Rekommenderade metoder för Microsoft Identity Manager 2016Microsoft Identity Manager 2016 Best Practices

Det här avsnittet beskriver rekommenderade metoder för att distribuera och använda Microsoft Identity Manager 2016 (MIM)This topic describes the best practices for deploying and operating Microsoft Identity Manager 2016 (MIM)

Konfiguration av SQLSQL setup

Anteckning

Följande rekommendationer för att konfigurera en server som kör SQL förutsätter en SQL-instans som är dedikerad till FIM-tjänsten och en SQL-instans som är dedikerad till FIMSynchronizationService-databasen.The following recommendations for setting up a server running SQL presume a SQL instance dedicated to the FIMService and a SQL instance dedicated to the FIMSynchronizationService database. Om du kör FIM-tjänsten i en konsoliderad miljö måste du göra de justeringar som krävs för din konfiguration.If you are running the FIMService in a consolidated environment, you will have to make adjustments appropriate for your configuration.

Konfiguration av SQL-servern (Structured Query Language) är viktig för optimala systemprestanda.Configuration of the Structured Query Language (SQL) server is critical to optimal system performance. Optimala MIM-prestanda i storskaliga implementeringar beror på användning av rekommenderade metoder för en server som kör SQL.Achieving optimum MIM performance in large-scale implementations depends on the application of best practices for a server running SQL. Mer information finns i följande avsnitt om rekommenderade metoder för SQL:For more information, see the following topics about SQL best practices:

Ange storlek på data och loggfiler på förhandPresize data and log files

Förlita dig inte på automatisk tillväxt.Do not rely on autogrow. Hantera i stället tillväxten av dessa filer manuellt.Instead, manage the growth of these files manually. Du kan låta automatisk tillväxt vara på av säkerhetsskäl, men du bör hantera datafilernas tillväxt proaktivt.You can leave autogrow on for safety reasons, but you should proactively manage the growth of the data files. Exempelstorlekar för MIM-databasen finns i Guide för kapacitetsplanering för FIM.For sample sizes of the MIM database, see the FIM Capacity Planning Guide.

Ange storlek på data och loggfiler på förhandTo presize SQL data and log files

  1. Starta SQL Server Management Studio.Start SQL Server Management Studio.

  2. Navigera till databasen FIMService, högerklicka på FIMService och klicka sedan på Egenskaper.Navigate to the database FIMService, right-click FIMService, and then click Properties.

  3. På sidan Filer utökar du databasfilerna till önskad storlek.On the Files page, expand the database files to the required size.

Isolera loggen från datafilerIsolate log from data files

Följ rekommenderade metoder för SQL-servern för att isolera transaktionen och dataloggfilerna för databaserna på separata fysiska diskar.Follow the SQL server best practices to isolate the transaction and data log files for the databases onto separate physical disks.

Skapa ytterligare tempdb-filerCreate additional tempdb files

För att uppnå optimala prestanda rekommenderar vi att du skapar en datafil per processorkärna i tempdb-filen.For optimal performance, we recommend that you create one data file per CPU core in the tempdb file.

Skapa ytterligare tempdb-filerTo create additional tempdb files

  1. Starta SQL Server Management Studio.Start SQL Server Mangement Studio.

  2. Gå till databasens tempdb i Systemdatabaser, högerklicka på tempdb och klicka sedan på Egenskaper.Navigate to the database tempdb in System Databases, right-click tempdb, and then click Properties.

  3. Skapa en datafil för varje processorkärna på sidan Filer.On the Files page, create one data file for each CPU core. Se till att skilja tempdb-data och loggfilerna åt på olika enheter och spindlar.Be sure to separate the tempdb data and log files to different drives and spindles.

Se till att det finns tillräckligt med utrymme för loggfilerEnsure adequate space for Log files

Det är viktigt att förstå återställningsmodellens diskkrav.It is important to understand your recovery model’s disk requirements. Enkelt återställningsläge kan vara lämpligt under den inledande systembelastningen för att begränsa diskutrymmesanvändningen, men data som skapas efter den senaste säkerhetskopieringen riskerar dataförlust.Simple recovery mode may be appropriate during the initial system load to limit the use of your disk space, but the data created after your most recent backup is exposed to data loss. När du använder fullständigt återställningsläge måste du hantera diskanvändningen via säkerhetskopieringar, som omfattar täta säkerhetskopieringar av transaktionsloggen för att förhindra hög diskutrymmesanvändning.When using Full recovery mode, you need to manage the disk usage through backups which include frequent backups of the transaction log to prevent high disk space usage. Mer information finns i Recovery Model Overview (Översikt över återställningsmodell).For more information, see Recovery Model Overview.

Begränsa SQL Server-minneLimit SQL server memory

Beroende på hur mycket minne som finns på SQL Server och om du delar SQL Server med andra tjänster (d.v.s. MIM 2016-tjänsten och MIM 2016-synkroniseringstjänsten) kanske du vill begränsa minnesanvändningen för SQL.Depending on how much memory you have on your SQL server and if you share the SQL server with other services (that is, MIM 2016 Service and MIM 2016 Synchronization Service), you might want to restrict the memory consumption of SQL. Det kan du göra på följande sätt.You can do this through the following steps.

  1. Starta SQL Server Enterprise Manager.Start SQL Server Enterprise Manager.

  2. Välj Ny fråga.Select New Query.

  3. Kör följande fråga:Run the following query:

    USE master
    
    EXEC sp_configure 'show advanced options', 1
    
    RECONFIGURE WITH OVERRIDE
    
    USE master
    
    EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE
    WITH OVERRIDE
    

    Det här exemplet konfigurerar om SQL Server så att den inte använder mer än 12 gigabyte (GB) minne.This example reconfigures the SQL server to use no more than 12 gigabyte (GB) of memory.

  4. Verifiera inställningen med hjälp av följande fråga:Verify the setting by using the following query:

    USE master
    
    EXEC sp_configure 'max server memory (MB)'--- verify the setting
    
    USE master
    
    EXEC sp_configure 'show advanced options', 0
    
    RECONFIGURE WITH OVERRIDE
    

Konfiguration av säkerhetskopiering och återställningBackup and recovery configuration

Normalt bör du säkerhetskopiera databasen enligt organisationens säkerhetskopieringsprinciper.In general, you should perform database backups according to your organization’s backup policy. Om inkrementella säkerhetskopior inte är planerade bör databasen ställas in på enkelt återställningsläge.If incremental log backups are not planned, the database should be set to the Simple recovery mode. Se till att du förstår innebörden av de olika återställningsmodellerna innan du implementerar en säkerhetskopieringsstrategi, samt diskutrymmeskraven för dessa modeller.Ensure that you understand the implications of the different recovery models before implementing your backup strategy as well as the disk space requirements for these models. Den fullständiga återställningsmodellen kräver täta loggsäkerhetskopior för att undvika hög diskutrymmesanvändning.Full recovery model requires frequent log backups to avoid high disk space usage. Mer information finns i Recovery Model Overview (Översikt över återställningsmodell) och Guide för säkerhetskopiering och återställning av FIM 2010.For more information, see Recovery Model Overview and FIM 2010 Backup and Restore Guide.

Skapa ett administratörskonto för säkerhetskopiering för FIM-tjänsten efter installationCreate a Backup Administrator account for the FIMService after installation

Viktigt

Medlemmar i FIM-tjänstens administratörsuppsättning har unika behörigheter som är viktiga för FIM-distributionen.Members of the FIMService Administrators set have unique permissions critical to the operation of your FIM deployment. Om du inte kan logga in som en del i administratörsuppsättningen är den enda lösningen att återgå till en tidigare säkerhetskopia av systemet.If you are unable to logon as part of the Administrators set, the only resolution is to roll back to a previous backup of the system. Vi rekommenderar att du åtgärdar denna situation genom att lägga till andra användare i den administrativa uppsättningen för FIM som en del av konfigurationen efter installation.To mitigate this situation, we recommend that you add other users to the FIM Administrative set as part of your post-installation configuration.

