optimale resultaten.
MIM-portal
SharePoint-indexering uitschakelen
U wordt aangeraden microsoft Office SharePoint-indexering® uit te schakelen. Er zijn geen documenten die moeten worden geïndexeerd. Indexering veroorzaakt veel vermeldingen in foutenlogboeken en mogelijke prestatieproblemen in MIM. Voer de volgende stappen uit om SharePoint-indexering uit te schakelen:
Klik op start op de server waarop de MIM 2016-portal wordt gehost.
Klik op Alle programma's.
Klik in de lijst Alle programma's op Systeembeheer.
Klik onder Systeembeheer op Centraal beheer van SharePoint.
Klik op de pagina Centraal beheer op Bewerkingen.
Klik op de pagina Bewerkingen onder Globale configuratie op Timeropdrachtdefinities.
Klik op de pagina Timeropdrachtdefinities op SharePoint Services Search Refresh.
Klik op de pagina Timeropdracht bewerken op Uitschakelen.
Initiële gegevensbelasting van MIM 2016
In deze sectie vindt u een reeks stappen om de prestaties van de initiële gegevensbelasting van extern systeem naar MIM te verbeteren. Het is belangrijk om te begrijpen dat een aantal van deze stappen alleen wordt uitgevoerd tijdens de initiële populatie van het systeem. Ze moeten opnieuw worden ingesteld bij het voltooien van de belasting. Deze stappen zijn bedoeld voor een eenmalige bewerking en niet voor een continue synchronisatie.
Belangrijk
Zorg ervoor dat u de aanbevolen procedures hebt toegepast die worden behandeld in de sectie SQL-installatie van deze handleiding.
Stap 1: de SQL-server configureren voor de eerste gegevensbelasting
De eerste belasting van gegevens kan een langdurig proces zijn. Wanneer u van plan bent om in eerste instantie veel gegevens te laden, kunt u de tijd verkorten die nodig is om de database te vullen door zoeken in volledige tekst tijdelijk uit te schakelen en weer in te schakelen nadat de export op de MIM 2016-beheeragent (FIM MA) is voltooid.
Zoeken in volledige tekst tijdelijk uitschakelen:
Start SQL Server Management Studio.
Selecteer Nieuwe query.
Voer de volgende SQL-instructies uit:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
Belangrijk
Het niet implementeren van deze procedures kan leiden tot een hoog schijfruimtegebruik, waardoor u mogelijk onvoldoende schijfruimte hebt. Meer informatie over dit onderwerp vindt u in Overzicht van herstelmodel. De FIM-handleiding voor back-up en herstel bevat aanvullende informatie.
Stap 2: De minimaal benodigde MIM-configuratie toepassen tijdens het laadproces
Tijdens het eerste laadproces moet u alleen de minimale configuratie toepassen die is vereist voor uw FIM-configuratie voor uw beheerbeleidsregels (MPR's) en definities instellen. Nadat het laden van gegevens is voltooid, maakt u de extra sets die vereist zijn voor uw implementatie. Gebruik de instelling Run-On Beleidsupdate voor de actiewerkstromen om deze beleidsregels met terugwerkende kracht toe te passen op de geladen gegevens.
Stap 3: de FIM-service configureren en vullen met externe identiteitsgegevens
Op dit moment moet u de procedures volgen die worden beschreven in de Handleiding How Do I Sync Users from Active Directory Domain Services to FIM guide to FIM to configure and sync your system with users from Active Directory. Als u groepsgegevens wilt synchroniseren, worden de procedures voor dat proces beschreven in de How Do I Sync Groups from Active Directory Domain Services to FIM guide.
Synchronisatie- en exportvolgordes
Als u de prestaties wilt optimaliseren, voert u een export uit na een synchronisatieuitvoering die resulteert in een groot aantal exportbewerkingen die in behandeling zijn in een connectorruimte. Voer vervolgens een bevestigende importuitvoering uit op de beheeragent die is gekoppeld aan de betreffende connectorruimte. Wanneer u bijvoorbeeld synchronisatierunprofielen wilt uitvoeren op verschillende beheeragents als onderdeel van een initiële gegevensbelasting, moet u een export uitvoeren, gevolgd door een delta-import na elke afzonderlijke synchronisatieuitvoering. Voer voor elke bronbeheeragent die deel uitmaakt van uw initialisatiecyclus de volgende stappen uit:
Volledige import op een bronbeheeragent.
Volledige synchronisatie van de bronbeheeragent.
Exporteren op alle betrokken doelbeheeragents met gefaseerde exportbewerkingen.
