本主題描述部署和作 Microsoft Identity Manager 2016 (MIM) 的最佳做法
SQL 安裝程式
備註
下列設定執行 SQL 的伺服器的建議假設 SQL 實例專用於 FIMService,以及專用於 FIMSynchronizationService 資料庫的 SQL 實例。 如果您在合併的環境中執行 FIMService,則必須調整適合您的設定。
結構化查詢語言 (SQL) 伺服器的設定對於最佳系統效能至關重要。 在大規模實作中達到最佳 MIM 效能,取決於執行 SQL 之伺服器的最佳做法應用。 如需詳細資訊,請參閱關於 SQL 最佳做法的下列主題:
預先化數據和記錄檔
請勿依賴自動成長。 相反地,請手動管理這些檔案的成長。 基於安全考慮,您可以讓自動成長,但您應該主動管理數據文件的成長。 如需 MIM 資料庫的範例大小,請參閱 FIM 容量規劃指南。
預先化 SQL 數據和記錄檔
啟動 SQL Server Management Studio。
流覽至資料庫 FIMService,以滑鼠右鍵按兩下 [FIMService],然後按兩下 [屬性]。
在 [檔案] 頁面上,將資料庫檔案展開為所需的大小。
隔離記錄檔與數據檔
請遵循 SQL Server 最佳做法,將資料庫的交易和數據記錄檔隔離到不同的實體磁碟。
建立其他 tempdb 檔案
為了獲得最佳效能,建議您在 tempdb 檔案中為每個 CPU 核心建立一個數據檔。
若要建立其他 tempdb 檔案
啟動 SQL Server Management Studio。
流覽至系統資料庫中的資料庫 tempdb,以滑鼠右鍵按兩下 tempdb,然後按兩下 [屬性]。
在 [檔案] 頁面上,為每個CPU核心建立一個數據檔。 請務必將tempdb資料和記錄檔分成不同的磁碟驅動器和主軸。
確定記錄檔有足夠的空間
請務必了解恢復模式的磁碟需求。 在初始系統載入期間,簡單恢復模式可能適合限制磁碟空間的使用,但在您最近的備份之後所建立的數據會公開給數據遺失。 使用完整復原模式時,您必須透過包含事務歷史記錄頻繁備份的備份來管理磁碟使用量,以防止高磁碟空間使用量。 如需詳細資訊,請參閱 恢復模式概觀。
限制 SQL Server 記憶體
視您在 SQL Server 上的記憶體數量而定,以及如果您與其他服務共用 SQL Server(也就是 MIM 2016 服務和 MIM 2016 同步處理服務),您可能想要限制 SQL 的記憶體耗用量。 您可以透過下列步驟來設定此限制。
啟動 SQL Server Enterprise Manager。
選取 [新增查詢]。
執行下列查詢:
USE master EXEC sp_configure 'show advanced options', 1 RECONFIGURE WITH OVERRIDE USE master EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE WITH OVERRIDE此範例會將 SQL Server 重新設定為不超過 12 GB 的記憶體。
使用下列查詢來確認設定:
USE master EXEC sp_configure 'max server memory (MB)'--- verify the setting USE master EXEC sp_configure 'show advanced options', 0 RECONFIGURE WITH OVERRIDE
備份和復原組態
一般而言,您應該與資料庫管理員合作,設計備份和復原策略。 一些建議包括:
- 根據組織的備份原則執行資料庫備份。
- 如果未規劃累加記錄備份,資料庫應該設定為簡單恢復模式。
- 在實作備份策略之前,請務必先瞭解不同恢復模式的影響。 了解這些模型的磁碟空間需求。 完整恢復模式需要頻繁的記錄備份,以避免使用高磁碟空間。
如需詳細資訊,請參閱 恢復模式概觀 和 FIM 2010 備份與還原指南。
安裝之後,為 FIM 服務建立備份系統管理員帳戶
