Importieren von Daten aus Active Directory Domain Services

Wichtig

Diese Version von Service Manager das Ende des Support erreicht hat. Es wird empfohlen, dass Sie ein Upgrade auf Service Manager 2019 durchführen.

Die Service Manager-Datenbank in Service Manager enthält Informationen zu Ihrem Unternehmen und wird in allen Bereichen der Dienstverwaltungsstruktur genutzt. Mithilfe eines Active Directory-Connectors können Sie Benutzer, Gruppen, Drucker und Computer (und nur diese Objekttypen!) als Konfigurationselemente in die Service Manager-Datenbank einfügen.

Hinweis

Wenn ein Benutzername in zwei verschiedenen Organisationseinheiten innerhalb der Active Directory-Domäne verwendet wird, können nicht beide Benutzerkonten durch Service Manager importiert werden, und im System Center Operations Manager-Anwendungsprotokoll wird ein Ereignis aufgezeichnet.

Wenn Sie einen Active Directory-Connector für den Import von Daten aus einer Active Directory-Gruppe konfigurieren, können Sie eine Option zum automatischen Hinzufügen von Benutzern aus der Active Directory-Gruppe auswählen. Alle der Active Directory-Gruppe hinzugefügten Benutzer werden dann automatisch auch der Service Manager-Datenbank hinzugefügt. Werden solche Benutzer aus der Active Directory-Gruppe entfernt, verbleiben sie in der Service Manager-Datenbank, residieren jedoch dann in der Gruppe „Gelöschte Elemente“.

Wenn Sie einen Active Directory-Connector erstellt haben, kann die Auswahl unter Objekte auswählen nicht aktualisiert werden. Stattdessen können Sie in Active Directory Sicherheitsgruppen erstellen, die Benutzerrollen in Service Manager zugeordnet sind. Sie können in Active Directory-Domänendienste beispielsweise eine Sicherheitsgruppe namens „Incidentkonfliktlöser“ erstellen. Diese Sicherheitsgruppe können Sie in Service Manager dann der gleichnamigen Benutzerrolle zuweisen. Wenn Sie bei der Erstellung des Active Directory-Connectors die Option Benutzer von AD-Gruppen, die mit diesem Connector importiert wurden, automatisch hinzufügenauswählen, dann erhält jeder Benutzer, der Mitglied der Sicherheitsrolle „Incidentkonfliktlöser“ ist, die Berechtigungen für Incidentkonfliktlöser, sobald er die Service Manager-Konsole startet.

Wenn Sie Daten aus mehreren Organisationseinheiten oder Unterdomänen importieren, können Sie bei Bedarf eine LDAP-Abfrage (Lightweight Directory Access Protocol) erstellen, durch die Computer, Drucker, Benutzer und Benutzergruppen für den Import mit dem Connector festgelegt werden. Ein LDAP-Filter für alle Objekte, die sich entweder in Dallas oder Austin befinden und mit Vornamen John heißen, würde beispielsweise folgendermaßen aussehen: (&(givenName=John) (|(l=Dallas) (l=Austin))). Testen Sie die Abfrage, und beseitigen Sie sämtliche evtl. enthaltenen Fehler, bevor Sie den Active Directory-Connector konfigurieren. Weitere Informationen zu LDAP-Abfragen finden Sie unter Search Filter Syntax (Syntax für Suchfilter).

Wenn Sie später Wartungsarbeiten in Bezug auf die Service Manager-Datenbank durchführen müssen, können Sie den Connector zeitweilig deaktivieren und den Import der Daten anhalten. Der Datenimport kann dann später durch erneutes Aktivieren des Connectors wiederaufgenommen werden.

Wenn Sie eine große Anzahl von Benutzern aus AD DS) oder aus Konfigurations-Manager importieren, kann die CPU-Auslastung auf 100 Prozent steigen. Sie werden dies auf einem Kern der CPU bemerken. Wenn beispielsweise 20.000 Benutzer importiert werden, kann die hohe CPU-Auslastung bis zu 1 Stunde lang anhalten. Dieses Problem kann entschärft werden, indem Sie Connectors erstellen und die Benutzer in Service Manager importieren, bevor das Produkt in Ihrem Unternehmen bereitgestellt wird. Alternativ kann die Connectorsynchronisierung mithilfe von Zeitplänen auf Zeiten mit geringem Verkehrsaufkommen verlegt werden. Wenn Sie Service Manager auf einem Computer mit mehreren CPU-Kernen installieren, kann die Beeinträchtigung durch den Import großer Benutzermengen ebenfalls gemindert werden.

