Импорт данных из доменных служб Active Directory

База данных Service Manager в Service Manager содержит сведения о вашем предприятии и используется всеми частями структуры управления службами. Соединитель Active Directory позволяет добавлять в базу данных Service Manager пользователей, группы, принтеры и компьютеры (и только эти типы объектов) в виде конфигурационных единиц.

Примечание

Если одно и то же имя пользователя существует в двух разных подразделениях в домене Active Directory, Service Manager не может импортировать обе учетные записи пользователей, а событие регистрируется в журнале приложений System Center Operations Manager.

Кроме того, при настройке соединителя Active Directory для импорта данных из группы Active Directory можно установить флажок для автоматического добавления пользователей из группы Active Directory. Когда они будут выбраны, все пользователи, добавленные в группу Active Directory, будут автоматически добавлены в базу данных Service Manager. Если эти пользователи будут удалены из группы Active Directory, они останутся в базе данных Service Manager, однако они будут находиться в группе Удаленные.

После создания соединителя Active Directory невозможно обновить объекты Select в соединителе. Вместо этого необходимо создать группы безопасности в Active Directory, которые сопоставляются с ролями пользователей в Service Manager. Например, в доменные службы Active Directory (AD DS) можно создать группу безопасности с именем "Сопоставители инцидентов". В Service Manager этой группе можно назначить роль пользователя "Специалисты по разрешению инцидентов". При создании соединителя Active Directory и выборе автоматического добавления пользователей групп AD, импортированных этим соединителем, когда пользователь, являющийся членом группы безопасности "Сопоставители инцидентов", запускает консоль Service Manager, ему будут предоставлены права и разрешения сопоставителя инцидентов.

Если вы импортируете данные из нескольких подразделений или поддоменов, вы можете создать запрос LDAP, который указывает компьютеры, принтеры, пользователи или группы пользователей для импорта с помощью соединителя. Например, фильтр LDAP для всех объектов, которые находятся в Далласе (Dallas) или Остине (Austin) и содержат имя Джон (John) будет следующим: (&(givenName=John) (|(l=Dallas) (l=Austin))). Запросы можно протестировать. Настраивать соединителя Active Directory можно будет после того, как будут исправлены все ошибки. Дополнительные сведения о запросах LDAP см. в разделе Search Filter Syntax (Синтаксис фильтра поиска).

Если затем понадобится провести в базе данных Service Manager операции обслуживания, можно временно отключить соединитель и приостановить импорт данных. Затем можно возобновить импорт данных, повторно включив соединитель.

При импорте большого количества пользователей из AD DS) или из Configuration Manager загрузка ЦП может увеличиться до 100 %. Вы заметите это на одном ядре ЦП. Например, если импортировать 20 000 пользователей, загрузка ЦП может оставаться высокой до часа. Чтобы решить эту проблему, можно создать соединители и импортировать пользователей в Service Manager перед развертыванием продукта на предприятии, запланировав синхронизацию соединителей на нерабочие часы. Установка Service Manager на компьютере с многоядерным процессором также сводит к минимуму воздействие импорта большого количества пользователей на производительность.

Создание соединителя Active Directory

В Service Manager можно использовать следующие процедуры для создания, проверки и подтверждения состояния соединителя Active Directory для импорта объектов из доменные службы Active Directory (AD DS).

Примечание

Соединитель Active Directory (AD) импровизирован для синхронизации с определенным контроллером домена. Контроллер домена можно указать в запросе LDAP соединителя Active Directory.

Создание соединителя Active Directory и импорт объектов из доменных служб Active Directory

1. В консоли Service Manager выберите Администрирование.

2. В области Администрирование разверните узел Администрирование и выберите Соединители.

3. В области Задачи в разделе Соединители выберите Создать соединитель, а затем — Соединитель Active Directory.

4. Выполните в мастере создания соединителя Active Directory следующие действия.

   1. На странице Перед началом работы нажмите кнопку Далее.

   2. На странице Общие в поле Имя введите имя нового соединителя. Убедитесь, что установлен флажок Включить этот соединитель , и нажмите кнопку Далее.