FIM-tjänstFIM Service

Konfigurera FIM-tjänstens Service Exchange-postlådaConfiguring FIM Service service Exchange mailbox

Följande är rekommenderade metoder för att konfigurera Microsoft Exchange Server för MIM 2016-tjänstens tjänstekonto.The following are best practices for configuring Microsoft Exchange Server for the MIM 2016 Service service account.

  • Konfigurera tjänstekontot så att det endast kan ta emot e-post från interna e-postadresser.Configure the service account so that it can accept mail only from internal e-mail addresses. Tjänstekontots postlåda ska specifikt aldrig kunna ta emot e-post från externa SMTP-servrar.Specifically, the service account mailbox should never be able to receive mail from external SMTP servers.

Konfigurera tjänstkontotTo configure the service account

  1. I Exchange Management-konsolen väljer du FIM-tjänstens tjänstkonto.In the Exchange Management Console, select the FIM Service service account.

  2. Välj Egenskaper, välj Inställningar för e-postflöde och välj sedan Mail Delivery Restrictions (Begränsningar för e-postleverans).Select Properties, select Mail Flow Settings, and then select Mail Delivery Restrictions.

  3. Markera kryssrutan Kräv att alla avsändare är autentiserade.Select the Require that all senders are authenticated check box.

Mer information finns i Configure Message Delivery Restrictions (Konfigurera begränsningar för meddelandeleverans).For further information, see Configure Message Delivery Restrictions.

  • Konfigurera tjänstekontot så att det avvisar e-postmeddelanden som har en storlek över 1 MB.Configure the service account so that it rejects mail with sizes greater than 1 MB. Följ rekommenderade metoder för att konfigurera begränsningar för meddelandestorlek för en brevlåda eller e-postaktiverad offentlig mapp.Follow the best practice to Configure Message Size Limits for a Mailbox or a Mail-Enabled Public Folder.

  • Konfigurera tjänstekontot så att det har en kvot för e-postlagring på 5 GB.Configure the service account so that it has a mailbox storage quota of 5 GB. För bästa resultat följer du de rekommenderade metoder som anges i Configure Storage Quotas for a Mailbox (Konfigurera lagringskvoter för en postlåda).For optimum results, follow the best practices listed in Configure Storage Quotas for a Mailbox.

MIM-portalMIM Portal

Inaktivera SharePoint-indexeringDisable SharePoint indexing

Vi rekommenderar att du inaktiverar Microsoft Office SharePoint®-indexering.We recommend that you disable Microsoft Office SharePoint® indexing. Det finns inga dokument som måste vara indexerade och indexering orsakar många poster i felloggen och utgör en risk för prestandaproblem med FIM 2010.There are no documents that need to be indexed, and indexing causes many error log entries and potential performance problems with FIM 2010. Inaktivera SharePoint-indexeringTo disable SharePoint indexing

  1. Klicka på Start på den server som är värd för 2016 MIM-portalen.On the server that hosts the MIM 2016 Portal, click Start.

  2. Klicka på Alla program.Click All Programs.

  3. I listan Alla program klickar du på Administrationsverktyg.In the All Programs list, click Administrative Tools.

  4. Klicka på Central Administration av SharePoint under Administrationsverktyg.Under Administrative Tools, click SharePoint Central Administration.

  5. Klicka på Åtgärder på sidan Central administration.On the Central Administration page, click Operations.

  6. Under Global konfiguration på sidan Åtgärder klickar du på Definitioner av tidsinställda jobb.On the Operations page, under Global Configuration, click Timer job definitions.

  7. På sidan Definitioner av tidsinställda jobb klickar du på Uppdatering för SharePoint Services Search.On the Timer Job Definitions page, click SharePoint Services Search Refresh.

  8. Klicka på Inaktivera på sidan Redigera tidsinställt jobb.On the Edit Timer Job page, click Disable.

Inledande datainläsning för MIM 2016MIM 2016 Initial Data Load

Det här avsnittet innehåller ett antal åtgärder för att förbättra prestanda för den inledande datainläsningen från ett externt system till FIM 2010.This section lists a series of steps to increase the performance of the initial data load from external system to FIM 2010. Det är viktigt att förstå att ett antal av dessa steg är tillfälliga under den första populationen av systemet och ska återställas när den har slutförts.It is important to understand that a number of these steps are temporary during the initial population of the system and should be reset upon its completion. Detta är en engångsåtgärd och är inte en kontinuerlig synkronisering.This is a one-time operation and is not a continuous synchronization.

Anteckning

Mer information om hur du synkroniserar användare mellan FIM 2010 och Active Directory Domain Services (AD DS) finns i Hur synkroniserar jag användare från Active Directory till FIM i FIM-dokumentationen.For more information about synchronizing users between FIM 2010 and Active Directory Domain Services (AD DS), see How do I Synchronize Users from Active Directory to FIM in the FIM documentation.

Viktigt

Se till att du har följt de rekommenderade metoder som beskrivs i avsnittet om SQL-konfiguration i den här handledningen.Ensure that you have applied the best practices covered in the SQL setup section of this guide. |

Steg 1: Konfigurera SQL Server för inledande datainläsningStep 1: Configure the SQL server for initial data load

När du planerar att läsa in stora mängder data för första gången kan du förkorta den tid det tar att fylla databasen genom att tillfälligt stänga av fulltextsökningen och sedan sätta på den igen när exporten i MIM 2016-hanteringsagenten (FIM MA) har slutförts.When you plan to initially load a lot of data, you can shorten the time it takes to populate the database by temporarily turning off the full-text search and turning it on again after the export on the MIM 2016 management agent (FIM MA) has completed.

Stänga av fulltextsökning tillfälligt:To temporarily turn off full-text search:

  1. Starta SQL Server Management Studio.Start SQL Server Management Studio.

  2. Välj Ny fråga.Select New Query.

  3. Kör följande SQL-uttryck:Run the following SQL statements:

ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING =
MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL

Det är viktigt att du förstår diskkraven för SQL Server-återställningsmodellen.It is important that you understand the disk requirements for your SQL server’s recovery model. Beroende på schemat för säkerhetskopiering kan du överväga att använda enkelt återställningsläge under den inledande systeminläsningen för att begränsa diskutrymmesanvändningen, men du måste förstå vad detta innebär ur dataförlustperspektiv.Depending on your backup schedule, you may consider using the Simple recovery mode during the initial system load to limit the disk space usage, but you need to understand the implications from a data loss perspective. När du använder fullständigt återställningsläge måste du hantera diskanvändningen via säkerhetskopieringar, som omfattar täta säkerhetskopieringar av transaktionsloggen för att förhindra hög diskutrymmesanvändning.When using Full recovery mode, you need to manage the disk usage through backups which includes frequent backups of the transaction log to prevent high disk space usage.

Viktigt

Om du inte implementerar dessa metoder kan det leda till hög diskutrymmesanvändning, som eventuellt kan leda till att diskutrymmet tar slut.Not implementing these procedures can result in high disk space usage, possibly causing you to run out of disk space. Du hittar mer information om det här avsnittet i Recovery Model Overview (Översikt över återställningsmodell).You can find additional details about this topic in Recovery Model Overview. Guide för säkerhetskopiering och återställning av FIM innehåller ytterligare information.The FIM Backup and Restore Guide contains additional information.

Steg 2: Använd den minsta nödvändiga MIM-konfigurationen under inläsningenStep 2: Apply the minimum necessary MIM configuration during the load process

Under den inledande inläsningen bör du bara använda den lägsta konfiguration som krävs av FIM-konfigurationen för hanteringsprincipreglerna (MPR) och uppsättningsdefinitionerna.During the initial load process, you should only apply the minimum configuration required to your FIM configuration for your management policy rules (MPRs) and set definitions. När inläsningen är klar kan du skapa ytterligare uppsättningar som krävs för distributionen.After the data load is completed, create the additional sets required for your deployment. Använd inställningen Kör vid principuppdatering på åtgärdsarbetsflöden för att verkställa dessa principer retroaktivt på inlästa data.Use the Run-On Policy update setting on the action workflows to apply those policies retroactively on the loaded data.