FIMService Administrators 集合的成員對於 MIM 部署作業而言具有唯一許可權。 如果您無法以系統管理員設定的一部分登入,唯一的解決方法是回復到系統的先前備份。 若要減輕這種情況,建議您將其他使用者新增至 FIM 系統管理集,作為安裝後設定的一部分。
FIM 服務
設定 FIM 服務服務 Exchange 信箱
以下是為 MIM 2016 服務帳戶設定 Microsoft Exchange Server 的最佳做法。
- 設定服務帳戶,使其只能接受來自內部電子郵件地址的郵件。 具體而言,服務帳戶信箱永遠無法從外部 SMTP 伺服器接收郵件。
設定服務帳戶
在 Exchange 管理控制台中,選取 FIM 服務帳戶。
選取 [屬性],選取 [郵件流程設定],然後選取 [郵件傳遞限制]。
選取 [[要求所有寄件人都經過驗證] 複選框。
如需詳細資訊,請參閱 設定訊息傳遞限制。
設定服務帳戶,使其拒絕大小大於 1 MB 的郵件。 請遵循最佳做法來 設定信箱或 Mail-Enabled 公用資料夾的郵件大小限制。
設定服務帳戶,使其具有5 GB的信箱記憶體配額。 為了獲得最佳結果,請遵循 設定信箱的記憶體配額中所列的最佳做法。
MIM 入口網站
停用 SharePoint 索引編制
建議您停用 office SharePoint® 索引編製Microsoft。 不需要編製索引的檔。 索引編製會導致 MIM 中的許多錯誤記錄專案和潛在的效能問題。 若要停用 SharePoint 索引編制,請執行下列步驟:
在裝載 MIM 2016 入口網站的伺服器上,按兩下 [啟動]。
按兩下 [所有程式]。
在 [所有程式] 列表中,按兩下 [系統管理工具]。
在 [系統管理工具] 底下,按兩下 [SharePoint 管理中心]。
在 [管理中心] 頁面上,按兩下 [作業]。
在 [作業] 頁面的 [全域組態] 底下,按兩下 [定時器工作定義]。
在 [定時器工作定義] 頁面上,按兩下 [SharePoint 服務搜尋重新整理]。
在 [編輯定時器工作] 頁面上,按兩下 [停用]。
MIM 2016 初始數據載入
本節列出一系列步驟,以提升從外部系統到 MIM 的初始數據載入效能。 請務必瞭解,只有系統初始母體擴展期間才會執行這些步驟。 載入完成時應該重設它們。 這些步驟適用於一次性作業,而不是連續同步處理。
這很重要
請確定您已套用本指南的 SQL 設定一節所涵蓋的最佳做法。
步驟 1:設定 SQL Server 以載入初始數據
數據的初始載入可能是一個冗長的程式。 當您打算一開始載入大量資料時,您可以藉由暫時關閉全文搜索來縮短填入資料庫所需的時間,並在 MIM 2016 管理代理程式 (FIM MA) 的導出完成後再次開啟它。
若要暫時關閉全文搜尋:
啟動 SQL Server Management Studio。
選取 [新增查詢]。
執行下列 SQL 語句:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL
這很重要
若未實作這些程式,可能會導致磁碟空間使用量過高,可能會導致磁碟空間不足。 您可以在 恢復模式概觀中找到本主題的其他詳細數據。 FIM 備份與還原指南 包含其他資訊。
步驟 2:在載入程式期間套用必要的 MIM 設定下限
在初始載入程式期間,您應該只針對管理原則規則 (MPR) 和設定定義,將所需的最低設定套用至 FIM 組態。 完成數據載入之後,請建立部署所需的其他集合。 使用動作工作流程上的 [Run-On 原則更新] 設定,在載入的數據上追溯套用這些原則。
步驟 3:以外部身分識別數據設定 FIM 服務並填入
此時,您應該遵循如何從 Active Directory 網域服務將使用者同步至 FIM 指南中所述的程式,設定和同步處理系統與 Active Directory 中的使用者。 如果您需要同步處理群組資訊,如何將群組從 Active Directory 網域服務同步至 FIM 指南中說明該程式的程式。
同步處理和匯出序列