Delta-import op alle betrokken doelbeheeragents met gefaseerde exportbewerkingen.
Stap 4: Uw volledige MIM-configuratie toepassen
Zodra de initiële gegevensbelasting is voltooid, moet u de volledige MIM-configuratie voor uw implementatie toepassen.
Afhankelijk van uw scenario's kan deze stap het maken van extra sets, MPR's en werkstromen omvatten. Voor beleidsregels die u met terugwerkende kracht moet toepassen op alle bestaande objecten in het systeem, gebruikt u de instelling voor het uitvoeren van beleidsupdates voor actiewerkstromen om deze beleidsregels met terugwerkende kracht toe te passen op de geladen gegevens.
Stap 5: SQL opnieuw configureren naar eerdere instellingen
Vergeet niet om de SQL-instelling te wijzigen in de normale instellingen. Deze wijzigingen zijn onder andere:
De zoekopdracht in volledige tekst inschakelen
Uw back-upbeleid bijwerken volgens uw organisatiebeleid
Nadat u de initiële gegevensbelasting hebt voltooid, moet u zoeken in volledige tekst opnieuw inschakelen. Voer de volgende SQL-instructies uit om zoeken in volledige tekst opnieuw in te schakelen:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
Als u moet overschakelen naar de eenvoudige herstelmodus, moet u ervoor zorgen dat u uw back-upschema opnieuw configureert in overeenstemming met het back-upbeleid van uw organisatie. Aanvullende details van FIM-back-upschema's zijn beschikbaar in de fim-handleiding voor back-up en herstel.
Configuratiemigratie
Vermijd het wijzigen van weergavenamen
Voor veel objecttypen, zoals MPR's, gebruikt het syncproduction.ps1 script de weergavenaam als het enige ankerkenmerk tussen twee systemen. Als gevolg hiervan leidt een wijziging in de weergavenaam van een bestaand MPR tot het verwijderen van de bestaande MPR, gevolgd door het maken van een nieuwe MPR. Dit resultaat treedt op omdat het migratieproces niet kan worden toegevoegd aan MPR's waarvan de joincriteria zijn gewijzigd. Om dit probleem te voorkomen, kunt u een aangepast kenmerk binden aan alle typen configuratieobjecten en dat kenmerk gebruiken als de joincriteria. Met dit proces kunt u weergavenamen wijzigen zonder dat dit van invloed is op het migratieproces.
Vermijd het wijzigen van de inhoud van tussenliggende bestanden
Hoewel de bestandsindeling en application programming interface (API) van de objecten op laag niveau openbaar zijn en manipulaties worden ondersteund door ontwikkelaars, raden we u niet aan om de inhoud van de tussenliggende indelingen tijdens de migratie te wijzigen. Het kan echter nodig zijn om volledige ImportObjects te verwijderen uit changes.xml of om zoek- en vervangbewerkingen uit te voeren op pilot.xml om versienummers te vervangen of dns-informatie (Pilot Domain Name System) voor productie-DNS-gegevens.
Zorg ervoor dat het versienummer juist is in pilot.xml bij het migreren van verschillende versies
Hoewel migraties tussen versienummers niet worden aanbevolen of ondersteund, kunt u deze migratie vaak uitvoeren door het testversienummer te vervangen door het productieversienummer in pilot.xml. Werkstroomdefinition en
ActivityInformationConfiguration-objecten vereisen dat het versienummer precies verwijst naar werkstroomactiviteiten in de productieomgeving. Het vervangen van het versienummer resulteert niet in de Compare-FIMConfig cmdlet die verschillen identificeert tussen de XOML-kenmerken (Extensible Object Markup Language) op WorkflowDefinitions en het migreren van het versienummer van de testfase. De productie-FIM-service kan werkstroomactiviteiten met het onjuiste versienummer niet starten.
Cyclische verwijzingen voorkomen
Over het algemeen worden cyclische verwijzingen niet aanbevolen in een MIM-configuratie. Cycli treden echter soms op wanneer Set A verwijst naar Set B en Set B ook verwijst naar Set A. Als u problemen met cyclische verwijzingen wilt voorkomen, moet u de definitie van Set A of Set B wijzigen, zodat ze beide niet naar elkaar verwijzen. Start vervolgens het migratieproces opnieuw. Als u wel cyclische verwijzingen hebt en de Compare-FIMConfig cmdlet resulteert in een fout als gevolg hiervan, is het noodzakelijk om de cyclus handmatig te verbreken. Omdat de cmdlet Compare-FIMConfig een lijst met wijzigingen uitvoert in volgorde van prioriteit, is vereist dat er geen cycli bestaan tussen de verwijzingen van configuratieobjecten.
