Microsoft Identity Manager 2016 En İyi UygulamalarMicrosoft Identity Manager 2016 Best Practices

Bu konu başlığında, Microsoft Identity Manager 2016 (MIM) dağıtma ve çalıştırmaya ilişkin en iyi uygulamalar açıklanırThis topic describes the best practices for deploying and operating Microsoft Identity Manager 2016 (MIM)

SQL kurulumuSQL setup

Not

SQL çalıştıran bir sunucu ayarlamaya yönelik aşağıdaki öneriler, FIMService'e ayrılmış bir SQL örneği ve FIMSynchronizationService veritabanına ayrılmış bir SQL örneği varsayar.The following recommendations for setting up a server running SQL presume a SQL instance dedicated to the FIMService and a SQL instance dedicated to the FIMSynchronizationService database. FIMService'i birleştirilmiş bir ortamda çalıştırıyorsanız yapılandırmanıza uygun değişiklikler yapmanız gerekir.If you are running the FIMService in a consolidated environment, you will have to make adjustments appropriate for your configuration.

Yapılandırılmış Sorgu Dili (SQL) sunucusunun yapılandırılması, en iyi sistem performansı için kritik önem taşır.Configuration of the Structured Query Language (SQL) server is critical to optimal system performance. Büyük ölçekli uygulamalarda en iyi MIM performansına ulaşmak, SQL çalıştıran bir sunucu için en iyi uygulamaların gerçekleştirilmesine bağlıdır.Achieving optimum MIM performance in large-scale implementations depends on the application of best practices for a server running SQL. Daha fazla bilgi için SQL en iyi uygulamalar hakkında aşağıdaki konulara bakın:For more information, see the following topics about SQL best practices:

Veri ve günlük dosyalarının ön boyutlanmasıPresize data and log files

Otomatik büyütmeye güvenmeyin.Do not rely on autogrow. Bunun yerine, bu dosyaların büyütülmesini el ile yönetin.Instead, manage the growth of these files manually. Güvenlik nedenleriyle otomatik büyütmeyi açık durumda bırakabilirsiniz, ancak veri dosyalarının büyütülmesini ileriye dönük olarak yönetmeniz gerekir.You can leave autogrow on for safety reasons, but you should proactively manage the growth of the data files. MIM veritabanının örnek boyutları için bkz. FIM Kapasite Planlama Kılavuzu.For sample sizes of the MIM database, see the FIM Capacity Planning Guide.

SQL veri ve günlük dosyalarını ön boyutlandırmak içinTo presize SQL data and log files

  1. SQL Server Management Studio’yu başlatın.Start SQL Server Management Studio.

  2. Veritabanı FIMService’e gidin, FIMService’e sağ tıklayın ve ardından Özellikler seçeneğine tıklayın.Navigate to the database FIMService, right-click FIMService, and then click Properties.

  3. Dosyalar sayfasında, veritabanı dosyalarını gereken boyuta genişletin.On the Files page, expand the database files to the required size.

Veri dosyalarından günlüğü ayırmaIsolate log from data files

Veritabanları için işlem ve veri günlüğü dosyalarını ayrı fiziksel disklere ayırmak için SQL sunucusu en iyi uygulamalarını izleyin.Follow the SQL server best practices to isolate the transaction and data log files for the databases onto separate physical disks.

Ek tempdb dosyaları oluşturmaCreate additional tempdb files

En iyi performans için tempdb dosyasında CPU çekirdeği başına bir veri dosyası oluşturmanızı öneririz.For optimal performance, we recommend that you create one data file per CPU core in the tempdb file.

Ek tempdb dosyaları oluşturmak içinTo create additional tempdb files

  1. SQL Server Management Studio’yu başlatın.Start SQL Server Mangement Studio.

  2. Sistem Veritabanları’nda veritabanı tempdb dosyasına gidin, tempdb’ye sağ tıklayın ve ardından Özellikler seçeneğine tıklayın.Navigate to the database tempdb in System Databases, right-click tempdb, and then click Properties.

  3. Dosyalar sayfasında, her CPU çekirdeği için bir veri dosyası oluşturun.On the Files page, create one data file for each CPU core. tempdb verilerini ve günlük dosyalarını farklı sürücülere ve yerleşik sürücülere ayırdığınızdan emin olun.Be sure to separate the tempdb data and log files to different drives and spindles.

Günlük dosyaları için yeterli alan sağlayınEnsure adequate space for Log files

Kurtarma modelinizin disk gereksinimlerini anlamak önemlidir.It is important to understand your recovery model’s disk requirements. Basit kurtarma modu, disk alanınızın kullanımını sınırlamak için ilk sistem yüklemesi sırasında uygun olabilir, ancak en son yedeklemeden sonra oluşturulan verilerde veri kaybı meydana gelebilir.Simple recovery mode may be appropriate during the initial system load to limit the use of your disk space, but the data created after your most recent backup is exposed to data loss. Tam kurtarma modunu kullanırken, yüksek disk alanı kullanımını önlemek için işlem günlüğünü sık sık yedekleyerek disk kullanımını yönetmeniz gerekir.When using Full recovery mode, you need to manage the disk usage through backups which include frequent backups of the transaction log to prevent high disk space usage. Daha fazla bilgi için bkz. Kurtarma Modeline Genel Bakış.For more information, see Recovery Model Overview.

SQL Server belleğini sınırlamaLimit SQL server memory

SQL sunucunuzda ne kadar belleğe sahip olduğunuza bağlı olarak ve SQL sunucusunu diğer hizmetlerle (yani, MIM 2016 Hizmeti ve MIM 2016 Eşitleme Hizmeti) paylaşırsanız, SQL bellek tüketimini kısıtlamak isteyebilirsiniz.Depending on how much memory you have on your SQL server and if you share the SQL server with other services (that is, MIM 2016 Service and MIM 2016 Synchronization Service), you might want to restrict the memory consumption of SQL. Bunu aşağıdaki adımları izleyerek yapabilirsiniz.You can do this through the following steps.

  1. SQL Server Enterprise Manager’ı başlatın.Start SQL Server Enterprise Manager.

  2. Yeni Sorgu seçeneğini belirleyin.Select New Query.

  3. Aşağıdaki sorguyu çalıştırın:Run the following query:

    USE master
    
    EXEC sp_configure 'show advanced options', 1
    
    RECONFIGURE WITH OVERRIDE
    
    USE master
    
    EXEC sp_configure 'max server memory (MB)', 12000--- max=12G RECONFIGURE
    WITH OVERRIDE
    

    Bu örnek, en fazla 12 gigabayt (GB) bellek kullanmak için SQL Server 'ı yeniden yapılandırır.This example reconfigures the SQL server to use no more than 12 gigabytes (GB) of memory.

  4. Aşağıdaki sorguyu kullanarak ayarı doğrulayın:Verify the setting by using the following query:

    USE master
    
    EXEC sp_configure 'max server memory (MB)'--- verify the setting
    
    USE master
    
    EXEC sp_configure 'show advanced options', 0
    
    RECONFIGURE WITH OVERRIDE
    

Yedekleme ve kurtarma yapılandırmasıBackup and recovery configuration

Genel olarak, bir yedekleme ve kurtarma stratejisi tasarlamak için veritabanı yöneticinizle birlikte çalışmanız gerekir.In general, you should work with your database administrator to design a backup and recovery strategy. Bazı öneriler şunlardır:Some recommendations include:

  • Kuruluşunuzun yedekleme ilkesine göre veritabanı yedeklemeleri gerçekleştirin.Perform database backups according to your organization’s backup policy.
  • Artımlı günlük yedeklemeleri planlanmıyorsa, veritabanı Basit kurtarma moduna ayarlanmalıdır.If incremental log backups are not planned, the database should be set to the Simple recovery mode.
  • Yedekleme stratejinizi uygulamadan önce farklı kurtarma modellerinin etkilerini anladığınızdan emin olun.Ensure that you understand the implications of the different recovery models before implementing your backup strategy. Bu modeller için disk alanı gereksinimlerini öğrenin.Learn the disk space requirements for these models. Tam kurtarma modeli, yüksek disk alanı kullanımından kaçınmak için sık sık günlük yedeklemeleri yapmayı gerektirir.Full recovery model requires frequent log backups to avoid high disk space usage.

Daha fazla bilgi için bkz. Kurtarma Modeline Genel Bakış ve FIM 2010 Yedekleme ve Geri Yükleme Kılavuzu.For more information, see Recovery Model Overview and FIM 2010 Backup and Restore Guide.

Yüklemeden sonra FIM hizmeti için bir yedekleme Yöneticisi hesabı oluşturCreate a Backup Administrator account for the FIM Service after installation

FIMService yöneticileri kümesi üyelerinin, MıM dağıtımınızın çalışması için kritik olan benzersiz izinleri vardır.Members of the FIMService Administrators set have unique permissions critical to the operation of your MIM deployment. Yöneticiler kümesinin bir parçası olarak oturum açabildiğinizden tek çözüm, sistemin önceki bir yedeklemesine geri dönmek olur.If you are unable to log on as part of the Administrators set, the only resolution is to roll back to a previous backup of the system. Bu durumun oluşmasını azaltmak için, yükleme sonrası yapılandırmanızın bir parçası olarak diğer kullanıcıları FIM Yönetim kümesine eklemenizi öneririz.To mitigate this situation, we recommend that you add other users to the FIM Administrative set as part of your post-installation configuration.