   3. На странице Домен или подразделение выберите пункт Использовать домен: имя домена. Или выберите Разрешить выбрать домен или подразделение, а затем нажмите кнопку Обзор , чтобы выбрать домен или подразделение в вашей среде.

   4. В области Учетные данные выберите Создать.

   5. В диалоговом окне Учетная запись запуска от имени в поле Отображаемое имя введите имя учетной записи запуска от имени. В списке Учетная запись выберите пункт Учетная запись Windows. Введите учетные данные для учетной записи, которая имеет права на чтение из AD DS, и нажмите кнопку ОК. На странице Домен или подразделение выберите Проверить подключение.

      Примечание

      Специальные символы (например, амперсанда [&]) в поле Имя пользователя не поддерживаются.

   6. В диалоговом окне Проверка подключения убедитесь, что подключение к серверу выполнено успешно , и нажмите кнопку ОК. На странице Домен или подразделение нажмите кнопку Далее.

   7. На странице Выбор объектоввыполните следующие действия.

      1. Выберите вариант все компьютеры, принтеры, группы пользователей и пользователи , если необходимо импортировать все элементы.

      2. Выберите вариант выбрать отдельные компьютеры, принтеры, группы пользователей или отдельных пользователей , если необходимо импортировать только выбранные элементы.

      3. Выберите вариант Укажите фильтры запросов LDAP для компьютеров, принтеров, пользователей и групп пользователей , если необходимо создать собственный запрос LDAP.

      Если вы хотите, чтобы новые пользователи, добавленные в какие-либо импортируемые группы, автоматически добавлялись в Service Manager, выберите Автоматически добавлять пользователей групп AD, импортированных этим соединителем, и нажмите кнопку Далее.

   8. На странице Расписание в списке Синхронизация задайте частоту и время синхронизации и нажмите кнопку Далее.

   9. На странице Сводка убедитесь, что параметры заданы правильно, и выберите Создать.

   10. На странице Завершение убедитесь, что вы получили следующее сообщение с подтверждением:

       Соединитель Active Directory успешно создан.

       Затем нажмите кнопку Закрыть.

       Примечание

       В зависимости от объема импортируемых данных может потребоваться дождаться завершения импорта.

Проверка создания соединителя Active Directory

1. Найдите созданный соединитель Active Directory в области Соединители . На его отображение может уйти какое-то время.

2. В области Соединители убедитесь, что в столбце Состояние указано значение Успешно завершено.

3. В области Элементы конфигурации разверните узел Элементы конфигурации. Разверните узлы Компьютеры и Все компьютеры Windows, а затем убедитесь, что в области Все компьютеры Windows отображаются нужные компьютеры из доменных служб Active Directory. Разверните узлы Принтерыи Все принтеры, а затем убедитесь, что в области Все принтеры отображаются нужные принтеры из доменных служб Active Directory.

4. В консоли Service Manager выберите Элементы конфигурации. В области Элементы конфигурации выберите Пользователи, а затем убедитесь, что на панели Пользователи отображаются нужные пользователи и группы пользователей из AD DS.

Проверка состояния соединителя Active Directory

• Просмотрите столбцы в области Соединитель . Здесь имеются сведения о времени запуска, времени завершения, состоянии и процентной доле импортированных элементов конфигурации.

Для создания нового соединителя Active Directory Service Manager можно использовать команду Windows PowerShell. Сведения о создании соединителя Active Directory в Service Manager с помощью Windows PowerShell см. в статье New-SCADConnector.

Синхронизация соединителя Active Directory

Чтобы обеспечить своевременное обновление базы данных Service Manager, соединитель Active Directory проводит синхронизацию с доменными службами Active Directory каждый час после начальной синхронизации. Однако для синхронизации соединителя вручную и проверки его синхронизации можно использовать следующую процедуру.

Ручная синхронизация соединителя Active Directory

1. В консоли Service Manager выберите Администрирование.

2. В области Администрирование разверните узел Администрирование и выберите Соединители.

3. В области Соединители выберите соединитель Active Directory, который необходимо синхронизировать.

4. В области Задачи под именем соединителя выберите Синхронизировать сейчас.

   Примечание

   В зависимости от объема импортируемых данных может потребоваться дождаться завершения импорта.