Veiligheid
MIM MA-account
Het MIM MA-account wordt niet beschouwd als een serviceaccount en moet een gewoon gebruikersaccount zijn. De accounts moeten zich lokaal kunnen aanmelden om het FIM Synchronization Service-serviceaccount te kunnen imiteren.
Het MIM MA-account lokaal aanmelden inschakelen
Klik op Start, klik op Systeembeheer en klik vervolgens op Lokaal beveiligingsbeleid.
Open het knooppunt Lokaal beleid en klik vervolgens op Toewijzing van gebruikersrechten.
Controleer in het beleid Lokaal aanmelden toestaan of het FIM MA-account expliciet is opgegeven of voeg het toe aan een van de groepen waaraan al toegang is verleend.
FIM-synchronisatieservice- en FIM Services-accounts
Als u de servers met de MIM-serveronderdelen op een veilige manier wilt configureren, moeten de serviceaccounts worden beperkt. Met behulp van de vorige procedure voor het inschakelen van het MIM MA-account, stelt u de volgende beperkingen in voor de FIM-synchronisatieservice- en FIM-serviceaccounts:
Aanmelden als batchtaak weigeren
Lokaal aanmelden weigeren
Toegang tot deze computer weigeren vanuit het netwerk
De serviceaccounts mogen geen lid zijn van de lokale beheerdersgroep.
Het serviceaccount van de FIM-synchronisatieservice mag geen lid zijn van de beveiligingsgroepen die worden gebruikt om de toegang tot de FIM-synchronisatieservice te beheren (groepen die beginnen met FIMSync, bijvoorbeeld FIMSyncAdmins, enzovoort).
Belangrijk
Als u de opties selecteert om hetzelfde account te gebruiken voor zowel serviceaccounts als u de FIM-service en de FIM-synchronisatieservice scheidt, kunt u de toegang tot deze computer niet instellen vanuit het netwerk op de mms Synchronization Service-server. Als de toegang wordt geweigerd, kan de FIM-service geen contact opnemen met de FIM-synchronisatieservice om de configuratie te wijzigen en wachtwoorden te beheren.
Wachtwoordherstel geïmplementeerd op kioskachtige computers moet lokale beveiliging instellen om het wisselbestand van het virtuele geheugen te wissen
Bij het implementeren van FIM-wachtwoordherstel op een werkstation dat bedoeld is als kiosk, raden we u aan om de instelling Shutdown: Clear virtual memory pagefile lokaal beveiligingsbeleid in te schakelen om ervoor te zorgen dat gevoelige informatie uit het procesgeheugen niet beschikbaar is voor onbevoegde gebruikers.
SSL implementeren voor de FIM-portal
Het wordt ten zeerste aanbevolen om secure sockets layer (SSL) op de FIM-portalserver te gebruiken om het verkeer tussen de clients en de server te beveiligen.
SSL implementeren:
Open IIS-beheer op de MIM-portalserver.
Klik op de naam van de lokale computer.
Klik op Servercertificaten.
Klik op Certificaataanvraag maken.
Voer in het tekstvak Algemene naam de naam van de server in.
Klik op Volgende en klik vervolgens op Volgende.
Sla het bestand op een willekeurige locatie op. U moet deze locatie in de volgende stappen openen.
Navigeer naar https://servername/certsrv. Vervang de servernaam door de naam van de server die certificaten uitgeeft.
Klik op Een nieuw certificaat aanvragen.
Klik op Een geavanceerde aanvraag verzenden.
Klik op Een certificaataanvraag verzenden met behulp van een base-64-gecodeerde aanvraag.
Plak de inhoud van het bestand dat u in de vorige stap hebt opgeslagen.
Selecteer webserver in certificaatsjabloon.
Klik op Verzenden.
Sla het certificaat op uw bureaublad op.
Klik in IIS-beheer op Certificeringsaanvraag voltooien.
Wijs IIS Manager aan op het certificaat dat u zojuist hebt opgeslagen op het bureaublad.
Voor beschrijvende naam typt u de naam van de server.
Klik op Sites en selecteer Vervolgens SharePoint – 80.
Klik op Bindingen en klik vervolgens op Toevoegen.
Selecteer https.
Selecteer voor het certificaat het certificaat met dezelfde naam als de server, het certificaat dat u zojuist hebt geïmporteerd.
Klik op OK.
Verwijder de HTTP-binding.
Klik op SSL-instellingen en schakel SSL vereisen in.