FIM HizmetiFIM Service

FIM Hizmeti hizmet Exchange posta kutusunu yapılandırmaConfiguring FIM Service service Exchange mailbox

MIM 2016 Hizmeti hizmeti hesabı için Microsoft Exchange Server'ı yapılandırmak üzere en iyi uygulamalar aşağıda verilmiştir.The following are best practices for configuring Microsoft Exchange Server for the MIM 2016 Service service account.

  • Hizmet hesaplarını yalnızca dahili e-posta adreslerinden gelen postaları kabul edebilecek şekilde yapılandırın.Configure the service account so that it can accept mail only from internal e-mail addresses. Özellikle, hizmet hesabı posta kutusunun, harici SMTP sunucularından kesinlikle posta alamaması gerekir.Specifically, the service account mailbox should never be able to receive mail from external SMTP servers.

Hizmet hesabını yapılandırmak içinTo configure the service account

  1. Exchange Yönetim Konsolu'nda FIM Hizmeti hizmet hesabını seçin.In the Exchange Management Console, select the FIM Service service account.

  2. Özellikler ve Posta Akışı Ayarlarını seçtikten sonra Posta Teslim Kısıtlamaları’nı seçin.Select Properties, select Mail Flow Settings, and then select Mail Delivery Restrictions.

  3. Tüm gönderenler için kimlik doğrulamasını gerekli kıl onay kutusunu işaretleyin.Select the Require that all senders are authenticated check box.

Daha fazla bilgi için bkz. İleti Teslimat Kısıtlamalarını Yapılandırma.For further information, see Configure Message Delivery Restrictions.

MIM PortalıMIM Portal

SharePoint dizin oluşturmayı devre dışı bırakmaDisable SharePoint indexing

Microsoft Office SharePoint® dizin oluşturmayı devre dışı bırakmanızı öneririz.We recommend that you disable Microsoft Office SharePoint® indexing. Dizine alınması gereken belge yok.There are no documents that need to be indexed. Dizin oluşturma, MıM 'de birçok hata günlüğü girişine ve olası performans sorunlarına neden olur.Indexing causes many error log entries and potential performance problems in MIM. SharePoint dizinlemeyi devre dışı bırakmak için aşağıdaki adımları uygulayın:To disable SharePoint indexing perform the steps below:

  1. MIM 2016 Portalı'nı barındıran sunucuda Başlat'a tıklayın.On the server that hosts the MIM 2016 Portal, click Start.

  2. Tüm Programlar'a tıklayın.Click All Programs.

  3. Tüm Programlar listesinde, Yönetimsel Araçlar'a tıklayın.In the All Programs list, click Administrative Tools.

  4. Yönetimsel Araçlar altında, SharePoint Yönetim Merkezi seçeneğine tıklayın.Under Administrative Tools, click SharePoint Central Administration.

  5. Yönetim Merkezi sayfasında İşlemler'e tıklayın.On the Central Administration page, click Operations.

  6. İşlemler sayfasında, Genel Yapılandırma altında Zamanlayıcı iş tanımlarına tıklayın.On the Operations page, under Global Configuration, click Timer job definitions.

  7. Zamanlayıcı İş Tanımları sayfasında, SharePoint Hizmetleri Arama Yenileme’ye tıklayın.On the Timer Job Definitions page, click SharePoint Services Search Refresh.

  8. Zamanlayıcı İşi Düzenle sayfasında, Devre Dışı Bırak seçeneğine tıklayın.On the Edit Timer Job page, click Disable.

MIM 2016 İlk Veri YüklemeMIM 2016 Initial Data Load

Bu bölümde, dış sistemden MıM 'e ilk veri yükünün performansını artırmaya yönelik bir dizi adım listelenmektedir.This section lists a series of steps to increase the performance of the initial data load from external system to MIM. Bu adımların bir sayısının yalnızca sistemin ilk popülasyonu sırasında gerçekleştirildiğini anlamak önemlidir.It is important to understand that a number of these steps are only performed during the initial population of the system. Yükleme tamamlandıktan sonra sıfırlanmaları gerekir.They should be reset upon load completion. Bu tek seferlik bir işlemdir ve sürekli bir eşitleme değildir.This is a one-time operation and is not a continuous synchronization.

Not

Kullanıcıları, MıM ve Active Directory Domain Services (AD DS) arasında eşitleme hakkında daha fazla bilgi için bkz. FIM belgelerindeki kullanıcıları Active Directory nasıl yaparım? ve FIM 'ye eşitleme .For more information about synchronizing users between MIM and Active Directory Domain Services (AD DS), see How do I Synchronize Users from Active Directory to FIM in the FIM documentation.

Önemli

Bu kılavuzun SQL kurulum bölümünde yer alan en iyi uygulamaları uyguladığınızdan emin olun.Ensure that you have applied the best practices covered in the SQL setup section of this guide.

Adım 1: SQL sunucusunu ilk veri yüklemesi için yapılandırmaStep 1: Configure the SQL server for initial data load

Verilerin ilk yükü uzun bir işlem olabilir.The initial load of data can be a lengthy process. Başlangıçta çok fazla veri yüklemeyi planladığınızda, tam metin aramasını geçici olarak kapatarak veritabanını doldurmak için gereken süreyi kısaltabilir ve MıM 2016 yönetim aracısında (FIM MA) dışarı aktarma işlemi tamamlandıktan sonra yeniden açabilirsiniz.When you plan to initially load a lot of data, you can shorten the time it takes to populate the database by temporarily turning off full-text search and turning it on again after the export on the MIM 2016 management agent (FIM MA) has completed.

Tam metin aramayı geçici olarak kapatmak için:To temporarily turn off full-text search:

  1. SQL Server Management Studio’yu başlatın.Start SQL Server Management Studio.

  2. Yeni Sorgu seçeneğini belirleyin.Select New Query.

  3. Aşağıdaki SQL deyimlerini çalıştırın:Run the following SQL statements:

ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = MANUAL
ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = MANUAL

Önemli

Bu yordamların uygulanmaması, yüksek disk alanı kullanımına neden olarak, disk alanınızda yer kalmamasıyla sonuçlanabilir.Not implementing these procedures can result in high disk space usage, possibly causing you to run out of disk space. Bu konu hakkında ek bilgiler için bkz. Kurtarma Modeline Genel Bakış.You can find additional details about this topic in Recovery Model Overview. FIM Yedekleme ve Geri Yükleme Kılavuzu ek bilgiler içerir.The FIM Backup and Restore Guide contains additional information.

Adım 2: Yükleme işlemi sırasında en düşük gerekli MIM yapılandırmasını uygulamaStep 2: Apply the minimum necessary MIM configuration during the load process

İlk yükleme işlemi sırasında, yalnızca yönetim ilkesi kurallarınızla (MPR'ler) ilgili FIM yapılandırmanız için gerekli en düşük yapılandırmayı uygulamanız ve tanımları ayarlamanız gerekir.During the initial load process, you should only apply the minimum configuration required to your FIM configuration for your management policy rules (MPRs) and set definitions. Veri yükleme tamamlandıktan sonra dağıtımınız için gereken ek ayarlar oluşturun.After the data load is completed, create the additional sets required for your deployment. Yüklenen verilere geriye dönük olarak bu ilkeleri uygulamak için eylem iş akışlarındaki İlke Güncelleştirildiğinde Çalıştır ayarını kullanın.Use the Run-On Policy update setting on the action workflows to apply those policies retroactively on the loaded data.

Adım 3: FIM Hizmetini harici kimlik verileriyle yapılandırma ve doldurmaStep 3: Configure and populate the FIM Service with external identity data

Bu noktada, Active Directory Kullanıcıları kullanarak sisteminizi yapılandırmak ve eşleştirmek için kullanıcıları Active Directory Domain Services FIM 'ye nasıl eşitleyebilirim? bölümünde açıklanan yordamları izlemeniz gerekir.At this point you should follow the procedures described in the How Do I Synchronize Users from Active Directory Domain Services to FIM guide to configure and synchronize your system with users from Active Directory. Grup bilgilerini eşitlemeniz gerekiyorsa, bu işleme ilişkin yordamlar grupları Active Directory Domain Services ' den FIM 'ye nasıl eşitleyemiyorum? bölümünde açıklanmaktadır.If you need to synchronize Group information, the procedures for that process are described in the How Do I Synchronize Groups from Active Directory Domain Services to FIM guide.

