Importieren aus Active Directory

IT Asset Management (Cloud)

Damit manuelle Eingaben verringert und erweiterte Inventarisierungsfunktionen ermöglicht werden können, importiert die Inventarisierungsstation Daten aus Active Directory (falls verfügbar): Dabei sind Domänen, Standorte, Subnetze, Benutzer und Computer verfügbar. (Um Lizenzen für Anwendungen zu verwalten, bei denen der Zugriff über die Gruppenmitgliedschaft kontrolliert wird, zum Beispiel solche, die über Citrix und App-V bereitgestellt werden, importiert IT Asset Management auch Active Directory-Gruppen zusammen mit den Details, welcher Benutzer zu welcher Gruppe gehört. Die Komplexität von Gruppenmitgliedschaften wird in der Weboberfläche jedoch nicht dargestellt.)

Welche Daten werden aus Active Directory importiert?

Die folgenden Komponenten werden zusammen mit ihren Definitionen bei der Active-Directory-Integration importiert:
  • Standorte und Subnetze
    • Sites (Standorte): Logische Gruppen von IP-Subnetzen in Active Directory, die physische Standorte im Netzwerk abbilden. Durch die Nutzung von Standorten können Geräte mit ihren geographischen oder organisatorischen Standorten verknüpft werden.

      Beispiel: Der Standort Büro Frankfurt kann alle Geräte im Subnetz repräsentieren, die diesem Büro zugewiesen sind.

    • Subnets (Subnetze): Eine Reihe von IP-Adressen, die das Netzwerksegment definieren. Subnetze werden mit Standorten verknüpft, um Geräte auf Basis ihres Standorts im Netzwerk organisieren zu können.

      Beispiel: Das Subnetz 192.168.1.0/24 kann zum Standort Büro Frankfurt gehören.

  • Benutzerobjekte

    Active Directory hinterlegt Informationen über Benutzer, die IT Asset Management für eine präzise Zuordnung von Benutzer zu Lizenzen importiert.

    • SAMAccountName: Der Kontenname des Sicherheitskontenmanagers (Security Account Manager; SAM) ist der eindeutige Anmeldename des Benutzers innerhalb einer Domäne.

      Beispiel: Der Benutzer Rainer Meier kann den SAMAccountNam rmeier verwenden.

    • SID (Security Identifier) (Sicherheits-ID): Eine eindeutige Kennung, die jedem Benutzer in Active Directory zugewiesen wird und sicherstellt, dass Benutzer unterschieden werden können, selbst wenn sich ihre Benutzernamen ändern.

      Beispiel: S-1-5-21-123456789-987654321-123456789-1001

    • Email: Die E-Mail-Adresse, die in Active Directory mit dem Benutzerkonto verbunden ist und zur Kommunikation und für Lizenzierungszwecke verwendet wird.

      Beispiel: rmeier@company.com

  • Computerobjekte

    Computerobjekte repräsentieren Geräte in Active Directory.

    • Computer Name: Der Hostname bzw. die Kennung des Computers, der bzw. die in der Regel verwendet wird, um den Computer im Netzwerk eindeutig identifizieren zu können.

      Beispiel: DESKTOP-12345

    • SID (Security Identifier): Eine eindeutige Kennung, die einem Computerobjekt zugewiesen wird, um es von anderen Geräten in der Domäne unterscheiden zu können.

      Beispiel: S-1-5-21-123456789-987654321-123456789-1101

  • Gruppen und Gruppenmitgliedschaften
    Gruppen sind in Active Directory Zusammenstellungen von Benutzern oder Computern oder auch andere Gruppen, die das Ressourcenmanagement und die Lizenzzuweisungen vereinfachen sollen.
    • Groups: Logische Zusammenfassungen, anhand derer Berechtigungen oder Zugriffe auf Anwendungen verwaltet werden.

      Beispiel: Eine Gruppe namens Finanz_Team kann Zugriff auf Finanzsysteme gewähren.

    • Group Membership (Gruppenmitgliedschaft): Die Liste der Benutzer oder Geräte, die zu einer Gruppe gehören.

      Beispiel: Die Liste für die Gruppenmitgliedschaft in der Gruppe Finanz_Team" kann zwei Benutzer umfassen: rmeier und aschmitt.