Sla de instellingen op.
Klik op Start, klik op Systeembeheer en klik vervolgens op Centraal beheer van SharePoint 3.0.
Klik op Bewerkingen en klik vervolgens op Alternatieve toegangstoewijzingen.
Klik op https://servername.
Wijzig https://servername in https://servernameen klik vervolgens op OK.
Klik op Start, klik op Uitvoeren, typ iisreset en klik vervolgens op OK.
Prestatie
Voor optimale prestatieconfiguratie:
Pas de aanbevolen procedures voor SQL-instellingen toe zoals beschreven in de sectie SQL-installatie in dit document.
Schakel SharePoint-indexering uit op de MIM-portalsite. Zie de sectie SharePoint-indexering uitschakelen voor meer informatie.
Aanbevolen procedures voor functies
Aanvraagbeheer
MiM 2016 verwijdert standaard verlopen systeemobjecten, waaronder voltooide aanvragen met bijbehorende goedkeuringen, goedkeuringsreacties en werkstroomexemplaren op basis van een interval van 30 dagen. Als uw organisatie een langere aanvraaggeschiedenis nodig heeft, moet u aanvragen vanuit MIM exporteren en opslaan in een hulpdatabase om ze te bewaren buiten het venster van 30 dagen. Hoewel het verwijderingsvenster van 30 dagen kan worden geconfigureerd, kan het uitbreiden van dit venster de prestaties negatief beïnvloeden vanwege de extra objecten in het systeem.
Beheerbeleidsregels
Het juiste MPR-type gebruiken
MIM biedt twee typen MPR's, aanvraag- en setovergang:
MPR aanvragen (RMPR)
- Wordt gebruikt voor het definiëren van het toegangsbeheerbeleid (verificatie, autorisatie en actie) voor CRUD-bewerkingen (Maken, Lezen, Bijwerken of Verwijderen) voor resources,
- Wordt toegepast wanneer een CRUD-bewerking wordt uitgegeven op basis van een doelresource in MIM en
- Het bereik wordt bepaald door de overeenkomende criteria die zijn gedefinieerd in de regel, dat wil gezegd, waarop crud de regel van toepassing is.
MPR voor overgang instellen (TMPR)
- Gebruik dit om beleidsregels te definiëren, ongeacht hoe het object de huidige status heeft ingevoerd die wordt vertegenwoordigd door de overgangsset. Gebruik TMPR om rechtenbeleid te modelleren.
- Toegepast wanneer een resource een gekoppelde set binnenkomt of verlaat, en
- Bereik van de leden van de set.
Notitie
Zie Bedrijfsbeleidsregels ontwerpenvoor meer informatie.
Schakel MPR's alleen in indien nodig
Gebruik het principe van minimale bevoegdheden bij het toepassen van uw configuratie. MPR's beheren het toegangsbeleid voor uw MIM-implementatie. Schakel alleen de functies in die door de meeste gebruikers worden gebruikt. Niet alle gebruikers maken bijvoorbeeld gebruik van MIM voor groepsbeheer. Daarom moeten gekoppelde beheer-MPR's voor groepsbeheer worden uitgeschakeld. MIM wordt standaard geleverd met de meeste niet-beheerdersmachtigingen uitgeschakeld.
Ingebouwde MPR's dupliceren in plaats van rechtstreeks te wijzigen
Wanneer u de ingebouwde MPR's wilt wijzigen, moet u een nieuwe MPR maken met de vereiste configuratie en de ingebouwde MPR uitschakelen. Het maken van deze nieuwe MPR zorgt ervoor dat toekomstige wijzigingen in de ingebouwde MPR's die via het upgradeproces worden geïntroduceerd, geen negatieve invloed hebben op uw systeemconfiguratie.
Machtigingen van eindgebruikers moeten expliciete kenmerklijsten gebruiken die zijn afgestemd op bedrijfsbehoeften van gebruikers
Het gebruik van expliciete kenmerklijsten helpt voorkomen dat machtigingen per ongeluk worden verleend aan niet-bevoegde gebruikers wanneer kenmerken worden toegevoegd aan objecten. Beheerders moeten expliciet toegang verlenen tot nieuwe kenmerken in plaats van toegang te verwijderen.
Toegang tot gegevens moet worden afgestemd op de bedrijfsbehoeften van de gebruikers. Groepsleden mogen bijvoorbeeld geen toegang hebben tot het filterkenmerk van de groep waarvan ze lid zijn. Het filter kan per ongeluk organisatiegegevens onthullen waartoe de gebruiker normaal gesproken geen toegang heeft.