Steg 3: Konfigurera och fylla i FIM-tjänsten med externa identitetsdataStep 3: Configure and populate the FIM Service with external identity data

Du bör nu följa de metoder som beskrivs i Hur synkroniserar jag användare från Active DirectoryAt this point you should follow the procedures described in the How Do I Synchronize Users from Active Directory

Domain Services för FIM för att konfigurera och synkronisera systemet med användare från Active Directory.Domain Services to FIM guide to configure and synchronize your system with users from Active Directory. Om du behöver synkronisera gruppinformationen beskrivs metoderna för den processen i Hur synkroniserar jag grupper från Active Directory Domain Services till FIM.If you need to synchronize Group information, the procedures for that process are described in the How Do I Synchronize Groups from Active Directory Domain Services to FIM guide.

Synkroniserings- och exportsekvenserSynchronization and export sequences

Optimera prestanda genom att köra en export efter en synkroniseringskörning som ger ett stort antal väntande exportåtgärder i en anslutarplats.To optimize performance, run an export after a synchronization run that results in a large number of pending export operations in a connector space.

Kör sedan en bekräftande importkörning på hanteringsagenten som är kopplad till berörd anslutarplats.Then, run a confirming import run on the management agent that is associated with the affected connector space. Om du till exempel behöver köra körningsprofiler för synkronisering på flera hanteringsagenter som en del av en inledande databelastning bör du köra en export följt av en deltaimport efter varje enskild synkroniseringskörning.For example, when you need to run synchronization run profiles on several management agents as part of an initial data load, you should run an export followed by a delta import after each individual synchronization run.

Utför följande steg för varje källhanteringsagent som är en del av initieringscykeln:For each source management agent that is part of your initialization cycle, perform the following steps:

  1. Fullständig import på en källhanteringsagent.Full import on a source management agent.

  2. Fullständig synkronisering på källhanteringsagenten.Full synchronization on the source management agent.

  3. Export på alla berörda målhanteringsagenter med stegvisa exportåtgärder.Export on all affected target management agents with staged export operations.

  4. Deltaimport på alla berörda målhanteringsagenter med stegvisa exportåtgärder.Delta import on all affected target management agents with staged export operations.

Steg 4: Verkställa den fullständiga MIM-konfigurationenStep 4: Apply your full MIM configuration

När den första datainläsningen har slutförts bör du verkställa den fullständiga MIM-konfigurationen för distributionen.Once your initial data load is completed, you should apply the full MIM configuration for your deployment.

Beroende på dina scenarier kan detta omfatta att skapa ytterligare uppsättningar, MPR och arbetsflöden.Depending on your scenarios, this may include the creation of additional sets, MPRs, and workflows. Vid eventuella principer som du måste verkställa retroaktivt på alla befintliga objekt i systemet använder du inställningen Kör vid principuppdatering på åtgärdsarbetsflöden för att verkställa dessa principer retroaktivt på inlästa data.For any policies that you need to apply retroactively to all existing objects in the system, use the run-on policy update setting on action workflows to apply those policies retroactively on the loaded data.

Steg 5: Konfigurera om SQL till tidigare inställningarStep 5: Reconfigure SQL to previous settings

Kom ihåg att ändra SQL-inställningen till dess normala inställningar.Remember to change the SQL setting to its normal settings. Du måste bland annat:This includes:

  • Aktivera fulltextsökningTurning on the full-text search

  • Uppdatera säkerhetskopieringsprincipen enligt organisationsprincipenUpdating your backup policy per your organization policy

När du har slutfört den inledande datainläsningen måste du aktivera fulltextsökning igen.Once you have completed the initial data load, you need to turn on full-text search again. Kör följande SQL-uttryck för att aktivera fulltextsökning igen:Run the following SQL statements to turn on full-text search again:

ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO

ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO

Om du vill växla till enkelt återställningsläge ser du till att konfigurera om säkerhetskopieringsschemat i enlighet med organisationens säkerhetskopieringsprincip.If you have to switch to Simple recovery mode, ensure that you reconfigure your backup schedule in accordance with your organization’s backup policy. Ytterligare information om säkerhetskopieringsscheman i FIM finns i Guide för säkerhetskopiering och återställning av FIM.Additional details of FIM backup schedules are available in the FIM Backup and Restore Guide.

KonfigurationsmigreringConfiguration Migration

Undvik att ändra visningsnamnAvoid changing display names

För många objekttyper, till exempel MPR, använder skriptet syncproduction.ps1 visningsnamnet som det enda fästpunktsattributet mellan två system.For many object types such as MPRs, the syncproduction.ps1 script uses the display name as the only anchor attribute between two systems. Det innebär att om ett befintligt MPR-visningsnamn ändras raderas befintlig MPR och en ny MPR skapas.Consequently, a change to an existing MPR’s display name results in the deletion of the existing MPR, followed by the creation of a new MPR. Det beror på att migreringsprocessen inte kan sammankoppla hanteringsprincipregler vars kopplingsvillkor har ändrats.This result occurs because the migration process cannot successfully join MPRs whose join criteria have changed. Du kan undvika detta problem genom att koppla ett anpassat attribut till alla konfigurationsobjekttyper och använda det attributet som kopplingsvillkor.To avoid this issue, you can bind a custom attribute to all configuration object types and use that attribute as the join criteria. På så sätt kan du ändra visningsnamn utan att påverka migreringsprocessen.This enables you to modify display names without affecting the migration process.

Undvik att ändra innehållet i mellanliggande filerAvoid changing the content of intermediate files

Även om filformatet och Application Programming Interface (API) för objekten på låg nivå är offentliga och ändringar stöds av utvecklare rekommenderar vi inte att du ändrar innehållet i mellanliggande format under migreringen.While the file format and application programming interface (API) of the low-level objects are public and manipulations are supported by developers, we do not recommend that you change the contents of the intermediate formats during the migration. Det kan dock vara nödvändigt att ta bort hela importobjekt från changes.xml eller utföra åtgärder för att söka och ersätta i pilot.xml för att byta ut versionsnummer eller pilot-DNS-information (Domain Name System) mot produktions-DNS-information.However, it may be necessary to remove entire ImportObjects from changes.xml or to perform find and replace operations on pilot.xml to replace version numbers or pilot Domain Name System (DNS) information for production DNS information.

Se till att versionsnumret i pilot.xml är rätt vid migrering mellan versionerEnsure that the version number is correct in pilot.xml when migrating across versions

Även om migreringar mellan versionsnummer varken rekommenderas eller stöds kan du ofta göra detta genom att byta ut pilotversionsnumret mot produktionsversionsnumret i pilot.xml.While migrations across version numbers are not recommended or supported, you can often do this by replacing the pilot version number with the production version number in pilot.xml. Mer specifikt kräver objekten WorkflowDefinition ochSpecifically, WorkflowDefinition and

ActivityInformationConfiguration versionsnumret för att exakt kunna hänvisa till arbetsflödesaktiviteter i produktionsmiljön.ActivityInformationConfiguration objects require the version number to refer precisely to workflow activities in the production environment. Om versionsnumret inte byts ut leder det till att cmdlet:en Compare-FIMConfig identifierar skillnader mellan XOML-attributen (Extensible Object Markup Language) i WorkflowDefinitions och migrerar pilotens versionsnummer.Failing to replace the version number results in the Compare-FIMConfig cmdlet identifying differences between the Extensible Object Markup Language (XOML) attributes on WorkflowDefinitions and migrating the pilot’s version number. FIM-tjänsten för produktion kan misslyckas med att starta arbetsflödesaktiviteter med fel versionsnummer.The production FIM Service may fail to start workflow activities with the incorrect version number.