Einen Active Directory-Connector erstellen

Sie können die folgenden Verfahren in Service Manager verwenden, um den Status eines Active Directory-Connectors zum Importieren von Objekten aus Active Directory Domain Services (AD DS) zu erstellen, zu überprüfen und zu AD DS.

Hinweis

Der Active Directory-Connector (AD) wurde für die Synchronisierung mit einem bestimmten Domänencontroller geblockt. Sie können den Domänencontroller in der LDAP-Abfrage des Active Directory-Connectors angeben.

So erstellen Sie einen Active Directory-Connector und importieren Sie Objekte aus AD DS

  1. Klicken Sie in der Service Manager-Konsole auf Verwaltung.

  2. Erweitern Sie im Bereich Verwaltung das Element Verwaltung, und klicken Sie dann auf Connectors.

  3. Klicken Sie im Bereich Tasks unter Connectorsauf Connector erstellenund dann auf Active Directory-Connector.

  4. Führen Sie im Active Directory-Connector-Assistenten folgende Schritte aus:

    1. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.

    2. Klicken Sie auf der Seite Allgemein auf das Feld Name, und geben Sie einen Namen für den neuen Connector ein. Aktivieren Sie das Kontrollkästchen Diesen Connector aktivieren , falls dieses deaktiviert ist, und klicken Sie auf Weiter.

    3. Wählen Sie auf der Seite Domäne oder Organisationseinheit die Option Diese Domäne verwenden: Domänenname aus. Alternativ dazu können Sie Domäne oder Organisationseinheit selbst auswählenauswählen, auf Durchsuchen klicken und eine Domäne bzw. Organisationseinheit in Ihrer Umgebung auswählen.

    4. Klicken Sie im Bereich Anmeldeinformationen auf Neu.

    5. Geben Sie im Dialogfeld Ausführendes Konto im Feld Anzeigename einen Namen für das ausführende Konto ein. Klicken Sie in der Liste Konto auf Windows-Konto. Geben Sie die Anmeldeinformationen eines Kontos ein, das Leseberechtigung für AD DS besitzt, und klicken Sie dann auf OK. Klicken Sie auf der Seite Domäne oder Organisationseinheit auf Verbindung testen.

      Hinweis

      Sonderzeichen (z. B. das ampersand [ ]) im Feld && werden nicht unterstützt.

    6. Prüfen Sie, ob im Dialogfeld Verbindung testen die Meldung Die Verbindung zum Server wurde erfolgreich hergestellt angezeigt wird, und klicken Sie auf OK. Klicken Sie auf der Seite Domäne oder Organisationseinheit auf Weiter.

    7. Gehen Sie auf der Seite Objekte auswählenfolgendermaßen vor:

      1. Wählen Sie Alle Computer, Drucker, Benutzer und Benutzergruppen aus, um alle Elemente zu importieren.

      2. Alternativ dazu können Sie Einzelne Computer, Drucker, Benutzer oder Benutzergruppen auswählen aktivieren und nur ausgewählte Elemente importieren.

      3. Als dritte Möglichkeit können Sie LDAP-Abfragefilter für Computer, Drucker, Benutzer oder Benutzergruppen auswählen, wenn Sie eine eigene LDAP-Abfrage erstellen möchten.

      Wenn den von Ihnen importierten Gruppen neu hinzugefügte Benutzer automatisch zu Service Manager hinzugefügt werden sollen, wählen Sie Benutzer in AD-Gruppen, die von diesem Connector importiert werden, automatisch hinzufügen aus, und klicken Sie auf Weiter.

    8. Wählen Sie auf der Seite Zeitplan in der Liste Synchronisieren die Frequenz und den Zeitpunkt der Synchronisierung aus, und klicken Sie dann auf Weiter.

    9. Überprüfen Sie auf der Seite Zusammenfassung Ihre Einstellungen, und klicken Sie auf Erstellen.

    10. Prüfen Sie, ob auf der Seite Abschluss des Vorgangs folgende Meldung angezeigt wird:

      Der Active Directory-Connector wurde erfolgreich erstellt.

      Klicken Sie dann auf Schließen.

      Hinweis

      Der Importvorgang kann je nach Datenmenge länger dauern.