MPR's moeten effectieve machtigingen in het systeem weerspiegelen
Vermijd het verlenen van machtigingen aan kenmerken die de gebruiker nooit kan gebruiken. U moet bijvoorbeeld geen toestemming verlenen om kernresourcekenmerken zoals objectType te wijzigen. Ondanks de MPR wordt elke poging om het type van een resource te wijzigen nadat de resource is gemaakt, geweigerd door het systeem.
Leesmachtigingen moeten gescheiden zijn van machtigingen wijzigen en maken bij het gebruik van expliciete kenmerken in MPR's
Wanneer kenmerken expliciet worden vermeld in MPR's, zijn de kenmerken die vereist zijn voor Maken en Wijzigen meestal anders dan de kenmerken die beschikbaar zijn voor Lezen. Lezen kan bijvoorbeeld worden verleend via systeemkenmerken, zoals Creator of objectId, terwijl Maken of Wijzigen niet kan worden opgegeven voor systeemkenmerken.
Machtigingen maken moet gescheiden zijn van machtigingen wijzigen wanneer u expliciete kenmerken in regels gebruikt
Voor de bewerking Maken moet de gebruiker het objectType selecteren als onderdeel van de bewerking. Dit kenmerk is een kernsysteemkenmerk dat niet kan worden gewijzigd na een create-bewerking.
Gebruik één aanvraag-MPR voor alle kenmerken met dezelfde toegangsvereisten
Voor kenmerken met dezelfde toegangsvereisten die niet worden verwacht te veranderen, kunt u deze combineren tot één aanvraag MPR voor efficiëntie.
Voorkom dat u onbeperkte toegang krijgt tot geselecteerde principal-groepen
In MIM worden machtigingen gedefinieerd als een positieve assertie. Omdat MIM geen ondersteuning biedt voor weigeringsmachtigingen, maakt het verlenen van onbeperkte toegang tot een resource het bieden van uitsluitingen in de machtigingen ingewikkeld. Als best practice verleent u alleen de benodigde machtigingen.
TMPR's gebruiken om aangepaste rechten te definiëren
Gebruik MPR's (Set Transition MPR's) in plaats van RMPR's om aangepaste rechten te definiëren. TMPR's bieden een model op basis van status om rechten toe te wijzen of te verwijderen op basis van het lidmaatschap van de gedefinieerde overgangssets of rollen en de bijbehorende werkstroomactiviteiten. TMPR's moeten altijd worden gedefinieerd in paren, één voor resources die overstappen en één voor resources die worden overgestapt. Daarnaast moet elke overgangs-MPR afzonderlijke werkstromen bevatten voor het inrichten en ongedaan maken van de inrichtingsactiviteiten.
Notitie
Elke werkstroom voor het ongedaan maken van de inrichting moet ervoor zorgen dat het kenmerk Uitvoeren bij beleidsupdate is ingesteld op waar.
De overgang instellen in MPR voor het laatst inschakelen
Wanneer u een TMPR-paar maakt, schakelt u De overgang instellen in MPR als laatste in. Deze volgorde zorgt ervoor dat er geen resource overblijft met het recht als deze wordt toegevoegd aan en verwijderd uit de set terwijl IN MPR is ingeschakeld, maar voordat OUT MPR is ingeschakeld.
Werkstromen in TMPR moeten eerst de doelresourcestatus controleren
De inrichtingswerkstromen moeten eerst controleren om te bepalen of de doelresource al is ingericht in overeenstemming met het recht. Als dat het geval is, zou het niets moeten doen.
Het ongedaan maken van de inrichting van werkstromen moet eerst controleren om te bepalen of de doelresource is ingericht. Als dit het geval is, moet de inrichting van de doelresource ongedaan worden gemaakt. Anders zou het niets moeten doen.
Uitvoeren bij beleidsupdate voor TMPR's selecteren
Deze instelling zorgt ervoor dat het juiste inrichtingsgedrag van toepassing is wanneer beleidsupdates worden geïmplementeerd en de vlag RunOn Policy-update gebruiken voor actiewerkstromen die zijn gekoppeld aan de TMPR's, en dat wijzigingen in de beleidsdefinities de actiewerkstromen toepassen op nieuwe leden van de overgangsset.
Vermijd het koppelen van hetzelfde recht aan twee verschillende overgangssets
Het koppelen van hetzelfde recht aan twee verschillende overgangssets kan leiden tot onnodig intrekken en opnieuw verlenen van rechten als de resource van de ene set naar de andere wordt verplaatst. Als best practice moet u ervoor zorgen dat één set alle resources bevat waarvoor het bijbehorende recht is vereist. Deze procedure zorgt voor een een-op-een-relatie tussen de overgangsset en het recht dat de werkstroom verleent.