Undvik cykliska referenserAvoid cyclic references

Normal rekommenderas inte cykliska referenser i en MIM-konfiguration.In general, cyclic references are not recommended in a MIM configuration. Cykler uppstår dock ibland när uppsättning A hänvisar till uppsättning B och uppsättning B också hänvisar till uppsättning A. För att undvika problem med cykliska referenser bör du ändra definitionen i uppsättning A eller uppsättning B så att de båda inte hänvisar till varandra.However, cycles sometimes occur when Set A refers to Set B and Set B also refers to Set A. To avoid issues with cyclic references, you should change the definition of Set A or Set B so that they both do not refer to each other. Starta sedan om migreringsprocessen.Then, restart the migration process. Om du har cykliska referenser och cmdlet:en Compare-FIMConfig ger ett fel som resultat måste du bryta cykeln manuellt.If you do have cyclic references and the Compare-FIMConfig cmdlet results in an error as a result, it is necessary to break the cycle manually. Eftersom cmdlet:en Compare-FIMConfig skapar en lista med ändringar i prioritetsordning får det inte finnas några cykler bland referenserna för konfigurationsobjekt.Because the Compare-FIMConfig cmdlet outputs a list of changes in order of precedence, it requires that no cycles exist among the references of configuration objects.

SäkerhetSecurity

MIM MA-kontoMIM MA account

MIM MA-kontot betraktas inte som ett tjänstkonto och ska vara ett vanligt användarkonto.The MIM MA account is not considered a service account and should be a regular user account. Kontona måste kunna logga in lokalt för att FIM-synkroniseringstjänstens tjänstkonto ska kunna personifiera den.The accounts must be able to log on locally in order for the FIM Synchronization Service service account to be able to impersonate it.

Aktivera MIM MA-kontot för lokal inloggningTo enable the MIM MA account to log on locally

  1. Klicka på Start, klicka på Administrationsverktyg och klicka sedan på Lokal säkerhetsprincip.Click Start, click Administrative Tools, and then click Local Security Policy.

  2. Öppna noden Lokala principer och klicka på Tilldelning av användarrättigheter.Open the Local Policies node, and then click User Rights Assignment.

  3. I principen Tillåt lokal inloggning ser du till att FIM MA-kontot anges uttryckligen, annars lägger du till det i en av de grupper som redan har åtkomst.In the policy Allow log on locally, ensure that the FIM MA account is explicitly specified, or add it to one of the groups that is already granted access.

FIM-synkroniseringstjänst och FIM-tjänstekontonFIM Synchronization Service and FIM Services accounts

Tjänstekontona bör vara begränsade för att kunna konfigurera servrarna som kör MIM-serverkomponenterna på ett säkert sätt.To configure the servers running the MIM server components in a secure manner, the service accounts should be restricted. Använd föregående metod för att aktivera MIM MA-kontot och ange följande begränsningar för FIM-synkroniseringstjänsten och FIM-tjänstekontona:Using the previous procedure to turn on the MIM MA account, set the following restrictions on the FIM Synchronization Service and FIM Service accounts:

  • Neka inloggning som batchjobbDeny logon as a batch job

  • Neka lokal inloggningDeny logon locally

  • Neka tillgång till den här datorn från nätverketDeny access to this computer from the network

Tjänstekontona bör inte vara medlem i den lokala administratörsgruppen.The service accounts should not be a member of the local administrators group.

FIM-synkroniseringstjänstens tjänstekonto bör inte vara medlem i de säkerhetsgrupper som används för att styra åtkomst till FIM-synkroniseringstjänsten (grupper som börjar med FIMSync, till exempel FIMSyncAdmins o.s.v.).The FIM Synchronization Service service account should not be a member of the security groups used to control access to FIM Synchronization Service (groups starting with FIMSync, for example, FIMSyncAdmins, and so on).

Viktigt

Om du väljer alternativen för att använda samma konto för båda tjänstekontona och inte skiljer FIM-tjänsten och FIM-synkroniseringstjänsten åt kan du inte konfigurera Neka tillgång till den här datorn från nätverket på mms-synkroniseringstjänstens server.If you select the options to use the same account for both service accounts and you separate the FIM Service and the FIM Synchronization Service, then you cannot set Deny access to this computer from the network on the mms Synchronization Service server. Om åtkomst nekas förhindrar det att FIM-tjänsten kontaktar FIM-synkroniseringstjänsten för att ändra konfigurationen och hantera lösenord.If access is denied that would prohibit the FIM Service from contacting the FIM Synchronization Service to change configuration and manage passwords.

Lösenordsåterställning som distribueras på kioskliknande datorer bör ange lokal säkerhet för att rensa virtuell minnesväxlingsfilPassword reset deployed to kiosk-like computers should set local security to clear virtual memory pagefile

Vid distribution av FIM-lösenordsåterställning på en dator som är avsedd att vara en kiosk rekommenderar vi att den lokala säkerhetsprincipinställningen Avstängning: Rensa den virtuella växlingsfilen aktiveras för att säkerställa att känslig information från processminnet inte är tillgänglig för obehöriga användare.When deploying FIM password reset on a workstation intended to be a kiosk, we recommend that the Shutdown: Clear virtual memory pagefile local security policy setting be turned on to ensure that sensitive information from process memory is not available to unauthorized users.

Implementera SSL för FIM-portalenImplementing SSL for the FIM Portal

Vi rekommenderar starkt att du använder SSL (secure sockets layer) på FIM-portalservern för att skydda trafiken mellan klienterna och servern.It is highly recommended that you use secure sockets layer (SSL) on the FIM Portal server to secure the traffic between the clients and the server.

Implementera SSL:To implement SSL:

  1. Öppna IIS-hanteraren på MIM-portalservern.On the MIM Portal server, open IIS Manager.

  2. Klicka på namnet på den lokala datorn.Click the local computer name.

  3. Klicka på Servercertifikat.Click Server Certificates.

  4. Klicka på Skapa certifikatförfrågan.Click Create Certificate Request.

  5. I textrutan Eget namn anger du serverns namn.In the Common Name text box, enter the name of the server.

  6. Klicka på Nästa och sedan på Nästa.Click Next, and then click Next.

  7. Spara filen var som helst.Save the file to any location. Du behöver ha åtkomst till denna plats under följande steg.You will need to access this location in subsequent steps.

  8. I Windows Internet Explorer® bläddrar du till https://servernamn/certsrv.In Windows Internet Explorer®, browse to https://servername/certsrv. Ersätt servernamn med namnet på den server som utfärdar certifikat.Replace servername with the name of the server issuing certificates.

  9. Klicka på Begär ett nytt certifikat.Click Request a new Certificate.

  10. Klicka på Skicka en avancerad begäran.Click Submit an Advanced Request.

  11. Klicka på Skicka en certifikatbegäran genom att använda en base-64-krypterad.Click Submit a Certificate Request by using a base-64-encoded.

  12. Klistra in innehållet i filen som du sparade i föregående steg.Paste the contents of the file that you saved in the previous step.

  13. I Certifikatmall väljer du Webbserver.In Certificate Template, select Web Server.

  14. Klicka på Skicka.Click Submit.

  15. Spara certifikatet på skrivbordet.Save the certificate to your desktop.

  16. I IIS-hanteraren klickar du på Complete Certification Request (Slutför certifieringsbegäran).In IIS Manager, click Complete Certification Request.

  17. Led IIS-hanteraren till det certifikat du precis har sparat på skrivbordet.Point IIS Manager to the certificate you just saved to the desktop.

  18. Ange serverns namn som Eget namn.For Friendly name, type the name of the server.

  19. Klicka på Platser och välj sedan SharePoint – 80.Click Sites, and then select SharePoint – 80.

  20. Klicka på Bindningar och klicka sedan på Lägg till.Click Bindings, and then click Add.

  21. Välj https.Select https.

  22. För certifikatet väljer du det som har samma namn som servern (detta är det certifikat du precis har importerat).For certificate, select the one that has the same name as the server (this is the certificate that you just imported).

  23. Klicka på Ok.Click OK.

  24. Ta bort HTTP-bindningen.Remove the HTTP binding.

  25. Klicka på SSL-inställningar och kontrollera Kräv SSL.Click SSL Settings, and then check Require SSL.

  26. Spara inställningarna.Save the settings.

  27. Klicka på Start, klicka på Administrationsverktyg och klicka sedan på Central administration för SharePoint 3.0.Click Start, click Administrative Tools, and then click SharePoint 3.0 Central Administration.

  28. Klicka på Åtgärder och klicka på Alternativa åtkomstmappningar.Click Operations, and then click Alternate Access Mappings.

