Für FIM sind mehrere Dienstkonten und Gruppen erforderlich, für die jeweils eigene Konfigurationsanforderungen gelten. Es gibt jedoch kein einziges Dokument, das ich gefunden habe, in dem alle Konten und die erforderlichen Zugriffsrechte aufgeführt sind.
Dies ist eine Zusammenstellung von Informationen aus verschiedenen Microsoft-Artikeln mit Informationen zu FIM-Dienstkonten.
| Vollständiger Name |
Name der Benutzeranmeldung |
|
Beschreibung |
| FIM-Dienstleistung | FIMService | Wird von FIM benötigt, um das FIM-Portal zu betreiben. Wenn Sie PCNS verwenden, müssen SPNs für dieses Konto hinzugefügt werden. Setspn.exe -S FIMService/fim1CORP\FIMServiceSetspn.exe -S FIMService/fim1.corp.contoso.com CORP\FIMServiceBeiVerwendung von Kerberos muss die Delegation aktiviert werden.Bei Verwendung von PCNS müssen für dieses Konto auch SPNs festgelegt werden (siehe Abschnitt über PCNS unterhalb dieser Tabelle). | |
| FIM-Synchronisationsdienst | FIMSyncService | Wird von FIM benötigt, um den FIM-Synchronisierungsdienst auszuführen. | |
| FIM MA | FIMMA | Wird von FIM für die Bereitstellung und den Entzug von Daten über das FIM-Portal benötigt. | |
| SharePoint-Dienst | SPS-Dienst | SharePoint-Dienst accountSetspn.exe -S HTTP/fim1 CORP\SPServiceSetspn.exe -S HTTP/fim1.corp.contoso.com CORP\SPServiceBeiVerwendung von Kerberos muss die Delegation aktiviert werden. | |
| FIM ADMA | FIMADMA | Erforderlich für FIM zur Verwaltung von Objekten in Active Directory- Benötigt die Berechtigung zum Replizieren von Verzeichnisänderungen- Benötigt die volle Kontrolle über die von FIM verwalteten OUs- Benötigt die Organisationsverwaltungsrolle für Exchange, wenn Postfächer bereitgestellt werden- Eine vollständige Erklärung zur Konfiguration des ADMA-Kontos finden Sie hier: https://social.technet.microsoft.com/wiki/contents/articles/how-to-configure-the-adma-account.aspx | |
| FIM-Installateur | FIMInstaller | Empfohlenes Konto mit Administratorrechten auf FIM-Servern zur Installation von software. Dies sollte ein lokales Administratorkonto auf den FIM- und SCSM-Servern sein. Während der Installation benötigt es auch sysadmin auf SQL. Bei Verwendung von SCSM benötigt das Konto auch lokale Administratorrechte auf dem SQL-Server. Nach der Installation auf dem Entwicklungsserver können die Rechte herabgesetzt werden oder das Konto kann deaktiviert werden. (Hinweis: Bei Aktualisierungen muss dieses Recht möglicherweise gewährt werden, während die Aktualisierung installiert wird). |
Eine ausführliche Anleitung zur Einrichtung der FIM-Service-Konten finden Sie hier: https://technet.microsoft.com/en-us/library/hh322882(v=ws.10)
Ausführliche Informationen zu den von FIM verwendeten SPNs finden Sie hier: https://technet.microsoft.com/en-us/library/jj134299(v=ws.10).aspx
Dieser Schritt ist unbedingt zu beachten:
Hinweis: Wenn die Installation auf zwei Servern aufgeteilt ist, sollte das Dienstkonto für FIMService (das Konto, das den Dienst ausführt) nicht in der sicheren Angelegenheit (Anmeldung als Batch-Job verweigern, Anmeldung lokal verweigern, Zugriff auf diesen Computer vom Netzwerk aus verweigern) auf dem Server mit dem Synchronisierungsdienst konfiguriert werden. Das Konto für den FIM-Dienst sollte nur auf dem Server mit dem FIM-Dienst und dem Portal in der sicheren Angelegenheit konfiguriert werden.
Passwort zurücksetzen SPNS
Wenn Sie das Portal zum Zurücksetzen des Passworts verwenden, legen Sie die SPNs wie folgt fest:
Setspn.exe -S HTTP/Passwortzurücksetzen.corp.contoso.com CORP\FIM2$
Setspn.exe -S HTTP/Passwortregistrierung.corp.contoso.com CORP\FIM2$
PCNS
So konfigurieren Sie den SPN mit Setspn.exe
- Geben Sie an der Eingabeaufforderung command-line die in der folgenden Syntax dargestellten Befehle ein:
Setspn.exe -a <user defined named for target FIM Sync server>/<fully qualified domain name of the server running FIM Sync>\<domain\user name of the FIM Sync service account>
Zum Beispiel:
Setspn.exe -a PCNSCLNT/fab-dev-01.usergroup.fabrikam.com fab-dev-01\MIISServAccount
Der SPN muss eindeutig sein und darf in keinem anderen Dienstkonto vorkommen. Andernfalls schlägt die Kerberos-Authentifizierung fehl und Anfragen zur Passwortänderung werden nicht an FIM gesendet. Wenn es mehrere SPN gibt, können Sie die überflüssigen wie folgt löschen:
Aktualisieren Sie in ADUC die Domäne. Vergewissern Sie sich dann, dass "Erweiterte Funktionen" unter "Ansicht" aktiviert ist und navigieren Sie zu "System" und dann zu "Password Change Notification Service". Es wird eine Liste der Ziele angezeigt und Sie können das falsche Ziel löschen.