Eşitleme ve dışarı aktarma sıralarıSynchronization and export sequences

Performansı en iyi duruma getirmek için, bir bağlayıcı alanında çok sayıda bekleyen dışarı aktarma işlemiyle sonuçlanan bir eşitleme işleminden sonra bir dışa aktarma işlemi başlatın.To optimize performance, run an export after a synchronization run that results in a large number of pending export operations in a connector space. Ardından, etkilenen bağlayıcı alanıyla ilişkilendirilmiş yönetim aracısında bunu onaylamak için bir içeri aktarma işlemi başlatın.Then, run a confirming import run on the management agent that is associated with the affected connector space. Örneğin, eşitleme çalıştırma profillerini ilk veri yüklemenin bir parçası olarak birkaç yönetim aracısı üzerinde çalıştırmanız gerektiğinde, her eşitleme işlemi sonrası bir dışa aktarma ve ardından değişikliği içeri aktarma işlemi başlatmalısınız.For example, when you need to run synchronization run profiles on several management agents as part of an initial data load, you should run an export followed by a delta import after each individual synchronization run. Başlatma döngünüzün parçası olan her kaynak yönetimi aracısı için aşağıdaki adımları uygulayın:For each source management agent that is part of your initialization cycle, perform the following steps:

  1. Bir kaynak yönetim aracısında tam içeri aktarma.Full import on a source management agent.

  2. Kaynak yönetim aracısında tam eşitleme.Full synchronization on the source management agent.

  3. Etkilenen tüm hedef yönetim aracıları üzerinde aşamalı dışa aktarma işlemleri ile dışa aktarma gerçekleştirin.Export on all affected target management agents with staged export operations.

  4. Etkilenen tüm hedef yönetim aracıları üzerinde aşamalı dışa aktarma işlemleri ile değişikliği içeri aktarma gerçekleştirin.Delta import on all affected target management agents with staged export operations.

Adım 4: Tam MIM yapılandırmanızı uygulamaStep 4: Apply your full MIM configuration

İlk veri yüklemeniz tamamlandığında, dağıtımınız için tam MIM yapılandırmasını uygulamalısınız.Once your initial data load is completed, you should apply the full MIM configuration for your deployment.

Senaryolarınıza bağlı olarak, bu işlem ek kümeler, MPR'ler ve iş akışları oluşturulmasını içerebilir.Depending on your scenarios, this may include the creation of additional sets, MPRs, and workflows. Sistemdeki mevcut tüm nesnelere geriye dönük olarak uygulamanız gereken tüm ilkelerde, bu ilkeleri yüklenen verilere geriye dönük olarak uygulamak için eylem iş akışlarındaki ilke güncelleştirildiğinde çalıştır ayarını kullanın.For any policies that you need to apply retroactively to all existing objects in the system, use the run-on policy update setting on action workflows to apply those policies retroactively on the loaded data.

Adım 5: SQL’i önceki ayarlara yeniden yapılandırmaStep 5: Reconfigure SQL to previous settings

SQL ayarını normal ayarlarına değiştirmeyi unutmayın.Remember to change the SQL setting to its normal settings. Buna aşağıdakiler dahildir:This includes:

  • Tam metin aramayı açmaTurning on the full-text search

  • Yedekleme ilkenizi kuruluş ilkesi başına güncelleştirmeUpdating your backup policy per your organization policy

İlk veri yükleme tamamlandığında, tam metin aramayı tekrar etkinleştirmeniz gerekir.Once you have completed the initial data load, you need to turn on full-text search again. Tam metin aramayı yeniden etkinleştirmek için aşağıdaki SQL deyimlerini çalıştırın:Run the following SQL statements to turn on full-text search again:

ALTER FULLTEXT INDEX ON [fim].[ObjectValueString] SET CHANGE_TRACKING = AUTO

ALTER FULLTEXT INDEX ON [fim].[ObjectValueXml] SET CHANGE_TRACKING = AUTO

Basit kurtarma moduna geçmeniz gerekiyorsa yedekleme planınızın kuruluşunuzun yedekleme ilkesine uygun olarak yeniden yapılandırılmasını sağlayın.If you have to switch to Simple recovery mode, ensure that you reconfigure your backup schedule in accordance with your organization’s backup policy. FIM yedekleme zaman çizelgeleri hakkında ek ayrıntılar için bkz. FIM yedekleme ve Geri Yükleme Kılavuzu.Additional details of FIM backup schedules are available in the FIM Backup and Restore Guide.

Geçişi YapılandırmaConfiguration Migration

Görünen adları değiştirmekten kaçınınAvoid changing display names

MPR’ler gibi birçok nesne türü için, syncproduction.ps1 betiği, görünen adı iki sistem arasındaki tek çapa özniteliği olarak kullanır.For many object types such as MPRs, the syncproduction.ps1 script uses the display name as the only anchor attribute between two systems. Sonuç olarak, mevcut bir MPR'ın görünen adında yapılan bir değişiklik, mevcut MPR'ın silinmesine ve ardından yeni bir MPR oluşturulmasına neden olur.Consequently, a change to an existing MPR’s display name results in the deletion of the existing MPR, followed by the creation of a new MPR. Bu sonuç, katılım ölçütleri değişmiş olan geçiş işleminin MPR'lara başarıyla katılamamasıyla ortaya çıkar.This result occurs because the migration process cannot successfully join MPRs whose join criteria have changed. Bu sorunu önlemek için, tüm yapılandırma nesne türlerine özel bir öznitelik bağlayabilir ve bu özniteliği katılma ölçütü olarak kullanabilirsiniz.To avoid this issue, you can bind a custom attribute to all configuration object types and use that attribute as the join criteria. Bu, geçiş işlemini etkilemeden görünen adları değiştirmenizi sağlar.This enables you to modify display names without affecting the migration process.

Ara dosyaların içeriğini değiştirmekten kaçınınAvoid changing the content of intermediate files

Düşük düzeyli nesnelerin dosya biçimi ve uygulama programlama arabirimi (API) herkese açık olmasına ve işlemelerin geliştiriciler tarafından desteklenmesine rağmen, geçiş sırasında ara biçimlerin içeriğini değiştirmenizi önermiyoruz.While the file format and application programming interface (API) of the low-level objects are public and manipulations are supported by developers, we do not recommend that you change the contents of the intermediate formats during the migration. Bununla birlikte, tüm ImportObjects'i changes.xml dosyasından kaldırmak veya üretim DNS bilgileri için sürüm numaralarını veya Pilot Etki Alanı Adı Sistemi (DNS) bilgilerini değiştirmek için pilot.xml dosyasında bul ve değiştir işlemleri gerçekleştirmek gerekebilir.However, it may be necessary to remove entire ImportObjects from changes.xml or to perform find and replace operations on pilot.xml to replace version numbers or pilot Domain Name System (DNS) information for production DNS information.

Sürümler arasında geçiş yaparken, pilot.xml içindeki sürüm numarasının doğru olduğundan emin olunEnsure that the version number is correct in pilot.xml when migrating across versions

Sürüm numaraları arasındaki geçişler önerilmiyor veya desteklenmiyor olsa da, genellikle pilot sürüm numarasını pilot.xml dosyasındaki üretim sürüm numarası ile değiştirerek bunu yapabilirsiniz.While migrations across version numbers are not recommended or supported, you can often do this by replacing the pilot version number with the production version number in pilot.xml. Özellikle, WorkflowDefinition veSpecifically, WorkflowDefinition and

ActivityInformationConfiguration nesneleri, üretim ortamında iş akışı etkinliklerine tam olarak başvurmak için sürüm numarasını gerektirir.ActivityInformationConfiguration objects require the version number to refer precisely to workflow activities in the production environment. Sürüm numarasının değiştirilmemesi, Compare-FIMConfig cmdlet'inin WorkflowDefinitions'taki Genişletilebilir Nesne Biçimlendirme Dili (XOML) öznitelikleri ile pilot sürüm numarasının taşınması arasındaki farkların belirlemesine neden olur.Failing to replace the version number results in the Compare-FIMConfig cmdlet identifying differences between the Extensible Object Markup Language (XOML) attributes on WorkflowDefinitions and migrating the pilot’s version number. Üretim FIM Hizmeti, sürüm numarası yanlış olduğunda iş akışı etkinliklerini başlatamayabilir.The production FIM Service may fail to start workflow activities with the incorrect version number.

Döngüsel başvurulardan kaçınınAvoid cyclic references

Genel olarak, döngüsel başvurular bir MIM yapılandırmasında önerilmez.In general, cyclic references are not recommended in a MIM configuration. Bununla birlikte, A Kümesi B Kümesine ve aynı zamanda B Kümesi A Kümesine başvurduğunda bazen döngüler oluşur. Döngüsel başvurularla ilgili sorunlar oluşmasını önlemek amacıyla, birbirine başvurmamaları için A Kümesi veya B Kümesinin tanımını değiştirmelisiniz.However, cycles sometimes occur when Set A refers to Set B and Set B also refers to Set A. To avoid issues with cyclic references, you should change the definition of Set A or Set B so that they both do not refer to each other. Ardından, geçiş işlemini yeniden başlatın.Then, restart the migration process. Döngüsel başvurularınız varsa ve Compare-FIMConfig cmdlet'i hata ile sonuçlanırsa döngüyü el ile kırmanız gereklidir.If you do have cyclic references and the Compare-FIMConfig cmdlet results in an error as a result, it is necessary to break the cycle manually. Compare-FIMConfig cmdlet'i değişikliklerin listesini öncelik sırasına göre verdiğinden, yapılandırma nesnelerinin başvuruları arasında hiçbir döngü bulunmamasını gerektirir.Because the Compare-FIMConfig cmdlet outputs a list of changes in order of precedence, it requires that no cycles exist among the references of configuration objects.