Een geschikte reeks bewerkingen gebruiken bij het verwijderen van rechten in het systeem
De volgorde van de stappen die worden uitgevoerd bij het verwijderen van rechten in het systeem, kan leiden tot twee verschillende operationele resultaten. Zorg ervoor dat u begrijpt welke volgorde van toepassing is op het gewenste effect.
Een recht van het systeem verwijderen (en intrekken van alle leden die momenteel het recht hebben):
Schakel de T-In MPR uit. Deze wijziging voorkomt nieuwe subsidies.
Verwijder het T-setfilter of wijzig het zodat de set leeg is. Dit zorgt ervoor dat alle bestaande leden overstappen en het overgangsbeleid toepassen, inclusief de geconfigureerde werkstromen voor het ongedaan maken van de inrichting die aan het recht zijn gekoppeld.
Schakel de T-Out MPR uit.
Als u een recht wilt verwijderen, maar de huidige leden alleen wilt laten (bijvoorbeeld stoppen met het gebruik van MIM om het recht te beheren):
Schakel de T-In MPR uit. Deze wijziging voorkomt nieuwe subsidies.
Schakel de T-Out MPR uit.
Verwijder het T-setfilter of wijzig het zodat de set leeg is. Omdat de set niet meer is gekoppeld aan een TMPR, worden er geen werkstromen voor het ongedaan maken van de inrichting toegepast.
Ingesteld
Wanneer u de aanbevolen procedures voor sets toepast, moet u rekening houden met de impact van de optimalisaties op de beheerbaarheid en het gemak van toekomstig beheer. Er moeten passende tests op de verwachte productieschaal worden uitgevoerd om de juiste balans tussen prestaties en beheerbaarheid te identificeren voordat deze aanbevelingen worden toegepast.
Notitie
Alle volgende richtlijnen zijn van toepassing op dynamische sets en dynamische groepen.
Het gebruik van dynamische nesting minimaliseren
Dit verwijst naar het filter van een set die verwijst naar het kenmerk ComputedMember van een andere set. Een veelvoorkomende reden voor het nesten van sets is om te voorkomen dat een lidmaatschapsvoorwaarde in veel sets wordt gedupliceerd. Hoewel deze aanpak kan leiden tot een betere beheerbaarheid van de sets, is er sprake van een compromis tussen prestaties. U kunt de prestaties optimaliseren door de lidmaatschapsvoorwaarden van een geneste set te dupliceren in plaats van de set zelf te nesten.
U kunt gevallen tegenkomen waarbij u nestsets niet kunt vermijden om te voldoen aan een functionele vereiste. Dit zijn de belangrijkste situaties waarin u sets moet nesten. Als u bijvoorbeeld de set van alle groepen wilt definiëren zonder Full-Time Eigenaren van werknemers, moet het nesten van sets als volgt worden gebruikt: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], waarbij X de ObjectID is van de set Alle fulltime werknemers.
Het gebruik van negatieve omstandigheden minimaliseren
Negatieve voorwaarden zijn de lidmaatschapsvoorwaarden die gebruikmaken van de volgende operators of functies: !=, not(), \< , \<=. Als u wilt optimaliseren voor prestaties, indien mogelijk, geeft u de gewenste voorwaarde aan met meerdere positieve voorwaarden in plaats van als een negatieve voorwaarde.
Het gebruik van lidmaatschapsvoorwaarden minimaliseren op basis van referentiekenmerken met meerdere waarden
Het gebruik van voorwaarden op basis van referentiekenmerken met meerdere waarden moet worden geminimaliseerd omdat grote aantallen van deze sets van invloed kunnen zijn op de prestaties van bewerkingen op het kenmerk dat in de lidmaatschapsvoorwaarde wordt gebruikt.
Wachtwoord opnieuw instellen
Kioskachtige computers die worden gebruikt voor wachtwoordherstel, moeten lokale beveiliging instellen om het paginabestand van het virtuele geheugen te wissen
Bij het implementeren van het MIM-wachtwoordherstel op een werkstation dat bedoeld is als kiosk, raden we u aan de instelling Afsluiten: Wisselbestand voor virtueel geheugen wissen lokale beveiligingsbeleidsinstelling in te schakelen om ervoor te zorgen dat gevoelige informatie uit het procesgeheugen niet beschikbaar is voor onbevoegde gebruikers.