若要優化效能,請在同步處理執行之後執行匯出,以在連接器空間中產生大量擱置的導出作業。 然後,在與受影響連接器空間相關聯的管理代理程式上執行確認匯入執行。 例如,當您需要在數個管理代理程式上執行同步處理執行配置檔作為初始數據載入的一部分時,您應該在每個個別同步處理執行之後執行匯出,然後執行差異匯入。 針對屬於初始化週期的每個來源管理代理程式,請執行下列步驟:
來源管理代理程式的完整匯入。
來源管理代理程式的完整同步處理。
在具有分段導出作業的所有受影響目標管理代理程序上匯出。
具有分段匯出作業之所有受影響目標管理代理程序的差異匯入。
步驟 4:套用完整的 MIM 設定
完成初始數據載入之後,您應該為部署套用完整的 MIM 組態。
視您的案例而定,此步驟可能包括建立其他集合、MPR 和工作流程。 對於任何需要追溯套用至系統中所有現有對象的原則,請使用動作工作流程上的執行原則更新設定,在載入的數據上回溯套用這些原則。
步驟 5:將 SQL 重新設定為先前的設定
請記得將 SQL 設定變更為其一般設定。 這些變更包括:
開啟全文搜索
根據您的組織原則更新備份原則
完成初始數據載入之後,您必須再次開啟全文搜索。 執行下列 SQL 語句以再次開啟全文搜索:
ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO
如果您必須切換至簡單復原模式,請確定您已根據組織的備份原則重新設定備份排程。 如需 FIM 備份排程的其他詳細資料,請參閱 FIM 備份與還原指南。
設定移轉
避免變更顯示名稱
對於許多物件類型,例如 MPR,syncproduction.ps1 腳本會使用顯示名稱作為兩個系統之間的唯一錨點屬性。 因此,變更現有的 MPR 顯示名稱會導致刪除現有的 MPR,然後建立新的 MPR。 之所以會發生此結果,是因為移轉程式無法成功加入聯結準則已變更的 MPR。 若要避免此問題,您可以將自定義屬性系結至所有組態物件類型,並使用該屬性作為聯結準則。 此程式可讓您修改顯示名稱,而不會影響移轉程式。
避免變更中繼檔案的內容
雖然低階物件的檔案格式和應用程式開發介面 (API) 是公用的,而且開發人員支援作,但我們不建議您在移轉期間變更中繼格式的內容。 不過,您可能需要從 changes.xml 移除整個 ImportObjects,或在 pilot.xml 上執行尋找和取代作業,以取代生產 DNS 資訊的版本號碼或試驗功能變數名稱系統 (DNS) 資訊。
確定跨版本移轉時,pilot.xml 中的版本號碼正確
雖然不建議或支援跨版本號碼的移轉,但您通常可以將試驗版本號碼取代為 pilot.xml中的生產版本號碼來進行此移轉。 具體來說,WorkflowDefinition 和
ActivityInformationConfiguration 物件需要版本號碼,才能精確地參考生產環境中的工作流程活動。 無法取代版本號碼會導致 Compare-FIMConfig Cmdlet 識別 WorkflowDefinitions 上 Extensible Object Markup Language (XOML) 屬性之間的差異,以及移轉試驗的版本號碼。 生產 FIM 服務可能無法啟動版本號碼不正確的工作流程活動。
避免循環參考
一般而言,MIM 組態中不建議使用循環參考。 不過,當 Set A 是指 Set B,而 Set B 也是指 Set A 時,有時會發生迴圈。若要避免循環參考的問題,您應該變更 Set A 或 Set B 的定義,讓兩者都不要彼此參考。 然後,重新啟動移轉程式。 如果您有循環參考,且 Compare-FIMConfig Cmdlet 會產生錯誤,則必須手動中斷迴圈。 因為 Compare-FIMConfig Cmdlet 會依優先順序輸出變更清單,所以它要求組態對象的參考之間沒有任何迴圈存在。
安全
MIM MA 帳戶
MIM MA 帳戶不會被視為服務帳戶,而且應該是一般用戶帳戶。 帳戶必須能夠在本機登入,FIM 同步處理服務帳戶才能模擬它。
啟用 MIM MA 帳戶在本機登入
按兩下 [開始],按兩下 [系統管理工具],然後按兩下 [本機安全策略]。
開啟 [本機原則] 節點,然後按兩下 [用戶權力指派]。
在 [允許在本機登入] 原則中,確定已明確指定 FIM MA 帳戶,或將其新增至已授與存取權的其中一個群組。
FIM 同步處理服務和 FIM 服務帳戶
若要以安全的方式設定執行 MIM 伺服器元件的伺服器,應限制服務帳戶。 使用先前的程式來開啟 MIM MA 帳戶,在 FIM 同步處理服務和 FIM 服務帳戶上設定下列限制:
拒絕以批作業登入
拒絕在本機登入
拒絕從網路存取這台電腦
服務帳戶不應該是本機系統管理員群組的成員。
FIM 同步處理服務服務帳戶不應該是用來控制 FIM 同步處理服務存取權的安全組成員(例如 FIMSyncAdmins 等等的群組)。
這很重要
如果您針對服務帳戶選取相同帳戶的選項,而且您要分隔 FIM 服務和 FIM 同步處理服務,則您無法從 mms Synchronization Service 伺服器上的網路設定 [拒絕存取此電腦] 。 如果拒絕存取,會禁止 FIM 服務連絡 FIM 同步處理服務以變更組態和管理密碼。
部署至類似 kiosk 的電腦的密碼重設應設定本機安全性以清除虛擬記憶體頁面檔
在想要為 kiosk 的工作站上部署 FIM 密碼重設時,建議開啟 Shutdown: Clear virtual memory pagefile 本機安全策略設定,以確保來自進程記憶體的敏感性資訊不適用於未經授權的使用者。
實作 FIM 入口網站的 SSL
強烈建議您在 FIM 入口網站伺服器上使用安全套接字層 (SSL),以保護客戶端與伺服器之間的流量。
若要實作 SSL:
在 MIM 入口網站伺服器上,開啟 IIS 管理員。
按兩下本機電腦名稱。
按兩下 [伺服器憑證]。
按兩下 [建立憑證要求]。
在 [一般名稱] 文本框中,輸入伺服器的名稱。
按 [下一步],然後按 [下一步]。
將檔案儲存至任何位置。 您必須在後續步驟中存取此位置。
瀏覽至 https://servername/certsrv. 將 servername 取代為伺服器頒發證書的名稱。
按兩下 [要求新的憑證]。
按兩下 [提交進階要求]。
使用base-64編碼按兩下 [提交憑證要求]。
貼上您在上一個步驟中儲存的檔案內容。
在 [證書範本] 中,選取 [網頁伺服器]。
按兩下 [提交]。
將憑證儲存至桌面。
在 [IIS 管理員] 中,按兩下 [完成認證要求]。
將 IIS 管理員指向您剛儲存至桌面的憑證。
針對 [易記名稱],輸入伺服器的名稱。
按兩下 [網站],然後選取 [SharePoint – 80]。
按兩下 [系結],然後按兩下 [新增]。
選取 [https]。
針對憑證,選取與伺服器同名的憑證,也就是您剛匯入的憑證。
按兩下 [確定]。
拿掉 HTTP 系結。
按兩下 [SSL 設定],然後核取 [需要SSL]。
儲存設定。
按兩下 [開始],按兩下 [系統管理工具],然後按兩下 [SharePoint 3.0 管理中心]。
按兩下 [作業],然後按兩下 [替代存取對應]。
按一下 https://servername.
將 https://servername 變更為 https://servername,然後按兩下 [確定]。
按兩下 [開始],按兩下 [執行],輸入 iisreset,然後按兩下 [確定]。
性能
為了獲得最佳效能設定:
如本檔中的 SQL 設定一節所述,套用 SQL 設定最佳做法。
關閉 MIM 入口網站上 SharePoint 索引。 如需詳細資訊,請參閱 停用 SharePoint 索引編製 一節。
功能特定最佳做法
要求管理
根據預設,MIM 2016 會清除已過期的系統物件,其中包含在 30 天間隔內具有相關聯核准、核准回應和工作流程實例的已完成要求。 如果您的組織需要較長的要求歷程記錄,您應該從 MIM 匯出要求,並將其儲存在輔助資料庫中,以保留超過 30 天的時間範圍。 雖然可設定 30 天的要求刪除視窗,但擴充此視窗可能會因為系統中的其他物件而對效能造成負面影響。
管理原則規則
使用適當的 MPR 類型
MIM 提供兩種類型的 MPR:要求和設定轉換:
要求 MPR (RMPR)