GüvenlikSecurity

MIM MA hesabıMIM MA account

MIM MA hesabı bir hizmet hesabı olarak kabul edilmez ve normal bir kullanıcı hesabı olmalıdır.The MIM MA account is not considered a service account and should be a regular user account. FIM Eşitleme Hizmeti hizmet hesabının taklit edebilmesi için hesaplar yerel olarak oturum açabilmelidir.The accounts must be able to log on locally in order for the FIM Synchronization Service service account to be able to impersonate it.

Yerel olarak oturum açmak üzere MIM MA hesabını etkinleştirmek içinTo enable the MIM MA account to log on locally

  1. Başlat, Yönetimsel Araçlar ve ardından Yerel Güvenlik İlkesi'ne tıklayın.Click Start, click Administrative Tools, and then click Local Security Policy.

  2. Yerel İlkeler düğümünü açın ve Kullanıcı Hakları Ataması'na tıklayın.Open the Local Policies node, and then click User Rights Assignment.

  3. Yerel olarak oturum açmaya izin verme ilkesinde, FIM MA hesabının açıkça belirtildiğinden emin olun veya bunu zaten erişim izni verilmiş gruplardan birine ekleyin.In the policy Allow log on locally, ensure that the FIM MA account is explicitly specified, or add it to one of the groups that is already granted access.

FIM Eşitleme Hizmeti ve FIM Hizmetleri hesaplarıFIM Synchronization Service and FIM Services accounts

MIM sunucu bileşenlerini çalıştıran sunucuları güvenli bir şekilde yapılandırmak için hizmet hesaplarının kısıtlanması gerekir.To configure the servers running the MIM server components in a secure manner, the service accounts should be restricted. MIM MA hesabını açmak için önceki yordamı kullanarak, FIM Eşitleme Hizmeti ve FIM Hizmeti hesaplarında aşağıdaki kısıtlamaları ayarlayın:Using the previous procedure to turn on the MIM MA account, set the following restrictions on the FIM Synchronization Service and FIM Service accounts:

  • Toplu iş olarak oturum açmayı reddetDeny logon as a batch job

  • Yerel olarak oturum açmayı reddetDeny logon locally

  • Bu bilgisayara ağ üzerinden erişime izin vermeDeny access to this computer from the network

Hizmet hesapları yerel yöneticiler grubunun bir üyesi olmamalıdır.The service accounts should not be a member of the local administrators group.

FIM Eşitleme Hizmeti hizmet hesabı, FIM Eşitleme Hizmeti'ne (FIMSync ile başlayan gruplar, örneğin FIMSyncAdmins vb.) erişimi denetlemek için kullanılan güvenlik gruplarının bir üyesi olmamalıdır.The FIM Synchronization Service service account should not be a member of the security groups used to control access to FIM Synchronization Service (groups starting with FIMSync, for example, FIMSyncAdmins, and so on).

Önemli

Her iki hizmet hesabı için de aynı hesabı kullanma seçeneklerini belirlerseniz ve FIM Hizmeti ile FIM Eşitleme Hizmeti'ni birbirinden ayırırsanız, mms Eşitleme Hizmeti sunucusundaki ağdan Bu bilgisayara erişimi engelle seçeneğini ayarlayamazsınız.If you select the options to use the same account for both service accounts and you separate the FIM Service and the FIM Synchronization Service, then you cannot set Deny access to this computer from the network on the mms Synchronization Service server. Erişim reddedilirse, yapılandırmayı değiştirmek ve parolaları yönetmek için FIM Hizmetinin FIM Eşitleme Hizmetine başvurması yasaklanır.If access is denied that would prohibit the FIM Service from contacting the FIM Synchronization Service to change configuration and manage passwords.

Bilgi noktası benzeri bilgisayarlara dağıtılan parola sıfırlaması, yerel güvenliği sanal bellek disk belleği dosyasını temizleyecek şekilde ayarlamalıdırPassword reset deployed to kiosk-like computers should set local security to clear virtual memory pagefile

Bilgi noktası olması amaçlanan bir iş istasyonunda FIM parola sıfırlaması dağıtımı yaparken, işlem belleğinden gelen hassas bilgilerin yetkisiz kullanıcılar tarafından kullanılmadığından emin olmak için Kapat: Sanal bellek disk belleği dosyası yerel güvenlik ilkesi ayarının açık olmasını öneririz.When deploying FIM password reset on a workstation intended to be a kiosk, we recommend that the Shutdown: Clear virtual memory pagefile local security policy setting be turned on to ensure that sensitive information from process memory is not available to unauthorized users.

FIM Portalı için SSL uygulamaImplementing SSL for the FIM Portal

İstemciler ve sunucu arasındaki trafiği güvence altına almak için FIM Portal sunucusunda güvenli yuva katmanı (SSL) kullanmanız kesinlikle önerilir.It is highly recommended that you use secure sockets layer (SSL) on the FIM Portal server to secure the traffic between the clients and the server.

SSL uygulamak için:To implement SSL:

  1. MIM Portal sunucusunda IIS Yöneticisi'ni açın.On the MIM Portal server, open IIS Manager.

  2. Yerel bilgisayar adına tıklayın.Click the local computer name.

  3. Sunucu Sertifikaları’na tıklayın.Click Server Certificates.

  4. Sertifika İsteği Oluştur’a tıklayın.Click Create Certificate Request.

  5. Ortak Ad metin kutusuna sunucunun adını girin.In the Common Name text box, enter the name of the server.

  6. İleri'ye ve sonra yine İleri'ye tıklayın.Click Next, and then click Next.

  7. Dosyayı herhangi bir konuma kaydedin.Save the file to any location. Sonraki adımlarda bu konuma erişmeniz gerekecektir.You will need to access this location in subsequent steps.

  8. https://servername/certsrv adresine gidin.Browse to https://servername/certsrv. servername yerine sertifikaları yayımlayan sunucu adını girin.Replace servername with the name of the server issuing certificates.

  9. Yeni Sertifika İste'ye tıklayın.Click Request a new Certificate.

  10. Gelişmiş İstek Gönder'e tıklayın.Click Submit an Advanced Request.

  11. Bir base-64 kodu kullanarak Sertifika İsteği Gönder'e tıklayın.Click Submit a Certificate Request by using a base-64-encoded.

  12. Önceki adımda kaydettiğiniz dosyanın içeriğini yapıştırın.Paste the contents of the file that you saved in the previous step.

  13. Sertifika Şablonu kısmında Web Sunucusu’nu seçin.In Certificate Template, select Web Server.

  14. Gönder'e tıklayın.Click Submit.

  15. Sertifikayı masaüstünüze kaydedin.Save the certificate to your desktop.

  16. IIS Yöneticisi'nde Tam Sertifika İsteği'ne tıklayın.In IIS Manager, click Complete Certification Request.

  17. IIS Yöneticisi’ni masaüstüne az önce kaydettiğiniz sertifikaya yönlendirin.Point IIS Manager to the certificate you just saved to the desktop.

  18. Kolay ad için sunucu adını yazın.For Friendly name, type the name of the server.

  19. Siteler'e tıklayın ve SharePoint – 80'i seçin.Click Sites, and then select SharePoint – 80.

  20. Bağlamalar ve Ekle'ye tıklayın.Click Bindings, and then click Add.

  21. https seçeneğini belirleyin.Select https.

  22. Sertifika için, sunucu adı ile aynı ada sahip olanı seçin (bu, yeni içeri aktardığınız sertifikadır).For certificate, select the one that has the same name as the server (this is the certificate that you just imported).

  23. Tamam'a tıklayın.Click OK.

  24. HTTP bağlamasını kaldırın.Remove the HTTP binding.

  25. SSL Ayarları'na tıklayın ve ardından SSL İste’yi denetleyin.Click SSL Settings, and then check Require SSL.

  26. Ayarları kaydedin.Save the settings.

  27. Başlat'a tıklayın, Yönetimsel Araçlar'a tıklayın ve ardından SharePoint 3.0 Yönetim Merkezi’ne tıklayın.Click Start, click Administrative Tools, and then click SharePoint 3.0 Central Administration.

  28. İşlemler'e ve ardından Alternatif Erişim Eşlemeleri’ne tıklayın.Click Operations, and then click Alternate Access Mappings.

  29. http://servername öğesine tıklayın.Click http://servername.

  30. Olarak http://servername https://servernamedeğiştirin ve ardından Tamam ' a tıklayın.Change http://servername to https://servername, and then click OK.

