Создание инстанса в заданном контейнере/подразделении

Вопрос
Как создать экземпляр системы Indeed-Id в определенном контейнере/подразделении, расположенном не в корне домена, от имени учетной записи пользователя с ограниченными правами?

Ответ

Создание инстанса в контейнере Indeed-ID в корне домена

В общем случае для создания экземпляра системы Indeed-Id в Active Directory в корне домена необходимы права Администратора домена (Domain Admins). Учетная запись, от имени которой выполняется создание экземпляра системы Indeed-Id, должна обладать правами Полный контроль (Full Control) в целевом домене/подразделении. Однако в некоторых случаях это может быть неудобно.

Для того, чтобы свести к минимуму участие доменного администратора в процессе создания экземпляра системы Indeed-Id, инстанс может быть создан в контейнере Indeed-ID, расположенном в корне домена, от имени учетной записи с ограниченными правами. Для этого необходимо выполнить следующие действия:

1. Создать контейнер Indeed-ID в корне домена (требуются права доменного администратора).
Примечание:
Процесс создания контейнера в Active Directory описан на сайте Microsoft по адресу: http://technet.microsoft.com/ru-ru/libr … 32591.aspx. Для создания контейнера используется оснастка ADSI Edit (http://technet.microsoft.com/en-us/libr … 10%29.aspx).

2. Настроить права для учетной записи, от имени которой планируется создание инстанса, на созданный контейнер (требуются права доменного администратора) – см. описание ниже.

3. Создать инстанс - см. описание ниже.
При этом название контейнера Indeed-ID указывать не требуется. Этот контейнер будет автоматически найден при создании инстанса и необходимые подконтейнеры и группы будут созданы в нем.

Создание инстанса в контейнере, расположенном не в корне домена

Создание экземпляра системы Indeed-Id в определенном контейнере/подразделении, расположенном не в корне домена, от имени учетной записи пользователя с ограниченными правами выполняется в два этапа:

1-й этап - настройка прав на контейнер/подразделение для учетной записи, от имени которой планируется создание инстанса
2-й этап - непосредственно создание инстанса

При создании инстанса в определенном контейнере/подразделении внутри этого контейнера/подразделения будет создан контейнер Indeed-Id, в котором создаются необходимые подконтейнеры и группы.

1. Настройка прав

1. Установите права Full Control для учетной записи, от имени которой планируется создание инстанса, на нужный контейнер/подразделение.

откройте свойства контейнера/подразделения;
в окне свойств контейнера/подразделения перейдите на вкладку Security:
нажмите кнопку Add и добавьте учетную запись, от имени которой планируется создание инстанса;
в списке Group or user names выберите добавленную учетную запись и установите для нее флаг Full Control:
нажмите кнопку Apply.

2. Нажмите кнопку Advanced.

3. На вкладке Permissions выберите учетную запись, от имени которой планируется создание инстанса:

4. Нажмите кнопку Edit.

5. В списке Apply onto выберите This object and all child objects:

6. Выполните выход из системы и повторный вход под учетной записью, от имени которой планируется создание инстанса для того, чтобы новые права вступили в силу.

2. Создание инстанса

Запустите утилиту IndeedID.instance.exe, находящуюся в каталоге \Misc дистрибутива Indeed-Id Enterprise Server, с параметром /i:<уникальное имя домена>:

IndeedID.instance.exe /i:<уникальное имя домена>

где <уникальное имя домена> - Distinguished Name (DN) для домена

После выполнения команды в указанном контейнере/подразделении создается контейнер Indeed-Id со всеми необходимыми дочерними контейнерами и группами безопасности.

Учетная запись пользователя, под которой выполняется создание экземпляра системы Indeed-Id, также включается в служебные группы (наряду с группой Domain Admins).

Пример 1: Создание инстанса в контейнере

IndeedID.instance.exe /i:"cn=Office,dc=demo,dc=local"

Приведенная команда создает экземпляр системы Indeed-Id в контейнере Office, расположенном в корне домена demo.local.

Пример 2: Создание инстанса в подразделении

IndeedID.instance.exe /i:"ou=Office,dc=demo,dc=local"

Приведенная команда создает экземпляр системы Indeed-Id в подразделении Office, расположенном в корне домена demo.local.