- 用來針對資源定義建立、讀取、更新或移除 (CRUD) 作業的存取控制原則 (驗證、授權和動作)
- 針對 MIM 中的目標資源發出 CRUD 作業時套用,且
- 範圍是由規則中定義的比對準則所限定,也就是 CRUD 要求套用規則的範圍。
設定轉換 MPR (TMPR)
- 使用 來定義原則,不論物件如何進入轉換集所表示的目前狀態。 使用TMPR來建立權利原則的模型。
- 當資源進入或離開相關聯的集合時套用,以及
- 範圍設定為集合的成員。
備註
如需詳細資訊,請參閱 設計商務原則規則。
僅視需要啟用 MPR
套用您的設定時,請使用最低許可權原則。 MPR 會控制 MIM 部署的存取原則。 只啟用大部分使用者所使用的這些功能。 例如,並非所有的使用者都使用 MIM 進行群組管理,因此應該停用相關聯的群組管理 MPR。 根據預設,MIM 隨附大部分的非系統管理員許可權已停用。
重複的內建 MPR,而不是直接修改
當需要修改內建 MPR 時,您應該使用必要的設定建立新的 MPR,並關閉內建的 MPR。 建立這個新的 MPR 可確保透過升級程式引進之內建 MPR 的任何未來變更都不會對您的系統設定造成負面影響。
用戶許可權應使用限定於用戶商務需求的明確屬性清單
使用明確屬性清單有助於防止在將屬性新增至物件時意外授與非特殊許可權用戶的許可權。 系統管理員應該明確地需要授與新屬性的存取權,而不是嘗試移除存取權。
存取數據的範圍應限定於用戶的業務需求。 例如,群組成員不應該具有其所屬群組之篩選屬性的存取權。 篩選條件可能會不小心顯示使用者通常無法存取的組織數據。
MPR 應該反映系統中的有效許可權
避免將許可權授與用戶永遠無法使用的屬性。 例如,您不應該授與修改 objectType 等核心資源屬性的許可權。 儘管有 MPR,但系統將會拒絕在建立資源之後修改資源類型的任何嘗試。
在 MPR 中使用明確屬性時,讀取許可權應該與修改和建立許可權分開
在 MPR 中明確列出屬性時,建立和修改所需的屬性通常與 [讀取] 可用的屬性不同。 例如,可透過 Creator 或 objectId 等系統屬性授與 Read,而無法為 System 屬性指定 Create 或 Modify。
在規則中使用明確屬性時,建立許可權應該與修改許可權分開
建立作業需要用戶選取 objectType 做為其作業的一部分。 這個屬性是無法在建立作業之後修改的核心系統屬性。
針對具有相同存取需求的所有屬性使用一個要求 MPR
對於具有相同存取需求且不需要變更的屬性,您可以將它們合併成單一要求 MPR 以提高效率。
避免將不受限制的存取權授與選取的主體群組
在 MIM 中,許可權會定義為正判斷提示。 因為 MIM 不支援拒絕許可權,因此授與不受限制的資源存取會使許可權中的任何排除專案複雜化。 最佳做法是只授與必要的許可權。
使用TMPR來定義自定義權利
使用設定轉換 MPR (TMPR) 而非 RMPR 來定義自定義權利。 TMPR 提供狀態型模型,可根據定義轉換集或角色中的成員資格,以及隨附的工作流程活動來指派或移除權利。 TMPR 應該一律以配對定義,一個用於轉換中的資源,另一個用於資源轉換。此外,每個轉換 MPR 都應該包含個別的工作流程來布建和取消布建活動。
備註
任何取消布建工作流程都應該確保 [執行原則更新] 屬性設定為 true。
在 MPR 中最後啟用設定轉換
建立TMPR配對時,最後開啟 [在 MPR 中設定轉換]。 此順序可確保在開啟 MPR 時,如果資源已新增至集合並從集合中移除,但在開啟 Out MPR 之前,就不會留下任何權利。
TMPR 中的工作流程應該先檢查目標資源狀態
布建工作流程應該先檢查,以判斷目標資源是否已根據權利布建。 如果有,則應該不會執行任何動作。
取消布建工作流程應該先檢查,以判斷是否已布建目標資源。 如果有,則它應該取消布建目標資源。 否則,它應該不會執行任何動作。
針對TMPR選取 [在原則更新上執行]
此設定可確保在實作原則更新時套用正確的布建行為,並在與TMPR相關聯的動作工作流程上使用 RunOn 原則更新旗標,而且原則定義中的變更會將動作工作流程套用至轉換集的新成員。
避免將相同的權利與兩個不同的轉換集產生關聯