  31. Başlat'a tıklayın, Çalıştır'a tıklayın, iisreset yazın ve Tamam'a tıklayın.Click Start, click Run, type iisreset, and then click OK.

PerformansPerformance

En iyi duruma getirilmiş performans yapılandırması için:For optimal performance configuration:

  • SQL kurulumuna ilişkin en iyi uygulamaları, bu belgedeki SQL kurulumu bölümünde açıklandığı şekilde uygulayın.Apply the SQL setup best practices as described in the SQL setup section in this document.

  • MıM portalı sitesinde SharePoint dizinlemeyi devre dışı bırakın.Turn off SharePoint Indexing on the MIM Portal site. Daha fazla bilgi için, bu belgedeki SharePoint dizin oluşturmayı devre dışı bırakma bölümüne bakın.For more information, see the Disable SharePoint indexing section in this document.

Özelliğe özgü En Iyi uygulamalarFeature Specific Best Practices

İstek YönetimiRequest Management

Varsayılan olarak, MIM 2016, ilişkili onaylar, onay yanıtları ve iş akışı örnekleriyle tamamlanmış istekleri içeren süresi dolan sistem nesnelerini 30 gün arayla temizler.By default MIM 2016 purges expired system objects, which includes completed requests with associated approvals, approval responses, and workflow instances on a 30-day interval. Kuruluşunuza daha uzun bir istek geçmişi gerekiyorsa, istekleri 30 günlük aralıktan daha uzun süre korumak için MIM'den dışarı aktarmalı ve yardımcı bir veritabanında saklamalısınız.If your organization needs a longer request history, you should export requests from MIM and store them in an auxiliary database to preserve them beyond the 30-day window. 30 günlük istek silme aralığı yapılandırılabilir olsa da, bu aralığı genişletmek sistemdeki ek nesneler nedeniyle performansı olumsuz olarak etkileyebilir.While the 30-day request deletion window is configurable, extending this window can negatively impact performance due to the additional objects in the system.

Yönetim İlkesi KurallarıManagement Policy Rules

Uygun MPR türünü kullanınUse the appropriate MPR type

MIM, İstek ve Küme Geçişi olmak üzere iki tür MPR sağlar:MIM provides two types of MPRs, Request and Set Transition:

  • İstek MPR’ı (RMPR)Request MPR (RMPR)

    • Kaynaklara karşı Oluşturma, Okuma, Güncelleştirme veya Silme (CRUD) işlemleri için erişim denetimi ilkesini (kimlik doğrulama, yetkilendirme ve eylem) tanımlamak için kullanılır.Used to define the access control policy (authentication, authorization, and action) for Create, Read, Update, or Delete (CRUD) operations against resources.
    • MıM 'de bir hedef kaynağa karşı bir CRUD işlemi verildiğinde uygulanır.Applied when a CRUD operation is issued against a target resource in MIM.
    • Kapsamı, kuralda tanımlanan eşleştirme ölçütlerine, yani kuralın hangi CRUD istekleri için geçerli olduğuna bağlıdır.Scoped by the matching criteria defined in the rule, that is, to which CRUD requests the rule applies.
  • Küme Geçişi MPR’ı (TMPR)Set Transition MPR (TMPR)

    • Nesnenin Geçiş Kümesi tarafından temsil edilen geçerli duruma nasıl girildiğinden bağımsız olarak ilkeleri tanımlamak için kullanın.Use to define policies regardless of how the object entered the current state represented by the Transition Set. Yetkilendirme ilkelerini modellemek için TMPR kullanın.Use TMPR to model entitlement policies.
    • Bir kaynak, ilişkili bir kümeye girdiğinde veya kümeden ayrıldığında uygulanır.Applied when a resource enters or leaves an associated set.
    • Kapsamı küme üyelerini içerir.Scoped to the members of the set.

[NOT] Daha fazla bilgi için bkz. İş İlkesi Kuralları Tasarlama.[NOTE] For additional details, see Designing Business Policy Rules.

MPR’leri sadece gerektiğinde etkinleştirinOnly enable MPRs as necessary

Yapılandırmanızı uygularken en az ayrıcalık ilkesini kullanın.Use the principle of least privilege when applying your configuration. MPRs, MıM dağıtımınıza erişim ilkesini denetler.MPRs control the access policy to your MIM deployment. Sadece kullanıcılarınızın çoğu tarafından kullanılan özellikleri etkinleştirin.Enable only those features used by most of your users. Örneğin, tüm kullanıcılar Grup yönetimi için MıM kullanmaz, bu nedenle ilişkili Grup Yönetimi MPRs 'ler devre dışı bırakılmalıdır.For example, not all users use MIM for group management, so associated group management MPRs should be disabled. Varsayılan olarak, MıM, yönetici olmayan birçok izin devre dışı olarak gönderilir.By default, MIM ships with most non-administrator permissions disabled.

Doğrudan değiştirme yerine yerleşik MPR’leri yinelemeDuplicate built-in MPRs instead of directly modifying

Yerleşik MPR'ları değiştirmeniz gerekirse, gerekli yapılandırmayla yeni bir MPR oluşturmanız ve yerleşik MPR'ı kapatmanız gerekir.When needing to modify the built-in MPRs, you should create a new MPR with the required configuration and turn off the built-in MPR. Bu, yükseltme işlemi ile sunulan yerleşik MPR'lardaki değişikliklerin sistem yapılandırmanızı olumsuz olarak etkilememesini sağlar.This ensures that any future changes to the built-in MPRs that are introduced through the upgrade process do not negatively impact your system configuration.

Son kullanıcı izinleri, kullanıcıların iş ihtiyaçlarına göre belirlenmiş açık öznitelik listelerini kullanmalıdırEnd-user permissions should use explicit attribute lists scoped to users business needs

Açık öznitelik listelerini kullanmak, nesnelere öznitelikler eklendiğinde, izinsiz kullanıcılara yanlışlıkla izin verilmesini önlemeye yardımcı olur.Using explicit attribute lists helps to prevent the accidental granting of permissions to non-privileged users when attributes are added to objects. Yöneticilerin, erişimi kaldırmaya çalışmak yerine, yeni özniteliklere açık bir şekilde erişim sağlamaları gerekir.Administrators should explicitly need to grant access to new attributes instead of trying to remove access.

Verilere erişim, kullanıcıların iş ihtiyaçlarına göre kapsamlandırılmalıdır.Access to data should be scoped to the business needs of the users. Örneğin, grup üyelerinin üyesi oldukları grubun filtre özniteliğine erişimi olmamalıdır.For example, group members should not have access to the filter attribute of the group they are a member of. Filtre, kullanıcının normalde erişemeyeceği kurumsal verileri yanlışlıkla gösterebilir.The filter can inadvertently reveal organizational data that the user would not normally have access to.

MPR’ler sistemdeki etkin izinleri yansıtmalıdırMPRs should reflect effective permissions in the system

Kullanıcılara, hiçbir zaman kullanamayacakları özniteliklere erişim izni vermekten kaçının.Avoid granting permissions to attributes that the user can never use. Örneğin, objectType gibi temel kaynak özniteliklerini değiştirmek için izin vermemelisiniz.For example, you should not grant permission to modify core resource attributes such as objectType. MPR'a rağmen, bir kaynak türünün oluşturulduktan sonra değiştirilmesine yönelik herhangi bir girişim, sistem tarafından reddedilir.Despite the MPR, any attempt to modify a resource's type after it is created is denied by the system.

MPR'larda açık öznitelikler kullanıldığında okuma izinleri, Değiştirme ve Oluşturma izinlerinden ayrı olmalıdırRead permissions should be separate from Modify and Create permissions when using explicit attributes in MPRs

MPR'larda öznitelikler açıkça listelendiğinde, Oluşturma ve Değiştirme için gerekli öznitelikler genellikle Okuma için olanlardan farklıdır.When explicitly listing attributes in MPRs, the attributes required for Create and Modify are usually different than the ones available for Read. Örneğin Okuma, Oluşturucu veya objectId gibi Sistem öznitelikleri üzerinden verilebilirken,Oluşturma veya Değiştirme Sistem öznitelikleri için belirtilemez.For example, Read can be granted over System attributes such as Creator or objectId, while Create or Modify cannot be specified for System attributes.

Kurallarda açık öznitelikler kullanıldığında, Oluşturma izinleri Değiştirme izinlerinden ayrı olmalıdırCreate permissions should be separate from Modify permissions when using explicit attributes in rules

Oluşturma işlemi, kullanıcının işlemin bir parçası olarak objectType'ı seçmesini gerektirir.The Create operation requires that the user select the objectType as part of its operation. Bu, bir Oluşturma işlemi sonrasında değiştirilemeyen temel bir sistem özniteliğidir.This is a core system attribute that cannot be modified after a Create operation.

Aynı erişim gereksinimlerine sahip tüm öznitelikler için bir istek MPR’ı kullanınUse one request MPR for all attributes with the same access requirements

Aynı erişim gereksinimine sahip, değişmesi beklenmeyen öznitelikleri, verimlilik için tek bir istek MPR’ına dönüştürebilirsiniz.For attributes with the same access requirements that are not expected to change, you can combine them into a single request MPR for efficiency.