Tipp: Wenn Sie eine Hierarchie von Domänen nutzen, müssen Sie die Active Directory-Daten von jeder Domäne und Unterdomäne separat sammeln. Das liegt daran, dass IT Asset Management die Trennung Ihrer Domänen berücksichtigt (beispielsweise die Trennung von Entwicklungs- und Testdomänen) und außerdem sowohl die Gruppenzugehörigkeit als auch die Foreign-Security-Principal-Objekte von jeder Domäne und Subdomäne sammeln muss. Dies erreichen Sie entweder durch eine Inventarisierungsstation innerhalb einer Zieldomäne oder durch Verwendung einer Inventarisierungsstation, die entweder über eine vertrauenswürdige Beziehung mit der Zieldomäne oder über einen Benutzernamen und ein Kennwort für den Zugriff auf die Zieldomäne verfügt.
Hinweis: Der Registrierung (Registry) auf dem Server der Inventarisierungsstation können verschiedene Einstellungen hinzugefügt werden, um zu konfigurieren, wie FlexNet Beacon versucht, Active Directory-Daten von einem Domänencontroller zu erfassen. Weitere Informationen finden Sie unter Registrierungsschlüssel für Inventarisierungsstationen und beginnen Sie bei ActiveDirectoryImporter.
Zur Erinnerung: Sie haben IT Asset Management möglicherweise so konfiguriert, dass Standorte (eine Art von Unternehmensgruppe) aus den von Active Directory importierten Standorten (Sites) automatisch angelegt werden (wechseln Sie auf die Seite IT Asset Management - Einstellungen Allgemeine Angaben, klicken Sie auf die Registerkarte Inventar und wählen Sie die Option Gerätestandort mit Standortsubnetzen synchronisieren aus). Wenn Sie diesen Ansatz verfolgen und IT Asset Management zur relevanten Quelle für Sub-Capacity-Berechnungen des PVU-Verbrauchs erklärt haben, müssen Sie auf die Seite IT-Asset-Standorte wechseln und sicherstellen, dass Links zu den IBM-Pflichtregionen hinzugefügt werden/wurden.

Wie werden Daten aus Active Directory importiert?

Starten Sie diesen Prozess in der Benutzeroberfläche der FlexNet Beacon.

Um Domänen, Standorte, Subnetze, Benutzer und Computer aus Active Directory zu importieren:

  1. Wählen Sie in der Benutzeroberfläche der FlexNet Beacon in der Gruppe Data collection (Datenerfassung) die Verknüpfung Active Directory aus.
    Die Liste Ihrer Active Directory-Verbindungen wird angezeigt. Auf dieser Registerkarte können Sie eine Verbindung konfigurieren, um Active-Directory-Daten aus der Domäne abzurufen, zu der diese Inventarisierungsstation gehört, den Import von Active Directory insgesamt zu unterbinden, oder um eine bestimmte Active-Directory-Verbindung aus der Liste auszuwählen und zu löschen.
    Hinweis: Wenn Sie mehrere Inventarisierungsstationen in derselben Domäne installieren, werden alle installierten Inventarisierungsstationen die gleichen Active-Directory-Daten generieren, was dazu führt, dass Ihre Inventarisierungsserver mehrere Male die gleichen Daten verarbeiten.
  2. Wählen Sie einen der folgenden Schritte aus:
    • Wählen Sie eine bereits vorher definierte Active Directory-Verbindung in der Liste aus, und klicken Sie auf Edit... (Bearbeiten), um die Einstellungen dieser Verbindung zu ändern. (Verwenden Sie diese Option nur zur Fehlerkorrektur und nicht zur Wiederverwendung eines Eintrags für eine andere Domäne. Wählen Sie hierzu die alte Verbindung aus und erstellen Sie eine neue als Ersatz.)
    • Klicken Sie auf New (Neu), um eine neue Verbindung zu erstellen.
    Das Dialogfeld Active Directory Connection (Active Directory-Verbindung) wird angezeigt.
  3. Gehen Sie zum Festlegen (oder Ändern) der Werte in diesem Dialogfeld folgendermaßen vor:
    Steuerelement Kommentare