Проверка синхронизации соединителя Active Directory

1. В консоли Service Manager выберите Элементы конфигурации.

2. В области Элементы конфигурации разверните узел Принтеры и выберите Все принтеры. Проверьте, появились ли в области по центру сведения о новых принтерах из доменных служб Active Directory.

3. Разверните узел Компьютеры и выберите Все компьютеры Windows. Проверьте, появились ли в области по центру сведения о новых компьютерах из доменных служб Active Directory.

4. В консоли Service Manager выберите Элементы конфигурации.

5. На панели Элементы конфигурации выберите Пользователи. Проверьте, появились ли в области по центру сведения о новых пользователях и группах из доменных служб Active Directory.

Включение и отключение соединителя Active Directory

Чтобы включить или отключить соединитель Active Directory в Service Manager и проверить изменение его состояния, можно использовать описанную ниже процедуру.

Отключение соединителя Active Directory

1. В консоли Service Manager выберите Администрирование.

2. В области Администрирование разверните узел Администрирование и выберите Соединители.

3. В области Соединители выберите соединитель Active Directory, который необходимо отключить.

4. В области Задачи под именем соединителя выберите Отключить.

5. В диалоговом окне Отключение соединителя нажмите кнопку ОК.

Включение соединителя Active Directory

1. В консоли Service Manager выберите Администрирование и Соединители.

2. В области Соединители выберите соединитель Active Directory, который необходимо включить.

3. В области Задачи под именем соединителя выберите Включить.

4. В диалоговом окне Включение соединителя нажмите кнопку ОК.

Проверка изменения состояния соединителя Active Directory

1. После включения или отключения соединителя Active Directory подождите около 30 секунд. Затем в консоли Service Manager выберите Администрирование и Соединители.

2. В средней области найдите соединитель, состояние которого изменено, а затем проверьте значение в столбце Включено .

Для выполнения этих и других связанных задач можно использовать команды Windows PowerShell следующим образом:

• Сведения о том, как использовать Windows PowerShell для запуска соединителя Service Manager, см. в статье о Start-SCSMConnector.

• Сведения о получении соединителей, которые определены в Service Manager, и просмотре их состояния с помощью Windows PowerShell см. в статье Get-SCSMConnector.

• Сведения о том, как использовать Windows PowerShell для обновления свойств соединителя Service Manager, см. в статье Update-SCSMConnector.

Импорт данных из других доменов

Данные можно импортировать не только из домена, где размещается Service Manager. Предположим, что решение Service Manager установлено в домене А (с полным доменным именем a.woodgrove.com) и нужно импортировать данные из домена Б (с полным доменным именем b.woodgrovetest.net). В этом сценарии нужно решить, как указать путь к источнику данных и учетную запись запуска от имени.

Для этого в домене Б определите существующую учетную запись службы или создайте новую. Эта учетная запись службы должна быть учетной записью домена и иметь разрешение на чтение из доменных служб Active Directory.

Затем в Service Manager создайте соединитель Active Directory с помощью мастера создания соединителя Active Directory. На странице Домен или подразделение выполните следующие действия.

Указание пути к источнику данных и учетной записи запуска от имени

1. Используйте соответствующий метод в соответствии с расположением доменов:

   • Если два домена находятся в одном лесу, в области Сведения о сервере выберите Разрешить выбрать домен или подразделение и нажмите кнопку Обзор , чтобы выбрать домен и подразделение.

   • Если два домена находятся в разных лесах, в области Сведения о сервере выберите Разрешить выбрать домен или подразделение, а затем введите домен и подразделение в поле . Например, введите LDAP://b.woodgrovetest.net/OU=имя подразделения,DC=b,DC=woodgrovetest,DC=net.

2. В области Учетные данные выберите Создать.

3. В диалоговом окне Учетная запись запуска от имени в полях Имя пользователя, Пароль и Домен введите учетные данные для учетной записи службы из домена b.woodgrovetest.net.

   Примечание

   Если два домена находятся в разных лесах, необходимо ввести доменное имя в поле Имя пользователя . Например, введите b.woodgrovetest.net\UserName.

Дальнейшие действия

• Узнайте, как импортировать данные и предупреждения из Operations Manager.