Seçilmiş sorumlu gruplara bile sınırsız erişim vermekten kaçınınAvoid giving unrestricted access even to selected principal groups

MıM 'de izinler pozitif bir onaylama olarak tanımlanır.In MIM, permissions are defined as a positive assertion. MıM izinleri reddetme izinlerini desteklemediğinden, izinlerle ilgili herhangi bir dışlamaları sağlayan bir kaynağa sınırsız erişim hakkı verir.Because MIM does not support Deny permissions, giving unrestricted access to a resource complicates providing any exclusions in the permissions. En iyi uygulama olarak, yalnızca gerekli izinleri verin.As a best practice, grant only the permissions necessary.

Özel yetkilendirmeler tanımlamak için TMPRs kullanınUse TMPRs to define custom entitlements

Özel yetkilendirmeleri tanımlamak için RMPR’ler yerine Küme Geçişi MPR’leri (TMPR’ler) kullanın.Use Set Transition MPRs (TMPRs) instead of RMPRs to define custom entitlements. TMPR'ler, tanımlı Geçiş Kümelerindeki üyeliğe veya rollere ve eşlik eden iş akışı etkinliklerine dayalı olarak yetkilendirmeleri atamak veya kaldırmak için duruma dayalı bir model sunar.TMPRs provide a state-based model to assign or remove entitlements based on the membership in the defined Transition Sets, or roles, and the accompanying workflow activities. TMPRs her zaman çiftler halinde tanımlanmalıdır, biri kaynak geçişi için, diğeri ise kaynak dışarı geçiş içindir. Ayrıca, her geçiş MPR, sağlama ve sağlama etkinlikleri için ayrı iş akışları içermelidir.TMPRs should always be defined in pairs, one for resources transitioning in, and one for resources transitioning out. In addition, each transition MPR should contain separate workflows for provisioning and deprovisioning activities.

Not

Herhangi bir sağlamayı kaldırma iş akışı İlke Güncelleştirildiğinde Çalıştır özniteliğinin true olarak ayarlanmasını sağlamalıdır.Any deprovisioning workflow should ensure that the Run On Policy Update attribute is set to true.

Giriş MPR’ında Küme Geçişini en son etkinleştirinEnable the Set Transition In MPR last

Bir TMPR çifti oluştururken, Giriş MPR’ında Küme Geçişini en son açın.When creating a TMPR pair, turn on Set Transition In MPR last. Bu komut, Giriş MPR'ı açıkken ancak Çıkış MPR’ı açılmadan önce, kümeye eklenirse ve kaldırılırsa yetkilendirmede kaynak kalmamasını sağlar.This order ensures that no resource is left with the entitlement if it is added to and removed from the set while In MPR is turned on but before Out MPR is turned on.

TMPR'deki iş akışları öncelikle hedef kaynak durumunu denetlemelidirWorkflows in TMPR should check target resource state first

Sağlama iş akışları, öncelikle hedef kaynağın yetkilendirmeye uygun olarak sağlanmış olup olmadığını belirlemek için denetleme yapmalıdır.Provisioning workflows should first check to determine if the target resource has already been provisioned in accordance with the entitlement. Sağlanmışsa, herhangi bir şey yapmamalıdır.If it has, then it should do nothing.

Sağlamayı kaldırma iş akışları öncelikle hedef kaynağın sağlanıp sağlanmadığını belirlemek için denetleme yapmalıdır.Deprovisioning workflows should first check to determine if the target resource has been provisioned. Sağlanmışsa, hedef kaynağın sağlanmasını kaldırmalıdır.If it has, then it should deprovision the target resource. Aksi takdirde, hiçbir şey yapmamalıdır.Otherwise, it should do nothing.

TMPR’ler için İlke Güncelleştirildiğinde Çalıştır’ı SeçmeSelect Run On Policy Update for TMPRs

Bu, ilke güncelleştirmeleri uygulandığında doğru sağlama davranışının uygulanmasını ve TMPR'lerle ilişkili eylem iş akışlarında İlke Güncelleştirildiğinde Çalıştır bayrağının kullanılmasını sağlar.This ensures that the correct provisioning behavior applies when policy updates are implemented and use the RunOn Policy update flag on action workflows associated with the TMPRs. Bu, ilke tanımlarındaki değişikliklerin eylem iş akışlarını Geçiş Kümesinin yeni üyelerine uygulamasını sağlar.This ensures that changes in the policy definitions apply the action workflows to new members of the Transition Set.

Aynı yetkilendirmeyi iki farklı Geçiş Kümesi ile ilişkilendirmekten kaçınınAvoid associating the same entitlement with two different Transition Sets

Aynı yetkilendirmeyi iki farklı Geçiş Kümesi ile ilişkilendirmek, kaynak bir kümeden diğerine geçtiğinde yetkilendirmelerin gereksiz şekilde iptal edilerek yeniden verilmesine neden olabilir.Associating the same entitlement with two different Transition Sets can cause an unnecessary revoking and re-granting of entitlements if the resource moves from one set to the other. En iyi uygulama olarak, bir kümenin ilişkili yetkilendirmeyi gerektiren tüm kaynakları içerdiğinden emin olun.As a best practice, ensure that one set contains all resources that require the associated entitlement. Bu, Geçiş Kümesi ve iş akışını sağlayan yetkilendirme arasında bire bir ilişki sağlar.This ensures a one-to-one relationship between the Transition Set and the entitlement granting the workflow.

Sistemdeki yetkilendirmeleri kaldırırken uygun işlem sırasını kullanınUse an appropriate sequence of operations when removing entitlements in the system

Sistemdeki yetkilendirmeler kaldırılırken gerçekleştirilen adımların sırası, iki farklı işletimsel sonuca neden olabilir.The order of the steps performed when removing entitlements in the system can result in two different operational results. İstediğiniz etkiye hangi sıranın uygun olduğunu anladığınızdan emin olun.Ensure that you understand which order applies to the effect that you want.

Sistemden bir yetkilendirmeyi kaldırmak (ve şu anda yetkilendirmesi bulunan tüm üyelerden geri almak) için:To remove an entitlement from the system (and revoke it from all members currently holding the entitlement):

  1. T-Giriş MPR’ını devre dışı bırakın.Disable the T-In MPR. Bu, yeni izinler verilmesini önler.This avoids new grants.

  2. T-Kümesi filtresini silin veya kümenin boş olması için değiştirin.Delete the T-Set filter or change it so that the set is empty. Bu, tüm mevcut üyelerin dışarı geçiş yapmasına neden olur ve yetkilendirme ile ilişkili yapılandırılmış sağlamayı kaldırma iş akışları da dahil olmak üzere dışarı geçiş ilkesini uygular.This causes all existing members to transition out and applies the transition out policy, including the configured deprovision workflows associated with the entitlement.

  3. T-Çıkış MPR’ını devre dışı bırakın.Disable the T-Out MPR.

Bir yetkilendirmeyi kaldırmak, ancak geçerli üyeleri tek başına bırakmak için (örneğin, yetkilendirmeleri yönetmek için MıM kullanmayı durdurun):To remove an entitlement but leave the current members alone (for example, stop using MIM to manage the entitlement):

  1. T-Giriş MPR’ını devre dışı bırakın.Disable the T-In MPR. Bu, yeni izinler verilmesini önler.This avoids new grants.

  2. T-Çıkış MPR’ını devre dışı bırakın.Disable the T-Out MPR.

  3. T-Kümesi filtresini silin veya kümenin boş olması için değiştirin.Delete the T-Set filter or change it so that the set is empty. Küme artık bir TMPR'a bağlı olmadığından, herhangi bir sağlamayı kaldırma iş akışı uygulanmaz.Because the set is no longer tied to a TMPR, no deprovision workflows are applied.

AyarlarSets

Kümeler için en iyi uygulamaları gerçekleştirirken, en iyi duruma getirme işlemlerinin yönetilebilirlik ve gelecekteki yönetim kolaylığı üzerindeki etkisini düşünmelisiniz.When applying the best practices for sets, you need to consider the impact of the optimizations on the manageability and ease of future administration. Bu önerileri uygulamadan önce performans ve yönetilebilirlik arasında doğru dengeyi belirlemek için beklenen üretim ölçeğinde uygun sınama gerçekleştirilmelidir.Appropriate testing at expected production scale should be performed to identify the right balance between performance and manageability before applying these recommendations.

Not

Aşağıdaki yönergelerin tümü dinamik kümeler ve dinamik gruplar için geçerlidir.All the following guidelines apply to dynamic sets and dynamic groups.