Gebruikers moeten zich altijd registreren voor wachtwoordherstel op een computer waarop ze zijn aangemeld
Wanneer een gebruiker zich probeert te registreren voor wachtwoordherstel via een webportal, start MIM altijd registratie namens de aangemelde gebruiker, ongeacht wie is aangemeld op de website. Gebruikers moeten zich altijd registreren voor het opnieuw instellen van een wachtwoord op een computer waarop ze zijn aangemeld.
Stel de registersleutel AvoidPdcOnWan niet in op true
Als u MIM 2016 voor wachtwoordherstel gebruikt, moet u de registersleutel AvoidPdcOnWan niet instellen op true.
Als deze registersleutel is ingesteld op true, doorloopt de gebruiker zeer waarschijnlijk de wachtwoordpoorten, heeft het wachtwoord opnieuw ingesteld op de primaire domeincontroller (PDC) en probeert zich aan te melden. Vanwege deze registersleutel voert de lokale domeincontroller de secundaire validatie niet uit met de PDC, waardoor de aanmeldingsaanvraag wordt geweigerd. Als de gebruiker voldoende tijd wordt geweigerd, kan deze worden vergrendeld in het domein en moet u contact opnemen met ondersteuning.
Logboekregistratie van wachtwoorden zonder tekst niet inschakelen
Het is mogelijk om niet-gecodeerde wachtwoorden te registreren bij het inschakelen van tracering op diagnostisch serviceniveau in Windows
Communication Foundation (WCF). Deze optie is niet standaard ingeschakeld en u wordt afgeraden deze in te schakelen in productieomgevingen. Deze wachtwoorden zijn zichtbaar als duidelijke tekstelementen in een versleuteld SOAP-bericht (Simple Object Access Protocol) wanneer gebruikers zich registreren voor het opnieuw instellen van wachtwoorden. Zie Message Logging configurerenvoor meer informatie.
Een autorisatiewerkstroom niet toewijzen aan het proces voor wachtwoordherstel
U moet geen autorisatiewerkstroom koppelen aan een bewerking voor het opnieuw instellen van wachtwoorden. Voor wachtwoordherstel zijn synchrone respons- en autorisatiewerkstromen vereist die activiteiten bevatten zoals de goedkeuringsactiviteit asynchroon zijn.
Meerdere actieactiviteiten niet toewijzen aan het opnieuw instellen van wachtwoorden
U moet een werkstroom die meer dan één actieactiviteit bevat niet koppelen aan een bewerking voor het opnieuw instellen van een wachtwoord. Een voorbeeldscenario is het koppelen van een tweede AD DS-activiteit voor het opnieuw instellen van wachtwoorden aan een MPR voor wachtwoordherstel. Een dergelijk scenario wordt niet ondersteund.
Registratie vereisen bij het toevoegen, verwijderen of wijzigen van de volgorde van activiteiten in een bestaande werkstroom
Wanneer u de volgorde van verificatieactiviteiten in een bestaande werkstroom toevoegt, verwijdert of wijzigt, selecteert u altijd de optie om opnieuw te registreren. Gebruikers die proberen zich te verifiëren voor wachtwoordherstel nadat een activiteit is toegevoegd aan of verwijderd uit een werkstroom, maar voordat ze opnieuw zijn geregistreerd, kunnen ongewenste effecten optreden.
Weergaveconfiguratie van portal en resourcebeheer
Overweeg om een privacy disclaimer toe te voegen aan de gebruikersprofielpagina
In MIM kunnen sommige gebruikersprofielgegevens standaard worden weergegeven voor andere gebruikers. Beheerders moeten, met dank aan de gebruikers, overwegen om aangepaste tekst toe te voegen die consistent is met het beleid van hun bedrijf op de pagina Gebruikersprofiel. Zie Inleiding tot het configureren en aanpassen van de FIM-portal-voor meer informatie over het toevoegen van aangepaste tekst aan een MIM-portalpagina.
Schema
Resourcetypen persoon of groep niet verwijderen
Hoewel de resourcetypen Persoon en Groep niet zijn gemarkeerd als kernresourcetypen, mogen de resources zelf of de kenmerken die eraan zijn toegewezen, niet worden verwijderd. De gebruikersinterface (UI) in de MIM-portal vereist dat de resourcetypen Persoon en Groep en hun kenmerken aanwezig zijn.