So überprüfen Sie die Erstellung eines Active Directory-Connectors

  1. Suchen Sie im Bereich Connectors den von Ihnen erstellten Active Directory-Connector. Unter Umständen dauert es ca. eine Minute, bis der Connector angezeigt wird.

  2. Prüfen Sie, ob der Status des Connectors in der Spalte Status des Bereichs Connectors mit Erfolgreich fertig gestelltangegeben wird.

  3. Erweitern Sie im Bereich KonfigurationselementeKonfigurationselemente. Erweitern Sie nacheinander Computer und Alle Windows-Computer, und überprüfen Sie, ob die aus AD DS benötigten Computer im Bereich Alle Windows-Computer angezeigt werden. Erweitern Sie nacheinander Druckerund Alle Drucker, und überprüfen Sie, ob die aus AD DS benötigten Drucker im Bereich Alle Drucker angezeigt werden.

  4. Klicken Sie in der Service Manager-Konsole auf Konfigurationselement. Klicken Sie im Bereich Konfigurationselemente auf Benutzer, und überprüfen Sie, ob alle aus AD DS benötigten Benutzer und Benutzergruppen im Bereich Benutzer angezeigt werden.

So überprüfen Sie den Status eines Active Directory-Connectors

  • Überprüfen Sie die Spalten im Bereich Connector . Diese enthalten den Beginn- und Abschlusszeitpunkt, den Status und den Anteil importierter Konfigurationselemente in Prozent.

PowerShell symbolSie können einen befehl Windows PowerShell verwenden, um einen neuen active directory Service Manager Connector zu erstellen. Informationen zur Verwendung von Windows PowerShell zur Erstellung eines Active Directory-Connectors für Service Manager finden Sie unter New-SCADConnector.

Synchronisieren eines Active Directory-Connectors

Vom Active Directory-Connector wird nach der Erstsynchronisierung mit Active Directory-Domänendienste (AD DS) stündlich eine erneute Synchronisierung durchgeführt, damit die Service Manager-Datenbank immer auf dem neuesten Stand bleibt. Mithilfe des nachfolgenden Verfahrens kann bei Bedarf eine manuelle Synchronisierung durchgeführt und überprüft werden.

So synchronisieren Sie einen Active Directory-Connector manuell

  1. Klicken Sie in der Service Manager-Konsole auf Verwaltung.

  2. Erweitern Sie im Bereich Verwaltung das Element Verwaltung, und klicken Sie dann auf Connectors.

  3. Wählen Sie im Bereich Connectors den Active Directory-Connector aus, der synchronisiert werden soll.

  4. Klicken Sie im Taskbereich unter dem Connectornamen auf Jetzt synchronisieren.

    Hinweis

    Der Importvorgang kann je nach Datenmenge länger dauern.

So überprüfen Sie die Synchronisierung eines Active Directory-Connectors

  1. Klicken Sie in der Service Manager-Konsole auf Konfigurationselement.

  2. Erweitern Sie im Bereich Konfigurationselemente die Option Drucker, und klicken Sie dann auf Alle Drucker. Prüfen Sie, ob im mittleren Bereich alle in AD DS neu hinzugefügten Drucker erscheinen.

  3. Erweitern Sie Computer, und klicken Sie dann auf Alle Windows-Computer. Prüfen Sie, ob im mittleren Bereich alle in AD DS neu hinzugefügten Computer erscheinen.

  4. Klicken Sie in der Service Manager-Konsole auf Konfigurationselement.

  5. Klicken Sie im Bereich Konfigurationselemente auf Benutzer. Prüfen Sie, ob im mittleren Bereich alle in AD DS neu hinzugefügten Benutzer und Gruppen erscheinen.

Deaktivieren oder Aktivieren eines Active Directory-Connectors

Im Folgenden wird erläutert, wie ein Active Directory-Connector in Service Manager deaktiviert bzw. aktiviert und die Statusänderung überprüft wird.