Dinamik iç içe geçme kullanımını en aza indirmeMinimize the use of dynamic nesting

Bu, başka bir kümenin ComputedMember özniteliğini referans alan bir kümenin filtresini belirtir.This refers to the filter of a set referencing the ComputedMember attribute of another set. Kümeleri iç içe geçirmenin yaygın bir nedeni, çok sayıda küme arasında bir üyelik koşulunu yinelemekten kaçınmaktır.A common reason for nesting sets is to avoid duplicating a membership condition across many sets. Bu yaklaşım, kümelerin daha iyi yönetilebilir olmasına neden olabilir, ancak performansta düşüş olur.While this approach may result in better manageability of the sets, there is a performance tradeoff. Performansı en iyi duruma getirmek için kümeyi iç içe geçirmek yerine iç içe geçmiş bir kümenin üyelik koşullarını yineleyebilirsiniz.You can optimize for performance by duplicating the membership conditions of a nested set instead of nesting the set itself.

İşlevsel bir gereksinimi karşılamak için kümeleri iç içe geçirmekten kaçınamayacağınız durumlarla karşılaşabilirsiniz.You may encounter cases where you cannot avoid nesting sets to satisfy a functional requirement. Bu durumlar, kümeleri iç içe geçireceğiniz birincil durumlardır.These are the primary situations where you should nest sets. Örneğin, Tam Zamanlı Çalışan sahipleri olmayan tüm grupların kümesini tanımlamak için, kümeler aşağıdaki gibi iç içe geçirilmelidir: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], burada ‘X’ Tüm Tam Zamanlı Çalışanlar kümesinin ObjectID’sidir.For example, to define the set of all the groups without Full-Time Employee owners, the nesting of sets must be used as follows: /Group[not(Owner = /Set[ObjectID = ‘X’]/ComputedMember], where ‘X’ is the ObjectID of the set of All Full Time Employees.

Olumsuz koşulların kullanımını en aza indirmeMinimize the use of negative conditions

Olumsuz koşullar, aşağıdaki operatörleri veya işlevleri kullanan üyelik koşullarıdır: !=, not(), \< , \<=.Negative conditions are the membership conditions that make use of the following operators or functions: !=, not(), \< , \<=. Performansı en iyi duruma getirmek için, istediğiniz koşulu olumsuz koşuldan ziyade birden çok olumlu koşulla belirtin.To optimize for performance, where possible, express the condition that you want with multiple positive conditions rather than as a negative condition.

Birden çok değere sahip başvuru özniteliklerine dayalı üyelik koşullarının kullanımını en aza indirinMinimize the use of membership conditions based on multivalued reference attributes

Birden çok değere sahip başvuru özniteliklerine dayalı koşulların kullanımı en aza indirilmelidir, çünkü bu kümelerden çok sayıda olması üyelik koşulunda kullanılan özellik performansını etkileyebilir.The use of conditions based on multivalued reference attributes should be minimized because large numbers of these sets may affect the performance of operations on the attribute used in the membership condition.

Parola SıfırlamaPassword Reset

Parola sıfırlama için kullanılan bilgi noktası benzeri bilgisayarlar, yerel güvenliği sanal bellek disk belleği dosyasını temizleyecek şekilde ayarlamalıdırKiosk-like computers that are used for password reset should set local security to clear the virtual memory pagefile

Bilgi noktası olması amaçlanan bir iş istasyonunda MıM parola sıfırlama 'yı dağıttığınızda, işlem belleğinden hassas bilgilerin yetkisiz kullanıcılar tarafından kullanılmadığından emin olmak için kapatılacak: sanal bellek disk belleği dosyasını temizle yerel güvenlik ilkesi ayarının açık olmasını öneririz.When deploying the MIM password reset on a workstation intended to be a kiosk, we recommend that the Shutdown: Clear virtual memory pagefile local security policy setting be turned on to ensure that sensitive information from the process memory is not available to unauthorized users.

Kullanıcılar, oturum açtıkları bir bilgisayarda her zaman parola sıfırlamasına kaydolmalıdırUsers should always register for a password reset on a computer that they are logged on to

Bir Kullanıcı bir Web portalı aracılığıyla parola sıfırlama kaydı yapmaya çalıştığında, MıM, Web sitesinde oturum açmış kim olursa olsun, oturum açan kullanıcı adına her zaman kayıt işlemini başlatır.When a user attempts to register for password reset through a Web portal, MIM always initiates registration on behalf of the logged-on user, regardless of who is logged onto the Web site. Kullanıcılar, oturum açtıkları bir bilgisayarda her zaman parola sıfırlamasına kaydolmalıdır.Users should always register for a password reset on a computer that they are logged on to.

AvoidPdcOnWan kayıt defteri anahtarını true olarak ayarlamayınDo not set the AvoidPdcOnWan registry key to true

MIM 2016 parola sıfırlaması kullanırken, AvoidPdcOnWan kayıt defteri anahtarını true olarak ayarlamayın.When using MIM 2016 password reset, do not set the AvoidPdcOnWan registry key to true.

Bu kayıt defteri anahtarı true olarak ayarlanırsa, kullanıcı büyük olasılıkla parola kapılarını geçer, birincil etki alanı denetleyicisinde (PDC) parolasının sıfırlanmasını sağlar ve oturum açmaya çalışır.If this registry key is set to true, the user very likely goes through the password gates, has their password reset on the primary domain controller (PDC), and attempts to log on. Bu kayıt defteri anahtarı nedeniyle, yerel etki alanı denetleyicisi PDC ile ikincil doğrulamayı gerçekleştirmez, bu nedenle oturum açma isteği reddedilir.Because of this registry key, the local domain controller does not perform the secondary validation with the PDC, therefore denying the logon request. Kullanıcı yeterli sayıda reddedilirse, etki alanı dışına atılır ve desteği araması gerekir.If the user is denied enough times, they can be locked out of the domain and will need to call support.

Düz metin parolaların günlüğe kaydedilmesini etkinleştirmeyinDo not turn on logging of clear-text passwords

Windows'daki tanılama Hizmet Düzeyi izleme özelliğini etkinleştirirken düz metin parolalarını günlüğe kaydetmek mümkündürIt is possible to log clear-text passwords when turning on diagnostic Service Level tracing in Windows

Communication Foundation (WCF).Communication Foundation (WCF). Bu seçenek varsayılan olarak kapalıdır ve üretim ortamlarında açılması önerilmez.This option is not turned on by default, and you are discouraged from turning it on in production environments. Kullanıcılar parola sıfırlaması için kaydolduklarında, bu parolalar şifrelenmiş Basit Nesne Erişim Protokolü (SOAP) iletisinde açık metin elemanları olarak görülebilir.These passwords are visible as clear-text elements within an encrypted Simple Object Access Protocol (SOAP) message when users register for password reset. Daha fazla bilgi için bkz. İletileri Günlüğe Kaydetmeyi Yapılandırma.For more information, see Configuring Message Logging.

Parola sıfırlama işlemini bir yetkilendirme iş akışıyla eşlemeyinDo not map an authorization workflow to the password reset process

Parola sıfırlama işlemine bir yetkilendirme iş akışı eklememelisiniz.You should not attach an authorization workflow to a password reset operation. Parola sıfırlaması, zaman uyumlu bir yanıt gerektirir ve onaylama etkinliği gibi etkinlikler içeren yetkilendirme iş akışları zaman uyumsuzdur.Password reset requires a synchronous response and authorization workflows that contain activities such as the approval activity are asynchronous.

Birden çok eylem etkinliğini parola sıfırlamasıyla eşlemeyinDo not map multiple action activities to password reset

Parola sıfırlama işlemine birden fazla eylem etkinliği içeren bir iş akışı eklememelisiniz.You should not attach a workflow that contains more than one action activity to a password reset operation. Örnek bir senaryo, ikinci bir AD DS parola sıfırlama etkinliğini parola sıfırlama MPR'ına bağlamak olabilir.An example scenario would be attaching a second AD DS password reset activity to a password reset MPR. Bu senaryo desteklenmez.This scenario is not supported.

Mevcut bir iş akışında etkinliklerin sırasını eklerken, kaldırırken veya değiştirirken yeniden kayıt olunmasını gerekli hale getirinRequire reregistration when adding, removing, or changing the order of activities in an existing workflow

Mevcut bir iş akışında kimlik doğrulama etkinlikleri ekleme, kaldırma veya değiştirme işlemlerinde, her zaman yeniden kayıt olunmasını gerekli hale getirme seçeneğini seçin.When adding, removing, or changing the order of authentication activities in an existing workflow, always select the option to require re-registration. Bir etkinlik bir iş akışına eklendikten veya bir iş akışından kaldırıldıktan sonra (yeniden kaydolmadan önce) parola sıfırlama için kimlik doğrulaması yapmaya çalışan kullanıcılar istenmeyen etkilerle karşılaşabilir.Users who attempt to authenticate for password reset after an activity has been added to or removed from a workflow, but before they have reregistered, may encounter unwanted effects.