  29. Klicka på http://servernamn.Click http://servername.

  30. Ändra http://servernamn till https://servernamn och klicka sedan på OK.Change http://servername to https://servername, and then click OK.

  31. Klicka på Start, klicka på Kör, skriv iisreset och klicka på OK.Click Start, click Run, type iisreset, and then click OK.

PrestandaPerformance

För optimal prestandakonfiguration:For optimal performance configuration:

  • Använd de rekommenderade metoder för SQL-konfiguration som beskrivs i avsnittet om konfiguration av SQL i detta dokument.Apply the SQL setup best practices as described in the SQL setup section in this document.

  • Inaktivera SharePoint-indexering på FIM 2010 R2-portalplatsen.Turn off SharePoint Indexing on the FIM 2010 R2 Portal site. Mer information finns i avsnittet Inaktivera SharePoint-indexering i det här dokumentet.For more information, see the Disable SharePoint indexing section in this document.

Specifika rekommenderade metoder (jag vill ta bort det här och komprimera det här avsnittet så att bara funktionerna finns vid rubrik 2-nivå i stället för 3)Feature Specific Best Practices (I want to remove this and collapse this section and just have the specific features at header 2 level versus 3)

Hantering av begäranRequest Management

MIM 2016 rensar som standard förfallna systemobjekt, vilket omfattar slutförda begäranden med kopplade godkännanden, godkännandesvar och arbetsflödesinstanser under en 30-dagarsintervall.By default MIM 2016 purges expired system objects, which includes completed requests with associated approvals, approval responses, and workflow instances on a 30-day interval. Om organisationen behöver ha en längre begäranshistorik bör du exportera begäranden från MIM och lagra dem i en extra databas för att spara dem efter perioden på 30 dagar.If your organization needs a longer request history, you should export requests from MIM and store them in an auxiliary database to preserve them beyond the 30-day window. Även om det går att konfigurera raderingsperioden på 30 dagar för begäranden kan en förlängning av denna tid ha en negativ effekt på prestanda till följd av de ytterligare objekten i systemet.While the 30-day request deletion window is configurable, extending this window can negatively impact performance due to the additional objects in the system.

Hantering av principreglerManagement Policy Rules

Använd lämplig MPR-typUse the appropriate MPR type

MIM erbjuder två typer av MPR, Begäran och Uppsättningsövergång:MIM provides two types of MPRs, Request and Set Transition:

  • MPR för begäran (RMPR)Request MPR (RMPR)

    • Används för att definiera åtkomstkontrollprincipen (autentisering, auktorisering och åtgärd) för åtgärderna Skapa, Läsa, Uppdatera eller Ta bort (Create, Read, Update eller Delete, CRUD) mot resurser.Used to define the access control policy (authentication, authorization, and action) for Create, Read, Update, or Delete (CRUD) operations against resources.
    • Tillämpas när en CRUD-åtgärd utfärdas mot en målresurs i FIM.Applied when a CRUD operation is issued against a target resource in FIM.
    • Omfattar de matchande kriterier som definieras i regeln, d.v.s. de CRUD-begäranden som regeln gäller för.Scoped by the matching criteria defined in the rule, that is, to which CRUD requests the rule applies.
  • MPR för uppsättningsövergång (TMPR)Set Transition MPR (TMPR)

    • Används för att definiera principer oavsett hur objektet har fått aktuellt tillstånd som representeras av övergångsuppsättningen.Use to define policies regardless of how the object entered the current state represented by the Transition Set. Använd TMPR för modellera rättighetsprinciper.Use TMPR to model entitlement policies.
    • Tillämpas när en resurs går in i eller lämnar en associerad uppsättning.Applied when a resource enters or leaves an associated set.
    • Omfattar medlemmarna i uppsättningen.Scoped to the members of the set.

[ANMÄRKNING] Mer information finns i Utforma regler för affärsprinciper.[NOTE] For additional details, see Designing Business Policy Rules.

Aktivera MPR endast efter behovOnly enable MPRs as necessary

Använd principen om lägsta behörighet när konfigurationen verkställs.Use the principle of least privilege when applying your configuration. MPR styr åtkomstprincipen för FIM-distributionen.MPRs control the access policy to your FIM deployment. Aktivera endast de funktioner som används av de flesta användare.Enable only those features used by most of your users. Det är till exempel inte alla användare som använder FIM för hantering av grupper, så kopplade grupphanterings-MPR ska inaktiveras.For example, not all users use FIM for group management, so associated group management MPRs should be disabled. FIM levereras med de flesta icke-administratörsbehörigheterna inaktiverade som standard.By default, FIM ships with most non-administrator permissions disabled.

Duplicera inbyggda MPR i stället för att ändra direktDuplicate built-in MPRs instead of directly modifying

Om du behöver ändra inbyggda MPR bör du skapa en ny MPR med den konfiguration som krävs och inaktivera inbyggd MPR.When needing to modify the built-in MPRs, you should create a new MPR with the required configuration and turn off the built-in MPR. Detta säkerställer att eventuella framtida ändringar i inbyggda MPR som införs genom uppgraderingsprocessen inte påverkar systemkonfigurationen negativt.This ensures that any future changes to the built-in MPRs that are introduced through the upgrade process do not negatively impact your system configuration.

Behörighet för slutanvändare bör använda explicita attributlistor som omfattar användarnas affärsbehovEnd-user permissions should use explicit attribute lists scoped to users business needs

Om explicita attributlistor används hjälper det till att förhindra att behörighet beviljas av misstag till obehöriga användare när attribut läggs till i objekt.Using explicit attribute lists helps to prevent the accidental granting of permissions to non-privileged users when attributes are added to objects. Administratörer bör behöva bevilja åtkomst explicit till nya attribut istället för att försöka ta bort åtkomsten.Administrators should explicitly need to grant access to new attributes instead of trying to remove access.

Åtkomst till data bör begränsas till användarnas affärsbehov.Access to data should be scoped to the business needs of the users. Gruppmedlemmar bör till exempel inte ha åtkomst till filterattributet för den grupp de är medlemmar i.For example, group members should not have access to the filter attribute of the group they are a member of. Filtret kan oavsiktligt avslöja organisationsdata som användaren normalt inte ska ha åtkomst till.The filter can inadvertently reveal organizational data that the user would not normally have access to.

MPR bör återspegla gällande behörigheter i systemetMPRs should reflect effective permissions in the system

Undvik att bevilja behörighet till attribut som användaren aldrig kan använda.Avoid granting permissions to attributes that the user can never use. Du bör till exempel inte bevilja behörighet till att ändra grundläggande resursattribut som objectType.For example, you should not grant permission to modify core resource attributes such as objectType. Trots MPR nekar systemet till alla försök att ändra en resurstyp efter att den har skapats.Despite the MPR, any attempt to modify a resource's type after it is created is denied by the system.

Läsbehörighet ska vara separat från behörigheter för att ändra och skapa när du använder explicita attribut i MPRRead permissions should be separate from Modify and Create permissions when using explicit attributes in MPRs

När attribut anges explicit i MPR ska attributen som krävs för att ändra och skapa normalt skilja sig från de som är tillgängliga för att läsa.When explicitly listing attributes in MPRs, the attributes required for Create and Modify are usually different than the ones available for Read. Läsa kan till exempel beviljas över systemattribut som Creator eller objectId, medan Skapa eller Ändra inte kan anges för systemattribut.For example, Read can be granted over System attributes such as Creator or objectId, while Create or Modify cannot be specified for System attributes.

Behörighet för att skapa ska vara separat från behörigheter för att ändra när du använder explicita attribut i reglerCreate permissions should be separate from Modify permissions when using explicit attributes in rules

Åtgärden för att skapa kräver att användaren väljer objectType som en del av åtgärden.The Create operation requires that the user select the objectType as part of its operation. Detta är ett grundläggande systemattribut som inte kan ändras efter en åtgärd för att skapa.This is a core system attribute that cannot be modified after a Create operation.