De kernkenmerken niet wijzigen
Er zijn 13 kernkenmerken toegewezen aan alle resourcetypen. U moet de relatie met elk resourcetype niet wijzigen. De 13 kernkenmerken zijn:
Aanmaaktijd
Schepper
DeletedTime
Beschrijving
DetectedRulesList • DisplayName
ExpectedRulesList
ExpirationTime
Oord
MVObjectID
ObjectID
ObjectType
ResourceTime
Schemaresource niet verwijderen met een afhankelijkheid van controlevereisten
Verwijder uw schemabronnen niet terwijl u nog steeds controlevereisten voor deze resources hebt.
Normale expressies niet hoofdlettergevoelig maken
In MIM kan het handig zijn om een aantal reguliere expressies niet hoofdlettergevoelig te maken. U kunt hoofdletters binnen een groep negeren met behulp van ?!:. Gebruik bijvoorbeeld voor Werknemerstype
\^(?!:contractor\|full time employee)%.
Berekening van het lidkenmerk
Het kenmerk Lid dat aan de synchronisatie-engine wordt blootgesteld, wordt daadwerkelijk toegewezen aan ComputedMembers. Het is een combinatie van leden op basis van criteria en handmatig geselecteerde leden. Zelfs als u alle drie kenmerken toevoegt (Filter, ExplicitMembers en ComputedMembers), vindt de dynamische berekening van het lidkenmerk niet plaats voor andere resourcetypen dan voor groep en set.
Voorloop- en volgspaties in tekenreeksen worden genegeerd
In MIM kunt u tekenreeksen invoeren met voorloop- en volgspaties, maar het MIM-systeem negeert deze spaties. Als u een tekenreeks met een voorloop- en volgruimte verzendt, negeren de synchronisatie-engine en webservices deze spaties.
Lege tekenreeksen zijn niet gelijk aan null
Lege tekenreeksen zijn niet gelijk aan null in deze versie van MIM. Lege tekenreeksinvoer wordt beschouwd als een geldige waarde. Niet aanwezig wordt beschouwd als null.
Werkstroom- en aanvraagverwerking
Standaardwerkstromen die worden verzonden met MIM 2016 niet verwijderen
De volgende werkstromen worden geleverd met MIM en mogen niet worden verwijderd:
Verloopwerkstroom
Filtervalidatiewerkstroom voor beheerders
Filtervalidatiewerkstroom voor niet-beheerders
Werkstroom voor groepsverloopmeldingen
Werkstroom voor groepsvalidatie
Werkstroom voor goedkeuring van eigenaar
Werkstroom voor actie voor het opnieuw instellen van wachtwoorden
Werkstroom voor verificatie opnieuw instellen van wachtwoord
Validatie van aanvrager met autorisatie van eigenaar
Validatie van aanvrager zonder eigenaarsautorisatie
Systeemwerkstroom vereist voor registratie
Voer niet twee of meer ApprovalActivities parallel uit
U mag twee of meer ApprovalActivities niet parallel uitvoeren. Dit kan ertoe leiden dat de aanvraag vastloopt in de autorisatiefase. Neem voor meerdere goedkeuringen een grotere lijst met goedkeurders op in de goedkeuring of volg de twee activiteiten terug-naar-back.
Autorisatieactiviteiten mogen geen MIM-resourcesgegevens wijzigen
Vermijd het gebruik van activiteiten die de MIM-resources wijzigen, zoals de activiteit functie-evaluator, als onderdeel van de werkstromen in autorisatiewerkstromen. Omdat de aanvraag niet is doorgevoerd in het autorisatiepunt van de verwerking, kunnen eventuele wijzigingen die worden uitgevoerd op de identiteitsgegevens worden toegepast ondanks dat de aanvraag mogelijk wordt geweigerd.
Informatie over FIM-servicepartities
Het doel van MIM is het verwerken van aanvragen die kunnen worden gestart door verschillende MIM-clients, zoals de FIM-synchronisatieservice en de selfserviceonderdelen volgens uw geconfigureerde bedrijfsbeleid. Elk FIM-service-exemplaar behoort standaard tot een logische groep die bestaat uit een of meer FIM-service-exemplaren, ook wel FIM-servicepartitie genoemd. Als u slechts één FIM-service-exemplaar hebt geïmplementeerd om alle aanvragen af te handelen, is het mogelijk dat u latenties verwerkt. Sommige bewerkingen kunnen zelfs de standaardtime-outwaarden overschrijden die geschikt zijn voor selfservicebewerkingen. FIM-servicepartities kunnen u helpen dit probleem op te lossen.
Zie Informatie over FIM-servicepartitiesvoor meer informatie.
Volgende stappen
- handleiding voor back-up en herstel van FIM
- overzicht van herstelmodel.