Portal Yapılandırması ve Kaynak Denetimi Ekran YapılandırmasıPortal Configuration and Resource Control Display Configuration

Kullanıcı profili sayfasına bir gizlilik bildirimi eklemeyi düşününConsider adding a privacy disclaimer to the user profile page

MIM'de, varsayılan olarak, bazı kullanıcı profili bilgileri diğer kullanıcılara gösterilebilir.In MIM, by default, some user profile information may be displayed to other users. Kullanıcıların izniyle, yöneticiler Kullanıcı Profili sayfasına şirketlerinin ilkelerine uygun özel metin eklemeyi düşünmelidir.As a courtesy to the users, administrators should consider adding custom text consistent with their company's policies to the User Profile page. Bir MIM Portalı sayfasına özel metin ekleme hakkında daha fazla bilgi için bkz. FIM Portalını Yapılandırma ve Özelleştirme.For more information about adding custom text to a MIM Portal page, see Introduction to Configuring and Customizing the FIM Portal.

ŞemaSchema

Kişi veya Grup kaynak türlerini silmeyinDo not delete Person or Group resource types

Kişi ve Grup kaynak türleri Temel kaynak türleri olarak işaretlenmemiş olsa da, kaynakların kendileri veya bunlara atanan öznitelikler silinmemelidir.Though the Person and Group resource types are not marked as Core resource types, the resources themselves or the attributes assigned to them should not be deleted. MIM Portalındaki kullanıcı arabirimi (UI), Kişi ve Grup kaynak türlerinin ve özniteliklerinin mevcut olmasını gerektirir.The user interface (UI) in the MIM Portal requires that the Person and Group resource types and their attributes are present.

Temel öznitelikleri değiştirmeyinDo not modify the core attributes

Tüm kaynak türlerine atanan 13 Temel öznitelik vardır.There are 13 Core attributes assigned to all resource types. Hiçbir şekilde herhangi bir kaynak türüyle olan ilişkilerini değiştirmemelisiniz.You should not in any way modify their relationship to any resource type. 13 Temel öznitelik şunlardır:The 13 Core attributes are:

  • CreatedTimeCreatedTime

  • OluşturucuCreator

  • DeletedTimeDeletedTime

  • AçıklamaDescription

  • DetectedRulesList • DisplayNameDetectedRulesList • DisplayName

  • ExpectedRulesListExpectedRulesList

  • ExpirationTimeExpirationTime

  • Yerel AyarLocale

  • MVObjectIDMVObjectID

  • ObjectIDObjectID

  • ObjectTypeObjectType

  • ResourceTimeResourceTime

Denetim gereksinimlerine bağımlı olan şema kaynaklarını silmeyinDo not delete schema resource with a dependency on auditing requirements

Bu kaynaklar için denetim gereksinimleriniz hala varsa, şema kaynaklarınızı silmemelisiniz.You should not delete your schema resources while you still have auditing requirements for these resources.

Normal ifadelerin büyük/küçük harfe duyarlı olmamasını sağlamaMaking regular expressions case insensitive

MıM 'de, bazı normal ifadelerin büyük/küçük harfe duyarsız olmasını sağlamak yararlı olabilir.In MIM, it can be helpful to make some regular expressions case insensitive. ?!: kullanarak bir grup içindeki büyük/küçük harf durumunu yok sayabilirsiniz.You can ignore case within a group by using ?!:. Örneğin, Çalışan Türü için şunu kullanın:For example, for Employee Type, use

\^(?!:contractor\|full time employee)%.

Üye özniteliğini hesaplamaCalculation of the member attribute

Eşitleme altyapısında kullanıma sunulan kalan üye niteliği aslında ComputedMembers ile eşlenir.The Member attribute exposed to the synchronization engine is actually mapped to ComputedMembers. Ölçüt tabanlı üyelerin ve el ile seçilen üyelerin birleşimidir.It is a combination of criteria-based members and manually selected members. Her üç özniteliği de (Filter, ExplicitMembers ve ComputedMembers) ekleseniz bile, üye özniteliğinin dinamik hesaplaması, grup ve küme dışındaki kaynak türleri için gerçekleşmez.Even if you add all three attributes, (Filter, ExplicitMembers, and ComputedMembers), the dynamic calculation of the member attribute does not occur for resource types other than for group and set.

Dizelerde bulunan baştaki ve sondaki boşluklar yoksayılırLeading and trailing spaces in strings are ignored

MıM 'de, başında ve sonunda boşluk olan dizeler girebilirsiniz, ancak MıM sistemi bu alanları yoksayar.In MIM, you can enter strings with leading and trailing spaces, but the MIM system ignores those spaces. Başında ve sonunda boşluk olan bir dize gönderirseniz, eşitleme altyapısı ve Web hizmetleri bu boşlukları yoksayar.If you submit a string with a leading and trailing space, the synchronization engine and Web services ignores those spaces.

Boş dizeler null değerine eşit değildirEmpty strings do not equal null

Bu MıM sürümünde boş dizeler null değerine eşit değildir.Empty strings are not equal to null in this release of MIM. Boş dize girişi geçerli bir değer olarak kabul edilir.Empty string input is regarded as a valid value. Mevcut değil, null olarak kabul edilir.Not present is regarded as a null.

İş Akışı ve İstek İşlemeWorkflow and Request Processing

MIM 2016 ile birlikte gelen varsayılan iş akışlarını silmeyinDo not delete default workflows that are shipped with MIM 2016

Aşağıdaki iş akışları MıM ile birlikte gönderilir ve silinmemelidir:The following workflows are shipped with MIM and should not be deleted:

  • Bitiş Tarihi İş AkışıExpiration Workflow

  • Yöneticiler için Filtre Doğrulama İş AkışıFilter Validation Workflow for Administrators

  • Yönetici Olmayanlar için Filtre Doğrulama İş AkışıFilter Validation Workflow for Non-Administrators

  • Grup Bitiş Tarihi Bildirimi İş AkışıGroup Expiration Notification Workflow

  • Grup Doğrulama İş AkışıGroup Validation Workflow

  • Sahip Onayı İş AkışıOwner Approval Workflow

  • Parola Sıfırlama Eylemi İş AkışıPassword Reset Action Workflow

  • Parola Sıfırlama AuthN İş AkışıPassword Reset AuthN Workflow

  • Sahip Yetkisiyle İstekte Bulunanın DoğrulanmasıRequestor Validation With Owner Authorization

  • Sahip Yetkisi Olmadan İstekte Bulunanın DoğrulanmasıRequestor Validation Without Owner Authorization

  • Kayıt için Gereken Sistem İş AkışıSystem Workflow Required for Registration

İki veya daha fazla ApprovalActivities’i paralel olarak çalıştırmayınDo not run two or more ApprovalActivities in parallel

İki veya daha fazla ApprovalActivities’i paralel olarak çalıştırmamalısınız.You should not run two or more ApprovalActivities in parallel. Bunu yapmak, isteğin yetki verme aşamasında takılı kalmasına neden olabilir.Doing so may cause the request to get stuck in the authorizing phase. Birden çok onay için, onaya daha büyük bir onaylayan listesi ekleyin veya iki etkinliği art arda sıralayın.For multiple approvals, either include a larger list of approvers in the approval or sequence the two activities back-to-back.

Yetkilendirme etkinlikleri MIM kaynakları verilerini değiştirmemelidirAuthorization activities should not modify MIM resources data

Yetkilendirme iş akışlarındaki iş akışlarının bir parçası olarak İşlev Değerlendirme Etkinliği gibi MIM kaynaklarını değiştiren etkinlikleri kullanmaktan kaçının.Avoid using activities that modify the MIM resources, such as the Function Evaluator Activity, as part of the workflows in authorization workflows. İstek, işleme yetkilendirme noktasındayken kaydedilmediğinden, kimlik bilgilerinde yapılan değişiklikler istek reddedilse bile uygulanabilir.Because the request has not been committed while in the authorization point of processing, any modifications performed to the identity information can be applied despite the request being possibly rejected.

FIM Hizmeti Bölümlerini AnlamaUnderstanding FIM Service Partitions

MıM 'in amacı FIM eşitleme hizmeti ve self servis bileşenleri gibi çeşitli MıM istemcileri tarafından, yapılandırılmış iş ilkelerine göre başlatılabilen istekleri işlemelidir.The objective of MIM is to process requests that can be initiated by various MIM clients such as the FIM synchronization service and the self-service components according to your configured business policies. Tasarım gereği, her bir FIM hizmeti örneği, FIM hizmeti bölümü olarak da bilinen bir veya daha fazla FIM hizmeti örneğinden oluşan mantıksal bir gruba aittir.By design, each FIM service instance belongs to a logical group that consists of one or more FIM service instances, which is also known as FIM service partition. Tüm isteklerinizi yerine getirmek için yalnızca bir FIM hizmeti örneği dağıtılmışsa, işleme gecikmeleri ile karşılaşmanız mümkündür.If you have only one FIM service instance deployed to handle the all requests, it is possible that you experience processing latencies. Bazı işlemler, self-servis işlemler için uygun olan varsayılan zaman aşımı değerlerini bile aşabilir.Some operations can even exceed the default timeout values that are appropriate for self-service operations. FIM hizmeti bölümleri, bu sorunu gidermenize yardımcı olabilir.FIM service partitions can help you to address this issue.

Daha fazla bilgi için bkz. FIM hizmeti bölümlerini anlama.For additional information see Understanding FIM Service Partitions.

Sonraki adımlarNext steps