Använd en begärans-MPR för alla attribut med samma åtkomstkravUse one request MPR for all attributes with the same access requirements

För attribut med samma åtkomstkrav som inte förväntas att ändras kan du förbättra effektiviteten genom att kombinera dem i en enda begärans-MPR.For attributes with the same access requirements that are not expected to change, you can combine them into a single request MPR for efficiency.

Undvik att ge obegränsad åtkomst till valda huvudgrupperAvoid giving unrestricted access even to selected principal groups

Behörigheter definieras som en positiv försäkran i FIM.In FIM, permissions are defined as a positive assertion. Eftersom FIM inte stöder nekande behörigheter blir det svårt att ange undantag i behörigheterna om man ger obegränsad åtkomst till en resurs.Because FIM does not support Deny permissions, giving unrestricted access to a resource complicates providing any exclusions in the permissions. Rekommenderad metod är att endast bevilja de behörigheter som behövs.As a best practice, grant only the permissions necessary.

Anteckning

Avsnittet om rättigheter följer nedan.Entitlements section follows below. Jag undrar hur man sammanfogar dem för att undvika att skapa 5 nivårubrikerI am wondering how to merge them to avoid creating 5 level headers

Använd TMPR för att definiera anpassade rättigheterUse TMPRs to define custom entitlements

Använd MPR för uppsättningsövergång (TMPR) i stället för RMPR för att definiera anpassade rättigheter.Use Set Transition MPRs (TMPRs) instead of RMPRs to define custom entitlements. TMPR utgör en tillståndsbaserad modell för att tilldela eller ta bort rättigheter baserat på medlemskap i definierade övergångsuppsättningar, eller roller, och medföljande arbetsflödesaktiviteter.TMPRs provide a state-based model to assign or remove entitlements based on the membership in the defined Transition Sets, or roles, and the accompanying workflow activities. TMPR ska alltid definieras i par, ett för resurser som går in och ett för resurser som går ut.TMPRs should always be defined in pairs, one for resources transitioning in, and one for resources transitioning out. Dessutom bör varje övergångs-MPR innehålla separata arbetsflöden för etablerings- och borttagningsaktiviteter.In addition, each transition MPR should contain separate workflows for provisioning and deprovisioning activities.

Anteckning

Eventuella borttagningsarbetsflöden bör säkerställa att attributet Kör vid principuppdatering är inställt på sant.Any deprovisioning workflow should ensure that the Run On Policy Update attribute is set to true.

Aktivera uppsättningsövergången i MPR sistEnable the Set Transition In MPR last

När du skapar ett TMPR-par aktiverar du Uppsättningsövergång i MPR sist.When creating a TMPR pair, turn on Set Transition In MPR last. Den här ordningen säkerställer att ingen resurs finns kvar med rättigheten om den läggs till i och tas bort från uppsättningen när in-MPR är aktiverad men innan ut-MPR aktiveras.This order ensures that no resource is left with the entitlement if it is added to and removed from the set while In MPR is turned on but before Out MPR is turned on.

Arbetsflöden i TMPR bör kontrollera målresursens tillstånd förstWorkflows in TMPR should check target resource state first

Etableringsarbetsflöden bör först kontrollera för att fastställa om målresursen redan har etablerats i enlighet med rättigheten.Provisioning workflows should first check to determine if the target resource has already been provisioned in accordance with the entitlement. Om den har det ska den inte göra någonting.If it has, then it should do nothing.

Borttagningsarbetsflöden bör först kontrollera för att fastställa om målresursen har etablerats.Deprovisioning workflows should first check to determine if the target resource has been provisioned. Om den har det ska målresursen tas bort.If it has, then it should deprovision the target resource. Annars ska den inte göra någonting.Otherwise, it should do nothing.

Välj Kör vid principuppdatering för TMPRSelect Run On Policy Update for TMPRs

Detta säkerställer att rätt etableringsbeteende verkställs när principuppdateringar implementeras och använder flaggan Kör vid principuppdatering på åtgärdsarbetsflöden som är kopplade till TMPR.This ensures that the correct provisioning behavior applies when policy updates are implemented and use the RunOn Policy update flag on action workflows associated with the TMPRs. Detta säkerställer att ändringar i principdefinitionerna verkställer åtgärdsarbetsflöden på nya medlemmar i övergångsuppsättningen.This ensures that changes in the policy definitions apply the action workflows to new members of the Transition Set.

Undvik att koppla samma rättighet till två olika övergångsuppsättningarAvoid associating the same entitlement with two different Transition Sets

Om samma rättighet kopplas till två olika övergångsuppsättningar kan det leda till att återkallelse och ny tilldelning av rättigheter sker i onödan om resursen flyttar från en uppsättning till en annan.Associating the same entitlement with two different Transition Sets can cause an unnecessary revoking and re-granting of entitlements if the resource moves from one set to the other. Den rekommenderade metoden är att se till att en uppsättning innehåller alla resurser som kräver den kopplade rättigheten.As a best practice, ensure that one set contains all resources that require the associated entitlement. Detta säkerställer ett förhållande en mot en mellan övergångsuppsättningen och rättigheten som beviljar arbetsflödet.This ensures a one-to-one relationship between the Transition Set and the entitlement granting the workflow.

Använd en lämplig sekvens med åtgärder när du tar bort rättigheter i systemetUse an appropriate sequence of operations when removing entitlements in the system

Ordningen för stegen som utförs när rättigheter tas bort i systemet kan leda till två olika driftresultat.The order of the steps performed when removing entitlements in the system can result in two different operational results. Se till att du förstår vilken ordning som gäller för den effekt du vill ha.Ensure that you understand which order applies to the effect that you want.

Ta bort en rättighet från systemet (och återkalla den från alla medlemmar som har rättigheten för närvarande):To remove an entitlement from the system (and revoke it from all members currently holding the entitlement):

  1. Inaktivera T-In MPR.Disable the T-In MPR. På så sätt undviker du nya beviljanden.This avoids new grants.

  2. Ta bort T-Set-filtret eller ändra det så att det är tomt.Delete the T-Set filter or change it so that the set is empty. Det får alla befintliga medlemmar att göra en övergång ut och det verkställer principen för övergång ut, inklusive de konfigurerade avetableringsarbetsflöden som är kopplade till rättigheten.This causes all existing members to transition out and applies the transition out policy, including the configured deprovision workflows associated with the entitlement.

  3. Inaktivera T-Out MPR.Disable the T-Out MPR.

Ta bort en rättighet men låta de aktuella medlemmarna vara (t.ex. sluta använda FIM för att hantera rättigheten):To remove an entitlement but leave the current members alone (for example, stop using FIM to manage the entitlement):

  1. Inaktivera T-In MPR.Disable the T-In MPR. På så sätt undviker du nya beviljanden.This avoids new grants.

  2. Inaktivera T-Out MPR.Disable the T-Out MPR.

  3. Ta bort T-Set-filtret eller ändra det så att det är tomt.Delete the T-Set filter or change it so that the set is empty. Eftersom uppsättningen inte längre är kopplad till en TMPR verkställs inga avetableringsarbetsflöden.Because the set is no longer tied to a TMPR, no deprovision workflows are applied.

UppsättningarSets

När du använder de rekommenderade metoderna för uppsättningar måste du överväga effekten av optimeringen på hanterbarheten och hur enkel framtida administration blir.When applying the best practices for sets, you need to consider the impact of the optimizations on the manageability and ease of future administration. Lämplig testning med förväntad produktionsskala ska utföras för att identifiera den rätta balansen mellan prestanda och hanterbarhet innan dessa rekommendationer verkställs.Appropriate testing at expected production scale should be performed to identify the right balance between performance and manageability before applying these recommendations.

Anteckning

Alla följande riktlinjer gäller dynamiska uppsättningar och dynamiska grupper.All the following guidelines apply to dynamic sets and dynamic groups.