    Verbindungsname

    Ein aussagekräftiger Name für diese Verbindung, den Sie später in Listen leicht wiedererkennen. Der Name kann alphanumerische Zeichen, Unterstriche oder Leerstellen enthalten, muss aber entweder mit einem Buchstaben oder einer Zahl beginnen.
    Domain or domain controller (Domäne oder Domänencontroller) Lassen Sie dieses Feld für die Domäne leer, in der sich die Inventarisierungsstation befindet. Legen Sie anderenfalls den abzufragenden Domänencontroller fest, indem Sie eine der folgenden Informationen (in der bevorzugten Reihenfolge) angeben:
    1. den Namen des Domänencontrollers (zum Beispiel dcserver.tmnis.org)
    2. einen vollständig qualifizierten Domänennamen (zum Beispiel tmnis.org)
    3. seine IP-Adresse
    Tipp: Wenn Sie vorhaben, das Kontrollkästchen Use SSL (SSL verwenden) zu markieren (nachfolgend beschrieben), verwenden Sie nicht die IP-Adresse. Da eine IP-Adresse nicht mit dem allgemeinen Namen (Common Name oder CN) übereinstimmen darf, der in dem vom Domänencontroller verwendeten Zertifikat hinterlegt ist, schlägt die LDAPS-Anforderung fehl, wenn Sie SSL mit einer IP-Adresse anstelle des Namens des Domänencontrollers verwenden. Bei LDAPS (wenn Use SSL (SSL verwenden) markiert ist) können Sie eine der folgenden Optionen verwenden:
    • den vollständig qualifizierten Namen des Domänencontrollers, der genau mit dem allgemeinen Namen (CN) im SSL-Zertifkat übereinstimmen muss, das auf dem Domänencontroller verwendet wird. Wenn es einen korrekten Treffer gibt (und die Inventarisierungsstation der Zertifizierungsstelle des SSL-Zertifikats auf dem Domänencontroller vertraut), funktioniert LDAPS sowohl innerhalb einer einzigen Domäne als auch domänenübergreifend.
    • den vollständig qualifizierten Namen (ohne den Namen eines bestimmten Servers). In diesem Fall liefert der LDAPS-Dienst den am nächsten liegenden geeigneten Domänencontroller. Wenn er den Servernamen liefert, der mit dem allgemeinen Namen im SSL-Zertifikat auf diesem Domänencontroller übereinstimmt, funktioniert die LDAPS-Kommunikation sowohl innerhalb einer einzigen Domäne als auch domänenübergreifend. Aufgrund von DNS-Aliasen kann es vorkommen, dass der bereitgestellte Servername nicht mit dem allgemeinen Namen im SSL-Zertifikat übereinstimmt. In diesem Fall schlägt die LDAPS-Kommunikation fehl.
    Username (Benutzername) Geben Sie ein Konto an, das auf dem Zieldomänencontroller zumindest Leseberechtigungen hat. Wenn Sie dieses Feld leer lassen, versucht das Konto, das den Dienst der Inventarisierungsstation auf dieser Inventarisierungsstation ausführt, die Details aus Active Directory in der (Remote-)Zieldomäne zu lesen.
    Tipp: Das Konto für die Ausführung des FlexNet Beacon-Dienstes wurde angegeben, als diese Inventarisierungsstation installiert wurde.
    Password (Kennwort) Geben Sie das Kennwort für das benannte Konto ein. (Lassen Sie dieses Feld frei, wenn das Feld Username ebenfalls leer ist.)
    Use SSL (SSL verwenden)

    Markieren Sie dieses Kontrollkästchen, um das LDAPS-Protokoll (auch unter „LDAP über SSL“ bekannt) für die Kommunikation zwischen der Inventarisierungsstation und einem Domänencontroller zu verwenden.

