Конфигурация модуля ADSync
После установки, на контролере домена (Installation for Primary Domain Controller) появится ярлык AD Sync Configuration Studio. Необходимо запустить ее и заполнить поля согласно следующей инструкции:
Заполните предложенные поля:
Web Service Url: URL-адрес веб-службы панели управления - адрес для подключения к панели управления https://panel.slcloud.ru/webservices/adsyncsvc.asmx
Admin Login: Административная учетная запись в локальном каталоге Active Directory - учетная запись администратора локальной AD с разрешениями на выполнение локальных операций.
Для работы ADSync должна обладать следующими правами. Administrators, Domain Admins, Domain Users, Enterprise Admins, Organization Management.
Admin Password: Пароль администратора
Domain Netbios Name: Netbios имя локального каталоге Active Directory
Sync Interval: Промежуток между синхронизациями данных
Log Folder: Путь к папке для хранения логов ADSync - Выберите папку журнала, чтобы создать в ней файлы журнала, если требуется ведение журнала. Путь к папке журналов ADSync не должен относиться к рабочему столу PDC, а предоставленный путь к журналу также должен присутствовать на всех ADC
Enable Logging: Включение/Отключение логирования событий - Простая проверка/снятие отметки, чтобы включить ведение журнала или нет.
Service User Name: Логин пользователя для доступа к панели управления - Имя для входа в систему для доступа к учетной записи клиента в MachPanel (https://panel.slcloud.ru/) в формате: user@domain.com. Это владелец подписки, которую необходимо синхронизировать с Client-AD. Это может либо быть учетной записью клиента, либо контактным лицом клиента (доп. администратор).
Service Password: Пароль пользователя - пароль для входа пользователя, указанный в имени пользователя сервиса.
Select Hosted Organization: Название организации
Local OU LDAP: Путь к синхронизируемой OU в локальном каталоге Active Directory.
Поле ввода для установки LDAP организации Local-AD/On-Premises, или используйте опцию "select local organization", чтобы перечислить все локальные организации и выбрать одну из них. Это поле редактируемое, поэтому вы можете даже указать ROOT, чтобы все пользователи под этим AD попали в список одновременно. Вы можете указать ROOT, если пользователи находятся под разными OU и вы хотите перечислить их всех за один раз. В случае больших AD рекомендуется использовать только определенные OU, чтобы ускорить процесс, так как загрузка всех пользователей в случае больших AD займет много времени.
Sync Security Groups: Чтобы синхронизировать группы безопасности из MachPanel для организации ADSync Enabled, отметьте опцию Sync Security Groups – из-за особенности архитектуры публичного решения, рекомендуем отключить данную функцию. При миграции групп из локальной AD - будут не функциональны, из-за различия в идентификаторах
Enable Auto Mapping: Включить/выключить автоматическое отображение всех существующих пользователей. Эта опция позволяет клиенту автоматически сопоставить всех существующих пользователей с выбранной размещенной организацией на основе UPN и DisplayName соответственно.
Auto create new Users: Включение/Отключение возможности автоматического создания пользователей в облаке провайдера. На основании UPN или Display Name локального пользователя
Add Profile: Сохранение текущей конфигурации - Добавляет профиль в список профилей, расположенных ниже, и сохраняется в файле конфигурации при нажатии кнопки Save на экране конфигурации.
User custom filter: Фильтр для пользователей
Руководства по выражениям фильтра:
https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx
https://docs.microsoft.com/en-us/windows/win32/adsi/search-filter-syntax
Group custom filter: Определение пользовательского фильтра для групп безопасности -– из-за особенности архитектуры публичного решения, рекомендуем отключить данную функцию. При миграции групп из локальной AD - будут не функциональны, из-за различия в идентификаторах.
После сохранения изменений необходимо скопировать файл C:\Program Files\ADSyncSyncConfigurations.xml в папку $Windir\System32 и в C:\Program Files\ADSync, на все контролеры домена.
(Если нет копий файла SyncConfigurations.xml на первичном или дополнительном контроллерах домена На каждом сервере должен быть один и только один файл с именем SyncConfigurations.xml ! )
Далее необходимо убедиться, что политики паролей в локальном Active Directory соответствует политики в облачном AD.
Требования к паролю в облачном AD:
- Длина пароля должна быть не меньше 8 символов
- Пароль должен содержать минимум одну заглавную буквы и одну маленькую букву
- Пароль должен содержать минимум одну цифру
(ВАЖНО!) После завершения настроек необходимо перезагрузить все контроллеры домена.