Minska användningen av dynamisk kapslingMinimize the use of dynamic nesting

Det här gäller filtret i en uppsättning som hänvisar till attributet ComputedMember i en annan uppsättning.This refers to the filter of a set referencing the ComputedMember attribute of another set. En vanlig orsak till kapslade uppsättningar är att undvika att duplicera ett medlemskapsvillkor över flera uppsättningar.A common reason for nesting sets is to avoid duplicating a membership condition across many sets. Även om den här metoden kan ge bättre hanterbarhet för uppsättningarna försämras prestanda.While this approach may result in better manageability of the sets, there is a performance tradeoff. Du kan förbättra prestandan genom att duplicera medlemskapsvillkoren för en kapslad uppsättning i stället för att kapsla själva uppsättningen.You can optimize for performance by duplicating the membership conditions of a nested set instead of nesting the set itself.

Det kan hända att du påträffar fall då du inte kan undvika kapsling av uppsättningar för att tillfredsställa ett funktionskrav.You may encounter cases where you cannot avoid nesting sets to satisfy a functional requirement. Det här är de huvudsakliga situationer då du bör kapsla uppsättningar.These are the primary situations where you should nest sets. Kapsling av uppsättningar måste till exempel användas på följande sätt för att definiera uppsättningen för alla grupper utan ägare som är heltidsmedarbetare: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], där ”X” är uppsättningens ObjectID för alla heltidsmedarbetare.For example, to define the set of all the groups without Full-Time Employee owners, the nesting of sets must be used as follows: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], where ‘X’ is the ObjectID of the set of All Full Time Employees.

Minska användningen av negativa villkorMinimize the use of negative conditions

Negativa villkor är de medlemskapsvillkor som använder följande operatorer eller funktioner: !=, not(), \< , \<=.Negative conditions are the membership conditions that make use of the following operators or functions: !=, not(), \< , \<=. Optimera prestanda genom att uttrycka det villkor du vill använda med flera positiva villkor i stället för ett negativt villkor, där det är möjligt.To optimize for performance, where possible, express the condition that you want with multiple positive conditions rather than as a negative condition.

Minska användningen av medlemskapsvillkor baserat på referensattribut med flera värdenMinimize the use of membership conditions based on multivalued reference attributes

Användning av villkor baserat på referensattribut med flera värden ska minimeras, eftersom om det finns stora mängder sådana uppsättningar kan det påverka prestanda för åtgärder på det attribut som används i medlemskapsvillkoret.The use of conditions based on multivalued reference attributes should be minimized because large numbers of these sets may affect the performance of operations on the attribute used in the membership condition.

Återställning av lösenordPassword Reset

Kioskliknande datorer som används för lösenordsåterställning bör ange lokal säkerhet för att rensa den virtuella minnesväxlingsfilenKiosk-like computers that are used for password reset should set local security to clear the virtual memory pagefile

Vid distribution av FIM 2010-lösenordsåterställning på en dator som är avsedd att vara en kiosk rekommenderar vi att den lokala säkerhetsprincipinställningen Avstängning: Rensa den virtuella växlingsfilen aktiveras för att säkerställa att känslig information från processminnet inte är tillgänglig för obehöriga användare.When deploying FIM 2010 password reset on a workstation intended to be a kiosk, we recommend that the Shutdown: Clear virtual memory pagefile local security policy setting be turned on to ensure that sensitive information from the process memory is not available to unauthorized users.

Användare bör alltid registrera sig för lösenordsåterställning på en dator som de är inloggade påUsers should always register for a password reset on a computer that they are logged on to

När en användare försöker registrera sig för lösenordsåterställning via en webbportal initierar FIM 2010 alltid registrering för den inloggade användarens räkning, oavsett vem som är inloggad på webbplatsen.When a user attempts to register for password reset through a Web portal, FIM 2010 always initiates registration on behalf of the logged-on user, regardless of who is logged onto the Web site. Användare bör alltid registrera sig för lösenordsåterställning på en dator som de är inloggade på.Users should always register for a password reset on a computer that they are logged on to.

Ställ inte in registernyckeln AvoidPdcOnWan på trueDo not set the AvoidPdcOnWan registry key to true

När du använder MIM 2016-lösenordsåterställning ska du inte ställa in registernyckeln AvoidPdcOnWan på true.When using MIM 2016 password reset, do not set the AvoidPdcOnWan registry key to true.

Om den här registernyckeln ställs in på true är det mycket troligt att användaren går igenom lösenordsportarna, får sitt lösenord återställt på den primära domänkontrollanten (PDC) och försöker logga in.If this registry key is set to true, the user very likely goes through the password gates, has their password reset on the primary domain controller (PDC), and attempts to log on. På grund av den här registernyckeln utför inte den lokala domänkontrollanten den sekundära valideringen med PDC och därför nekas inloggningsbegäran.Because of this registry key, the local domain controller does not perform the secondary validation with the PDC, therefore denying the logon request. Om användaren nekas tillräckligt många gånger kan denne bli utelåst från domänen och måste ringa support.If the user is denied enough times, they can be locked out of the domain and will need to call support.

Aktivera inte loggning av lösenord i klartextDo not turn on logging of clear-text passwords

Det är möjligt att logga lösenord i klartext när spårning av diagnostiktjänstenivå aktiveras i WindowsIt is possible to log clear-text passwords when turning on diagnostic Service Level tracing in Windows

Communication Foundation (WCF).Communication Foundation (WCF). Det här alternativet är inaktiverat som standard och vi avråder från att aktivera det i produktionsmiljöer.This option is not turned on by default, and you are discouraged from turning it on in production environments. De här lösenorden visas som klartextelement i ett krypterat SOAP-meddelande (Simple Object Access Protocol) när användarna registrerar sig för lösenordsåterställning.These passwords are visible as clear-text elements within an encrypted Simple Object Access Protocol (SOAP) message when users register for password reset. Mer information finns i Configuring Message Logging (Konfigurera meddelandeloggning).For more information, see Configuring Message Logging.

Mappa inte ett auktoriseringsarbetsflöde till processen för lösenordsåterställningDo not map an authorization workflow to the password reset process

Du bör inte koppla ett auktoriseringsarbetsflöde till en åtgärd för lösenordsåterställning.You should not attach an authorization workflow to a password reset operation. Lösenordsåterställning kräver ett synkront svar, och auktoriseringsarbetsflöden som innehåller aktiviteter som exempelvis godkännandeaktiviteten är asynkrona.Password reset requires a synchronous response and authorization workflows that contain activities such as the approval activity are asynchronous.

Mappa inte flera åtgärdsaktiviteter till lösenordsåterställningDo not map multiple action activities to password reset

Du bör inte koppla ett arbetsflöde som innehåller fler än en åtgärdsaktivitet till en åtgärd för lösenordsåterställning.You should not attach a workflow that contains more than one action activity to a password reset operation. Ett exempelscenario skulle vara att bifoga en andra aktivitet för AD DS-lösenordsåterställning till en MPR för lösenordsåterställning.An example scenario would be attaching a second AD DS password reset activity to a password reset MPR. Det här scenariot stöds inte.This scenario is not supported.

Kräv omregistrering när aktiviteter läggs till, tas bort eller deras ordning ändras i ett befintligt arbetsflödeRequire reregistration when adding, removing, or changing the order of activities in an existing workflow

När du lägger till, tar bort eller ändrar ordningen för autentiseringsaktiviteter i ett befintligt arbetsflöde ska du alltid välja alternativet att kräva omregistrering.When adding, removing, or changing the order of authentication activities in an existing workflow, always select the option to require re-registration. Användare som försöker autentisera för lösenordsåterställning efter att en aktivitet har lagts till eller tagits bort från ett arbetsflöde, men innan de har registrerats om kan råka ut för oönskade effekter.Users who attempt to authenticate for password reset after an activity has been added to or removed from a workflow, but before they have reregistered, may encounter unwanted effects.

Portalkonfiguration och konfiguration av skärmen för resurskontrollPortal Configuration and Resource Control Display Configuration

Överväg att lägga till en sekretessfriskrivningsklausul på användarprofilsidanConsider adding a privacy disclaimer to the user profile page

I MIM kan en del användarprofilinformation som standard visas för andra användare.In MIM, by default, some user profile information may be displayed to other users. För att hjälpa användarna bör administratörerna överväga att lägga till anpassad text på användarprofilsidan som följer företagets principer.As a courtesy to the users, administrators should consider adding custom text consistent with their company's policies to the User Profile page. Mer information om att lägga till en anpassad text på en MIM-portalsida finns i introduktionen till att konfigurera och anpassa FIM-portalen.For more information about adding custom text to a MIM Portal page, see Introduction to Configuring and Customizing the FIM Portal.