    Verwenden Sie diese Einstellung nach sorgfältiger Überlegung. Markieren Sie dieses Kontrollkästchen, wenn:
    • der Domänencontroller, von dem die Inventarisierungsstation die Active Directory-Daten importieren soll, im Feld Domain or domain controller (Domäne oder Domänencontroller) vollständig spezifiziert ist (siehe Anmerkungen oben) und
    • der Domänencontroller so konfiguriert ist, dass er die Verwendung des LDAPS-Protokolls zulässt, und
    • die Inventarisierungsstation dem vom Domänencontroller verwendeten SSL-Zertifikat für ihre LDAPS-Kommunikation vertraut.
    Diese letzte Bedingung (das Vertrauen der Inventarisierungsstation in das Zertifikat des Domänencontrollers) wird gewöhnlich dadurch erreicht, dass sichergestellt wird, dass auf der Inventarisierungsstation eine Kopie des von der Zertifizierungsstelle (CA) ausgegebenen Stammzertifikats, das das Zertifikat des Domänencontrollers ausgegeben hat. lokal installiert ist.
    Hinweis: Vertrauen in das SSL-Zertifikat ist völlig unabhängig vom Vertrauen zwischen den betroffenen Domänen. Die Einrichtung von Vertrauensbeziehungen zwischen Domänen ist weder erforderlich noch ausreichend, um den Betrieb unter Verwendung des LDAPS-Protokolls sicherzustellen.
    Für LDAPS kann die Zertifizierungsstelle folgenden Ursprungs sein:
    • die Zertifizierungsstelle eines Fremdanbieters (wie zum Beispiel DigiCert). Zertifikate gut bekannter Fremdanbieter-Zertifizierungsstellen haben gute Chancen, auch ohne weitere Konfiguration erkannt zu werden, da Microsoft die Stammzertifikate vieler davon als Standardkomponente in Microsoft Windows- (und Windows-Server) installiert. In solchen Fällen wird Ihre Inventarisierungsstation dem SSL-Zertifikat des Domänencontrollers wahrscheinlich vertrauen.
    • Unternehmenszertifizierungsstellen, die mit dem Active Directory-Domänendienst integriert sind. Diese können für gesamtstruktur- und domänenübergreifende Zertifizierung konfiguriert sein. Ist das nicht der Fall, funktioniert das LDAPS-Protokoll in untergeordneten Domänen (in einer Gesamtstruktur), nicht jedoch über gleichrangige Domänen hinweg (es sei denn, es werden spezielle Regelungen getroffen, wie nachfolgend beschrieben).
    • eigenständige Zertifizierungsstellen, die nicht mit Active Directory integriert sind. Standardmäßig funktioniert das LDAPS-Protokoll bei eigenständigen Zertifizierungsstellen weder innerhalb einer einzelnen Domäne noch domänenübergreifend, es sei denn, es werden spezielle Regelungen getroffen.
      Tipp: Weitere Informationen zu Zertifizierungsstellen finden Sie unter https://technet.microsoft.com/en-us/library/hh831574.aspx.
    Wenn das Vertrauen in das SSL-Zertifikat des Domänencontrollers fehlt, wird die Erhebung von Active Directory-Daten bei markiertem Kontrollkästchen Use SSL (SSL verwenden) fehlschlagen. Um Abhilfe zu schaffen, haben Sie die folgenden Möglichkeiten:
    • Heben Sie die Markierung des Kontrollkästchens Use SSL (SSL verwenden) auf (es wird dann versucht, Active Directory-Daten über das Standard-LDAP-Protokoll zu erheben).
    • Treffen Sie spezielle Vorkehrungen, um eine Kopie des Stammzertifikats für die Zertifizierungsstelle (die das auf dem Ziel-Domänencontroller verwendete SSL-Zertifikat ausgibt) auf der Inventarisierungsstation, die die Active Directory-Daten anfordert, bereitzustellen. Das wird bei eigenständigen Zertifizierungsstellen mit an Sicherheit grenzender Wahrscheinlichkeit erforderlich sein, ist über Gesamtstrukturen (und einige Domänen) hinweg bei Unternehmens-Zertifizierungsstellen notwendig, und kann in seltenen Fällen bei Fremdanbieter-Zertifizierungsstellen erforderlich sein.
    Tipp: Um eine spezielle Konfiguration zu vermeiden, mit der Zertifikaten domänenübergreifend vertraut wird, kann die Inventarisierungsstation alternativ in der Domäne installiert werden, bei der die Active Directory-Daten abgefragt werden.
    Weitere Informationen zu Aktivierung von LDAPS finden Sie unter https://support.microsoft.com/en-au/kb/321051.
  4. Klicken Sie auf Save (Speichern), um das Dialogfeld zu schließen und die Active Directory-Verbindung in der Liste anzuzeigen.
  5. Wählen Sie die Verbindung in der Liste der aktuellen Importe aus, klicken Sie auf Schedule... (Planen), und wählen Sie einen Zeitplan für die Sammlung von Active Directory-Daten aus.
    Weitere Informationen zum Festlegen eines Zeitplans finden Sie unter Zeitplan für eine Verbindung.
Die Active Directory-Daten werden von der Inventarisierungsstation zur von Ihnen ausgewählten Zeit erhoben. Die abgeschlossenen Datenerhebungen werden dann zeitnah in die Cloud hochgeladen (der Upload wird standardmäßig alle 10 Minuten ausgelöst). Sobald die Daten vollständig in der Cloud bereitgestellt sind, werden sie umgehend in die Compliance-Datenbank importiert.

IT Asset Management (Cloud)

Current