So deaktivieren Sie einen Active Directory-Connector

  1. Klicken Sie in der Service Manager-Konsole auf Verwaltung.

  2. Erweitern Sie im Bereich Verwaltung das Element Verwaltung, und klicken Sie dann auf Connectors.

  3. Wählen Sie im Bereich Connectors den Active Directory-Connector aus, der deaktiviert werden soll.

  4. Klicken Sie im Taskbereich unter dem Connectornamen auf Deaktivieren.

  5. Klicken Sie im Dialogfeld Connector deaktivieren auf OK.

So aktivieren Sie einen Active Directory-Connector

  1. Klicken Sie in der Service Manager-Konsole auf Verwaltung und dann auf Connectors.

  2. Wählen Sie im Bereich Connectors den Active Directory-Connector aus, der aktiviert werden soll.

  3. Klicken Sie im Taskbereich unter dem Connectornamen auf Aktivieren.

  4. Klicken Sie im Dialogfeld Connector aktivieren auf OK.

So überprüfen Sie den Statuswechsel eines Active Directory-Connectors

  1. Nachdem Sie einen Active Directory-Connector aktiviert oder deaktiviert haben, warten Sie etwa 30 Sekunden. Klicken Sie dann in der Service Manager-Konsole auf Verwaltung und dann auf Connectors.

  2. Suchen Sie im mittleren Bereich den Connector, dessen Status Sie geändert haben, und prüfen Sie den Wert in der Spalte Aktiviert.

PowerShell symbolZur Ausführung dieser Schritte und verwandter Aufgaben können Sie Windows PowerShell-Befehle verwenden:

  • Informationen darüber, wie Sie Windows PowerShell zum Starten eines Service Manager-Connectors verwenden, finden Sie unter Start-SCSMConnector.

  • Weitere Informationen dazu, wie Sie mit Windows PowerShell in Service Manager definierte Connectors abrufen und deren Status anzeigen können, finden Sie unter Get-SCSMConnector.

  • Informationen darüber, wie Sie Windows PowerShell zum Aktualisieren von Eigenschaften eines Service Manager-Connectors verwenden, finden Sie unter Update-SCSMConnector.

Importieren von Daten aus anderen Domänen

Sie können Daten aus Domänen importieren, die nicht der Domäne entsprechen, in der Service Manager installiert wurde. Beispiel: Service Manager wurde in Domäne A (mit dem vollqualifizierten Domänennamen [FQDN] a.woodgrove.com) installiert. Sie möchten Daten aus Domäne B (mit dem FQDN b.woodgrovetest.net) importieren. In diesem Szenario müssen Sie sich überlegen, wie Sie den Pfad der Datenquelle und das ausführende Konto festlegen.

Bestimmen Sie in Domäne B entweder ein vorhandenes Dienstkonto, oder erstellen Sie für diesen Zweck ein neues Konto. Bei diesem Dienstkonto muss es sich um ein Domänenkonto handeln. Außerdem müssen Leseberechtigungen für die Active Directory-Domänendienste vorliegen.

Erstellen Sie im nächsten Schritt in Service Manager mithilfe des Active Directory-Connector-Assistenten einen neuen Active Directory-Connector. Folgen Sie auf der Seite Domäne oder Organisationseinheit den nachstehend beschriebenen Schritten.

So legen Sie den Pfad der Datenquelle und das ausführende Konto fest

  1. Verwenden Sie die entsprechende Methode, je nachdem, wo sich die Domänen befinden:

    • Wenn die beiden Domänen in der gleichen Gesamtstruktur eingerichtet sind, wählen Sie im Bereich Serverinformation die Option Domäne oder Organisationseinheit selbst auswählenaus. Klicken Sie dann auf Durchsuchen , um die Domäne und Organisationseinheit auszuwählen.

    • Wenn die beiden Domänen in verschiedenen Gesamtstrukturen eingerichtet sind, wählen Sie im Bereich Serverinformation die Option Domäne oder Organisationseinheit selbst auswählenaus. Geben Sie die Domäne und Organisationseinheit in das entsprechende Feld ein. Beispiel: Geben Sie LDAP://b.woodgrovetest.net/OU=OU Name,DC=b,DC=woodgrovetest,DC=net ein.

  2. Klicken Sie im Bereich Anmeldeinformationen auf Neu.

  3. Geben Sie im Dialogfeld Ausführendes Konto in die Felder Benutzername, Kennwortund Domäne die Anmeldeinformationen für das Dienstkonto aus der Domäne b.woodgrovetest.net ein.

    Hinweis

    Wenn die beiden Domänen in verschiedenen Gesamtstrukturen eingerichtet sind, müssen Sie den Domänennamen in das Feld Benutzername eingeben. Geben Sie beispielsweise b.woodgrovetest.net\UserName.

Nächste Schritte