SchemaSchema

Ta inte bort resurstyperna Person eller GruppDo not delete Person or Group resource types

Även om resurstyperna Person och Grupp inte är markerade som huvudresurstyper ska själva resurserna eller attributen som har tilldelats till dem inte tas bort.Though the Person and Group resource types are not marked as Core resource types, the resources themselves or the attributes assigned to them should not be deleted. Användargränssnittet (UI) i MIM-portalen kräver att resurstyperna Person och Grupp och deras attribut finns.The user interface (UI) in the MIM Portal requires that the Person and Group resource types and their attributes are present.

Ändra inte huvudattributenDo not modify the core attributes

Det finns 13 huvudattribut som tilldelas till alla resurstyper.There are 13 Core attributes assigned to all resource types. Du bör inte på något sätt ändra deras relation till någon resurstyp.You should not in any way modify their relationship to any resource type. De 13 huvudattributen är:The 13 Core attributes are:

  • CreatedTimeCreatedTime

  • CreatorCreator

  • DeletedTimeDeletedTime

  • BeskrivningDescription

  • DetectedRulesList • DisplayNameDetectedRulesList • DisplayName

  • ExpectedRulesListExpectedRulesList

  • ExpirationTimeExpirationTime

  • SpråkLocale

  • MVObjectIDMVObjectID

  • ObjectIDObjectID

  • ObjectTypeObjectType

  • ResourceTimeResourceTime

Ta inte bort schemaresursen med ett beroende av granskningskravDo not delete schema resource with a dependency on auditing requirements

Du bör inte ta bort schemaresurserna medan du fortfarande har granskningskrav för dessa resurser.You should not delete your schema resources while you still have auditing requirements for these resources.

Göra reguljära uttryck skiftlägesokänsligaMaking regular expressions case insensitive

I FIM kan det vara bra att göra vissa reguljära uttryck skiftlägesokänsliga.In FIM, it can be helpful to make some regular expressions case insensitive. Du kan ignorera skiftläge i en grupp genom att använda ?!:.You can ignore case within a group by using ?!:. För Typ av anställd kan du till exempel användaFor example, for Employee Type, use

\^(?!:contractor\|full time employee)%.

Beräkning av medlemsattributetCalculation of the member attribute

Medlemsattributet som är exponerat för synkroniseringsmotorn mappas faktiskt till ComputedMembers.The Member attribute exposed to the synchronization engine is actually mapped to ComputedMembers. Det är en kombination av villkorsbaserade medlemmar och manuellt valda medlemmar.It is a combination of criteria-based members and manually selected members. Även om du lägger till alla tre attributen (Filter, ExplicitMembers och ComputedMembers) sker inte den dynamiska beräkningen av medlemsattributet för andra resurstyper än grupp och uppsättning.Even if you add all three attributes, (Filter, ExplicitMembers, and ComputedMembers), the dynamic calculation of the member attribute does not occur for resource types other than for group and set.

Inledande och avslutande blanksteg i strängar ignorerasLeading and trailing spaces in strings are ignored

I FIM kan du ange strängar med inledande och avslutande blanksteg, men FIM-systemet ignorerar dessa blanksteg.In FIM, you can enter strings with leading and trailing spaces, but the FIM system ignores those spaces. Om du skickar en sträng med ett ledande och avslutande blanksteg ignorerar synkroniseringsmotorn och webbtjänster dessa blanksteg.If you submit a string with a leading and trailing space, the synchronization engine and Web services ignores those spaces.

Tomma strängar är inte lika med nullEmpty strings do not equal null

Tomma strängar är inte lika med null i den här versionen av FIM.Empty strings are not equal to null in this release of FIM. Tomma strängindata betraktas som ett giltigt värde.Empty string input is regarded as a valid value. Ej tillgängligt betraktas som ett null-värde.Not present is regarded as a null.

Arbetsflöde och bearbetning av begäranWorkflow and Request Processing

Ta inte bort standardarbetsflöden som medföljer MIM 2016Do not delete default workflows that are shipped with MIM 2016

Följande arbetsflöden medföljer FIM 2010 och ska inte tas bort:The following workflows are shipped with FIM 2010 and should not be deleted:

  • FörfalloarbetsflödeExpiration Workflow

  • Filtervalideringsarbetsflöde för administratörerFilter Validation Workflow for Administrators

  • Filtervalideringsarbetsflöde för icke-administratörerFilter Validation Workflow for Non-Administrators

  • Arbetsflöde för meddelande om gruppförfallodatumGroup Expiration Notification Workflow

  • GruppvalideringsarbetsflödeGroup Validation Workflow

  • Arbetsflöde för ägargodkännandeOwner Approval Workflow

  • Arbetsflöde för lösenordsåterställningsåtgärdPassword Reset Action Workflow

  • AuthN-arbetsflöde för lösenordsåterställningPassword Reset AuthN Workflow

  • Förfrågarvalidering med ägarauktoriseringRequestor Validation With Owner Authorization

  • Förfrågarvalidering utan ägarauktoriseringRequestor Validation Without Owner Authorization

  • Systemarbetsflöde som krävs för registreringSystem Workflow Required for Registration

Kör inte två eller flera godkännandeaktiviteter parallelltDo not run two or more ApprovalActivities in parallel

Du ska inte köra två eller flera godkännandeaktiviteter parallellt.You should not run two or more ApprovalActivities in parallel. Det kan leda till att begäran fastnar i auktoriseringsfasen.Doing so may cause the request to get stuck in the authorizing phase. För flera godkännanden kan du antingen inkludera en större lista med godkännare i godkännandet eller sätta de två aktiviteterna i en sekvens efter varandra.For multiple approvals, either include a larger list of approvers in the approval or sequence the two activities back-to-back.

Auktoriseringsaktiviteter bör inte ändra MIM-resursdataAuthorization activities should not modify MIM resources data

Undvik att använda aktiviteter som ändrar MIM-resurserna, t.ex. funktionsutvärderaraktiviteten, som en del av arbetsflödena i auktoriseringsarbetsflöden.Avoid using activities that modify the MIM resources, such as the Function Evaluator Activity, as part of the workflows in authorization workflows. Eftersom begäran inte har utförts under auktoriseringspunkten i bearbetningen kan eventuella ändringar som görs i identitetsinformationen verkställas trots att begäran kan komma att avvisas.Because the request has not been committed while in the authorization point of processing, any modifications performed to the identity information can be applied despite the request being possibly rejected.

Förstå FIM-tjänstpartitionerUnderstanding FIM Service Partitions

Målet med FIM är att bearbeta begäranden som kan initieras av olika FIM-klienter, till exempel FIM-synkroniseringstjänsten och självbetjäningskomponenterna, enligt konfigurerade affärsregler.The objective of FIM is to process requests that can be initiated by various FIM clients such as the FIM synchronization service and the self-service components according to your configured business policies. Varje FIM-tjänstinstans har skapats så att den tillhör en logisk grupp som består av en eller flera FIM-tjänstinstanser, som också kallas FIM-tjänstpartition.By design, each FIM service instance belongs to a logical group that consists of one or more FIM service instances, which is also known as FIM service partition. Om du endast har en FIM-tjänstinstans distribuerad för att hantera alla begäranden kan det hända att det uppstår fördröjningar i bearbetningen.If you have only one FIM service instance deployed to handle the all requests, it is possible that you experience processing latencies. En del åtgärder kan även överskrida de standardtidsgränsvärden som gäller för självbetjäningsåtgärder.Some operations can even exceed the default timeout values that are appropriate for self-service operations. FIM-tjänstpartitioner kan hjälpa dig att lösa detta problem.FIM service partitions can help you to address this issue. Mer information finns i Förstå FIM-tjänstpartitioner.For additional information see Understanding FIM Service Partitions.