Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Program Microsoft Identity Manger (MIM) współpracuje z domeną usługi Active Directory (AD). Usługa AD powinna już być zainstalowana i upewnij się, że masz kontroler domeny w środowisku dla domeny, którą możesz administrować.
W tym artykule przedstawiono procedurę przygotowania domeny do pracy z programem MIM.
Tworzenie kont użytkowników i grup
Wszystkie składniki wdrożenia programu MIM potrzebują własnych tożsamości w domenie. Obejmuje to składniki programu MIM, takie jak usługa i synchronizacja, a także programy SharePoint i SQL.
Uwaga
W tym przewodniku używane są przykładowe nazwy i wartości firmy o nazwie Contoso. Zastąp je własnymi. Na przykład:
- Nazwa kontrolera domeny — corpdc
- Nazwa domeny — contoso
- Nazwa serwera usługi MIM — corpservice
- Nazwa serwera synchronizacji programu MIM — corpsync
- Nazwa programu SQL Server — corpsql
- Hasło — Pass@word1
Zaloguj się do kontrolera domeny jako administrator domeny (np. Contoso\Administrator).
Utwórz następujące konta użytkowników dla usług MIM. Uruchom program PowerShell i wpisz następujący skrypt programu PowerShell, aby zaktualizować domenę.
import-module activedirectory $sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force New-ADUser –SamAccountName MIMINSTALL –name MIMINSTALL Set-ADAccountPassword –identity MIMINSTALL –NewPassword $sp Set-ADUser –identity MIMINSTALL –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMMA –name MIMMA Set-ADAccountPassword –identity MIMMA –NewPassword $sp Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSync –name MIMSync Set-ADAccountPassword –identity MIMSync –NewPassword $sp Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMService –name MIMService Set-ADAccountPassword –identity MIMService –NewPassword $sp Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName MIMSSPR –name MIMSSPR Set-ADAccountPassword –identity MIMSSPR –NewPassword $sp Set-ADUser –identity MIMSSPR –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SharePoint –name SharePoint Set-ADAccountPassword –identity SharePoint –NewPassword $sp Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName SqlServer –name SqlServer Set-ADAccountPassword –identity SqlServer –NewPassword $sp Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1 New-ADUser –SamAccountName BackupAdmin –name BackupAdmin Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1 New-ADUser –SamAccountName MIMpool –name MIMpool Set-ADAccountPassword –identity MIMPool –NewPassword $sp Set-ADUser –identity MIMPool –Enabled 1 -PasswordNeverExpires 1Utwórz grupy zabezpieczeń dla wszystkich grup.
New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator Add-ADGroupmember -identity MIMSyncAdmins -Members MIMService Add-ADGroupmember -identity MIMSyncAdmins -Members MIMInstallAdd SPNs to enable Kerberos authentication for service accounts
setspn -S http/mim.contoso.com Contoso\mimpool setspn -S http/mim Contoso\mimpool setspn -S http/passwordreset.contoso.com Contoso\mimsspr setspn -S http/passwordregistration.contoso.com Contoso\mimsspr setspn -S FIMService/mim.contoso.com Contoso\MIMService setspn -S FIMService/corpservice.contoso.com Contoso\MIMServicePodczas instalacji należy dodać następujące rekordy DNS "A" do prawidłowego rozpoznawania nazw
- mim.contoso.com Point to corpservice physical ip address
- passwordreset.contoso.com Point to corpservice physical ip address
- passwordregistration.contoso.com Point to corpservice physical ip address