Mit dem Schalter -s in Setspn.exe können Sie sicherstellen, dass bei der Konfiguration von SPNs keine Duplikate erstellt werden. Mit diesem Schalter wird der SPN erst festgelegt, nachdem überprüft wurde, dass keine Duplikate vorhanden sind.
So überprüfen Sie die SPN-Einstellung für MIIS 2003
- Melden Sie sich an jedem Active Directory-Domänencontroller, auf dem PCNS installiert wurde, mit administrativen Rechten an.
- At a command prompt, type setspn –L <FIM Sync service account>, and then press ENTER.
- Verify that the following SPN is registered for the <FIM Sync service account>: PCNSCLNT\<FIM Sync server host name>
PCNS verwendet AD-Einschluss- und -Ausschlussgruppen. Diese müssen in Active Directory erstellt werden (nur die Einschlussgruppe ist erforderlich, die Ausschlussgruppe ist optional. Befindet sich ein Benutzer in der Ausschlussgruppe, wird die Kennwortänderung nicht übermittelt, selbst wenn der Benutzer in der Einschlussgruppe ist).
Um PCNS zu konfigurieren, führen Sie das Konfigurationsprogramm aus, das sich im Installationsverzeichnis von PCNS befindet.
pcnscfg ADDTARGET /N:FIMserver1 /A:FIMserver1.contoso.edu /S:PCNSCLNT/FIMserver1.contoso.edu/FI: "Domänenbenutzer" /FE: "Domänenadmins" /F:1 /I:600 /D:False /WL:20 /WI:60
Gruppen
- FIMSyncAdmins
- FIMSyncOperators
- FIMSyncJoiners
- FIMSyncBrowse
- FIMSyncPasswordSet
- PCNS-Einschluss- und Ausschlussgruppen
Abgesehen von den PCNS-Gruppen werden diese Gruppen bei der Installation des FIM-Dienstes benötigt. Sie können AD-Gruppen oder lokale Gruppen sein.
Die Mitgliedschaft muss gewährleistet sein:
FIMSyncAdmins
- FIMSyncService
- FIM-Installateur-Konto
FIMInstaller muss Lesezugriff auf die OU haben, in der sich die Gruppen befinden, wenn es sich um Active Directory-Gruppen handelt.
Weitere Informationen zur Gruppenkonfiguration und zu Berechtigungen finden Sie in diesem Artikel: https://technet.microsoft.com/en-us/library/jj590183(v=ws.10).aspx.
SCSM-Konten
- Mit der Veröffentlichung von FIM R2 wurde eine neue Berichtsfunktion eingeführt, die den System Center Service Manager (SCSM) nutzt:
SCSM-Installateur-Konto
Muss ein lokaler Administrator auf dem SCSM- und SCSMDW-Server sein.
Muss über SQL-Rechte verfügen, um Datenbanken zu erstellen und Sicherheitsrollen zuzuweisen. (Wir haben sysadmin verwendet.)
Muss Mitglied der lokalen Administratorengruppe auf dem SQL Server sein.
Nach der Installation kann der Zugriff auf das Konto herabgesetzt werden, oder das Konto kann deaktiviert und wieder aktiviert werden, wenn Aktualisierungen installiert werden müssen.
Es ist auch möglich, das FIM-Installer-Konto zu verwenden, anstatt ein separates SCSM-Installer-Konto zu erstellen.
SCSM-Administratorengruppe
Sicherheitsgruppe in AD
Das Konto des Installateurs wird automatisch zu dieser Gruppe hinzugefügt.
Die Gruppe wird automatisch zur Rolle der Service Manager-Administratoren hinzugefügt.
Die Gruppe wird automatisch zur Rolle der Data Warehouse-Administratoren hinzugefügt.
Service Manager Servicekonto
Domänenbenutzer
Lokaler Administrator auf dem SCSM- und SCSMDW-Server. (Verwenden Sie für beide Server das gleiche Konto.)
Nach der Installation wird das betriebliche Systemkonto dem Anmeldekonto für System Center Data Access Service und System Center Management Configuration Service zugewiesen.
In SQL wird er zu den Datenbankrollen sdk_users und configsvc_users auf den Datenbanken SCSM und SCSMDW hinzugefügt und wird Mitglied der Rolle db_datareader für die Datenbank DWRepository.
Nach der Installation wird das Data Warehouse als Konto ausgeführt, das dem Service Manager SDK-Konto und dem Service Manager Config-Konto zugeordnet ist.
Workflow-Konto
Domänenbenutzer
Mitglied der lokalen Sicherheitsgruppe Users.
Wenn E-Mail-Benachrichtigungen erforderlich sind, muss dieses Konto E-Mail-fähig sein.
Berichtskonto
Domänenbenutzer
Wird von SSRS für den Zugriff auf die DWDataMart-Daten verwendet.
In SQL wird sie zu den Rollen db_datareader und reportuser in der DWDataMart-Datenbank hinzugefügt.