如果資源從一個集合移至另一個集合,將相同的權利與兩個不同的轉換集產生關聯,可能會導致不必要的撤銷和重新授與權利。 最佳做法是確保一組包含所有需要相關聯權利的資源。 此程式可確保轉換集與授與工作流程之權利之間的一對一關聯性。
拿掉系統中的權利時,請使用適當的作業順序
拿掉系統中的權利時所執行的步驟順序可能會導致兩個不同的作業結果。 請確定您了解哪個順序適用於您想要的效果。
若要從系統移除權利(並撤銷目前持有權利的所有成員的權利):
停用 T-In MPR。 這項變更可避免新的授與。
刪除 T-Set 篩選或變更它,讓集合是空的。 這會導致所有現有的成員轉換出來並套用轉換出原則,包括與權利相關聯的已設定取消布建工作流程。
停用 T-Out MPR。
若要移除權利,但讓目前成員單獨離開 (例如,停止使用 MIM 來管理權利):
停用 T-In MPR。 這項變更可避免新的授與。
停用 T-Out MPR。
刪除 T-Set 篩選或變更它,讓集合是空的。 因為集合不再系結至TMPR,因此不會套用取消布建工作流程。
組
套用集合的最佳做法時,您必須考慮優化對管理能力和未來管理輕鬆的影響。 應該在預期的生產規模上執行適當的測試,以找出效能與管理性之間的正確平衡,再套用這些建議。
備註
下列所有指導方針都適用於動態集和動態群組。
將動態巢狀的用法降到最低
這是指參考另一個集合之 ComputedMember 屬性的集合篩選。 巢狀集合的常見原因是避免在多個集合之間複製成員資格條件。 雖然這種方法可能會導致更好的集合管理性,但效能取捨。 您可以藉由複製巢狀集合的成員資格條件,而不是巢狀集合本身,來優化效能。
您可能會遇到無法避免巢狀集合以滿足功能需求的情況。 這些是您應該巢狀設定的主要情況。 例如,若要定義不含員工擁有者 Full-Time 的所有群組集合,集合的巢狀必須如下所示:/Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember],其中 『X』 是全全職員工集的 ObjectID。
將負面條件的使用降到最低
負條件是使用下列運算符或函式的成員資格條件:!=、not()、\< 、\<=。 若要盡可能優化效能,請使用多個正條件來表示您想要的條件,而不是負面條件。
根據多重值參考屬性將成員資格條件的使用降到最低
應該最小化以多重值參考屬性為基礎的條件使用,因為這些集合中的大量可能會影響成員資格條件中所使用屬性的作業效能。
密碼重設
用於密碼重設的 Kiosk 型電腦應設定本機安全性以清除虛擬記憶體頁面檔
在想要為 kiosk 的工作站上部署 MIM 密碼重設時,建議開啟 [關機:清除虛擬記憶體] 頁面檔本機安全策略設定,以確保來自進程記憶體的敏感性資訊不適用於未經授權的使用者。
用戶應該一律在登入的計算機上註冊密碼重設
當用戶嘗試透過入口網站註冊密碼重設時,MIM 一律會代表登入的使用者起始註冊,而不論誰登入網站。 用戶應該一律在登入的計算機上註冊密碼重設。
請勿將 AvoidPdcOnWan 登錄機碼設定為 true
使用 MIM 2016 密碼重設時,請勿將 AvoidPdcOnWan 登錄機碼設定為 true。
如果此登錄機碼設定為 true,則使用者很可能通過密碼閘道、在主要域控制器上重設其密碼重設,並嘗試登入。 由於此登錄機碼,本機域控制器不會使用 PDC 執行次要驗證,因此拒絕登入要求。 如果使用者遭到拒絕足夠的時間,他們就可以被鎖定出網域,而且需要呼叫支援。
請勿開啟純文字密碼的記錄
在 Windows 中開啟診斷服務等級追蹤時,可以記錄純文本密碼
Communication Foundation (WCF)。 此選項預設不會開啟,因此建議您不要在生產環境中開啟此選項。 當使用者註冊密碼重設時,這些密碼會在加密的簡單物件存取通訊協定 (SOAP) 訊息中顯示為純文字元素。 如需詳細資訊,請參閱 設定訊息記錄。
請勿將授權工作流程對應至密碼重設程式
您不應該將授權工作流程附加至密碼重設作業。 密碼重設需要包含核准活動等活動的同步回應和授權工作流程是異步的。
請勿將多個動作活動對應至密碼重設
您不應該將包含多個動作活動的工作流程附加至密碼重設作業。 範例案例是將第二個 AD DS 密碼重設活動附加至密碼重設 MPR。 不支援此狀況。
新增、移除或變更現有工作流程中的活動順序時,需要重新註冊
新增、移除或變更現有工作流程中的驗證活動順序時,一律選取需要重新註冊的選項。 在活動新增至工作流程或從工作流程中移除之後,嘗試驗證密碼重設的使用者,但在重新註冊之前,可能會遇到不必要的效果。
入口網站設定和資源控制顯示組態
請考慮將隱私權免責聲明新增至使用者配置檔頁面
在 MIM 中,根據預設,某些使用者配置檔資訊可能會顯示給其他使用者。 系統管理員應該考慮將符合公司原則的自定義文字新增至 [使用者配置檔] 頁面。 如需將自定義文字新增至 MIM 入口網站頁面的詳細資訊,請參閱 設定和自定義 FIM 入口網站簡介。
圖式
請勿刪除人員或群組資源類型
雖然人員與群組資源類型未標示為核心資源類型,但不應該刪除指派給它們的資源本身或屬性。 MIM 入口網站中的使用者介面 (UI) 需要人員與群組資源類型和其屬性存在。
請勿修改核心屬性
指派給所有資源類型的13個核心屬性。 您不應該以任何方式修改其與任何資源類型的關聯性。 13 核心屬性如下:
CreatedTime
造物主
刪除時間
說明
DetectedRulesList • DisplayName
ExpectedRulesList
到期時間
地區設定
MVObjectID
物件識別碼
物件類型
ResourceTime
請勿刪除與稽核需求相依的架構資源
當您仍有這些資源的稽核需求時,您不應該刪除架構資源。
使正則表達式不區分大小寫
在 MIM 中,讓某些正則表達式不區分大小寫會很有説明。 您可以使用 ?!:忽略群組內的案例。 例如,針對員工類型,請使用
\^(?!:contractor\|full time employee)%.
成員屬性的計算
公開給同步處理引擎的成員屬性實際上會對應至 ComputedMembers。 它是準則型成員和手動選取成員的組合。 即使您新增這三個屬性(Filter、ExplicitMembers 和 ComputedMembers),成員屬性的動態計算也不會針對群組和設定以外的資源類型進行。
字串中的前置和尾端空格會被忽略
在 MIM 中,您可以使用前置和尾端空格來輸入字串,但 MIM 系統會忽略這些空格。 如果您提交具有前置和尾端空格的字串,同步處理引擎和 Web 服務會忽略這些空格。
空字串不等於 Null
此版本的 MIM 中,空字串不等於 null。 空字串輸入被視為有效的值。 不存在會被視為 Null。
工作流程和要求處理
請勿刪除 MIM 2016 隨附的預設工作流程
下列工作流程隨附於 MIM,不應刪除:
到期工作流程
篩選系統管理員的驗證工作流程
篩選非系統管理員的驗證工作流程
群組到期通知工作流程
群組驗證工作流程
擁有者核准工作流程
密碼重設動作工作流程
密碼重設驗證工作流程
具有擁有者授權的要求者驗證
沒有擁有者授權的要求者驗證
註冊所需的系統工作流程
請勿平行執行兩個或多個 ApprovalActivities
您不應該平行執行兩個或多個 ApprovalActivities。 這樣做可能會導致要求卡在授權階段。 針對多個核准,請在核准中包含較大的核准者列表,或將兩個活動背靠背排序。
授權活動不應修改 MIM 資源數據
避免使用修改 MIM 資源的活動,例如函式評估工具活動,做為授權工作流程中工作流程的一部分。 由於要求在處理授權點時尚未認可,因此即使要求可能遭到拒絕,仍可套用對身分識別資訊所做的任何修改。
瞭解 FIM 服務分割區
MIM 的目標是要根據您設定的商務原則來處理各種 MIM 用戶端可以起始的要求,例如 FIM 同步處理服務和自助元件。 根據設計,每個 FIM 服務實例都屬於由一或多個 FIM 服務實例組成的邏輯群組,也稱為 FIM 服務分割區。 如果您只部署一個 FIM 服務實例來處理所有要求,您可能會遇到處理延遲。 某些作業甚至可以超過適用於自助作業的預設逾時值。 FIM 服務分割區可協助您解決此問題。
如需詳細資訊,請參閱 瞭解 FIM 服務分割區。