Создание инстанса в заданном контейнере/подразделении Автор Anton Shlykov на 26 февраля 2016 05:42 PM
Вопрос Как создать экземпляр системы Indeed-Id в определенном контейнере/подразделении, расположенном не в корне домена, от имени учетной записи пользователя с ограниченными правами? Ответ Создание инстанса в контейнере Indeed-ID в корне домена В общем случае для создания экземпляра системы Indeed-Id в Active Directory в корне домена необходимы права Администратора домена (Domain Admins). Учетная запись, от имени которой выполняется создание экземпляра системы Indeed-Id, должна обладать правами Полный контроль (Full Control) в целевом домене/подразделении. Однако в некоторых случаях это может быть неудобно. Для того, чтобы свести к минимуму участие доменного администратора в процессе создания экземпляра системы Indeed-Id, инстанс может быть создан в контейнере Indeed-ID, расположенном в корне домена, от имени учетной записи с ограниченными правами. Для этого необходимо выполнить следующие действия: 1. Создать контейнер Indeed-ID в корне домена (требуются права доменного администратора). Примечание: Процесс создания контейнера в Active Directory описан на сайте Microsoft по адресу: http://technet.microsoft.com/ru-ru/libr … 32591.aspx. Для создания контейнера используется оснастка ADSI Edit (http://technet.microsoft.com/en-us/libr … 10%29.aspx). 2. Настроить права для учетной записи, от имени которой планируется создание инстанса, на созданный контейнер (требуются права доменного администратора) – см. описание ниже. 3. Создать инстанс - см. описание ниже. При этом название контейнера Indeed-ID указывать не требуется. Этот контейнер будет автоматически найден при создании инстанса и необходимые подконтейнеры и группы будут созданы в нем. Создание инстанса в контейнере, расположенном не в корне домена Создание экземпляра системы Indeed-Id в определенном контейнере/подразделении, расположенном не в корне домена, от имени учетной записи пользователя с ограниченными правами выполняется в два этапа: 1-й этап - настройка прав на контейнер/подразделение для учетной записи, от имени которой планируется создание инстанса 2-й этап - непосредственно создание инстанса При создании инстанса в определенном контейнере/подразделении внутри этого контейнера/подразделения будет создан контейнер Indeed-Id, в котором создаются необходимые подконтейнеры и группы. 1. Настройка прав 1. Установите права Full Control для учетной записи, от имени которой планируется создание инстанса, на нужный контейнер/подразделение. откройте свойства контейнера/подразделения; в окне свойств контейнера/подразделения перейдите на вкладку Security: нажмите кнопку Add и добавьте учетную запись, от имени которой планируется создание инстанса; в списке Group or user names выберите добавленную учетную запись и установите для нее флаг Full Control: нажмите кнопку Apply. 2. Нажмите кнопку Advanced. 3. На вкладке Permissions выберите учетную запись, от имени которой планируется создание инстанса: 4. Нажмите кнопку Edit. 5. В списке Apply onto выберите This object and all child objects: 6. Выполните выход из системы и повторный вход под учетной записью, от имени которой планируется создание инстанса для того, чтобы новые права вступили в силу. 2. Создание инстанса Запустите утилиту IndeedID.instance.exe, находящуюся в каталоге \Misc дистрибутива Indeed-Id Enterprise Server, с параметром /i:<уникальное имя домена>: *IndeedID.instance.exe /i:<уникальное имя домена>* где <уникальное имя домена> - Distinguished Name (DN) для домена После выполнения команды в указанном контейнере/подразделении создается контейнер Indeed-Id со всеми необходимыми дочерними контейнерами и группами безопасности. Учетная запись пользователя, под которой выполняется создание экземпляра системы Indeed-Id, также включается в служебные группы (наряду с группой Domain Admins). Пример 1: Создание инстанса в контейнере IndeedID.instance.exe /i:"cn=Office,dc=demo,dc=local" Приведенная команда создает экземпляр системы Indeed-Id в контейнере Office, расположенном в корне домена demo.local. Пример 2: Создание инстанса в подразделении IndeedID.instance.exe /i:"ou=Office,dc=demo,dc=local" Приведенная команда создает экземпляр системы Indeed-Id в подразделении Office, расположенном в корне домена demo.local.
(0 голос(а)) Эта статья полезна Эта статья бесполезна

Добавить новый комментарий Ответ на комментарий
Добавить новый комментарий Ответ на комментарий

Полное имя:
Email:
Комментарии: