Organisationseinheiten von Active Directory in Symantec Endpoint Protection 11.0

Close X

Dieses Dokument ist eine Übersetzung aus dem Englischen. Es handelt sich hierbei eventuell um eine Maschinenübersetzung. An der englischen Originalversion wurden möglicherweise nach Veröffentlichung dieser Übersetzung Änderungen vorgenommen, die das übersetzte Dokument ggf. noch nicht enthält. Symantec übernimmt keine Gewähr für die Richtigkeit oder Vollständigkeit der Übersetzung. Ziehen Sie die englische Version dieses Supportdatenbankartikels hinzu, um die neuesten Informationen im Original zu erhalten.

Artikel:TECH102546  |  Erstellt: 2008-01-18  |  Aktualisiert: 2008-01-03  |  Artikel-URL http://www.symantec.com/docs/TECH102546
Artikeltyp
Technical Solution


Plattform

Problem



Überblick über die Active Directory-Integrationsfunktionen in Symantec Endpoint Protection 11.0


Solution



Integration von Active Directory

Überblick
Als Zusatzeinrichtung kann Symantec Endpoint Protection Manager mit Active Directory integriert werden. Symantec Endpoint Protection Manager kann die Organisationseinheit und die Kontodaten importieren und diese Daten automatisch mit Active Directory synchronisieren. Der Administrator kann dann die vorhandene Organisationseinheit als Maßeinheit verwenden, um die Gruppenrichtlinie zuzuweisen.

Die Organisationseinheit wird wie ein spezieller Typ Gruppe behandelt, weil die importierte Organisationseinheit und die Konten in dieser Maßeinheit nicht geändert werden können. Jedoch kann die Organisationseinheit zusammen mit ihren Daten als Ganzes vom Administrator gelöscht werden. Es können keine Gruppen unter der Organisationseinheit erstellt werden. Eine Organisationseinheit kann einer Gruppe oder anderen Organisationseinheit untergeordnet sein. Der Administrator kann Konten aus einer Organisationseinheit auswählen und sie in eine angegebene Gruppe verschieben, Der Administrator kann beispielsweise eine Gruppe für Remote-Benutzer erstellen, alle Remote-Benutzer von ihrer aktuellen Organisationseinheit in eine neu erstellte Gruppe verschieben und eine Gruppenrichtlinie zuweisen, die für die Remote-Benutzer in dieser Gruppe hergestellt wird.

Hinweis: Der gleiche Benutzer kann in der Gruppe und in der Organisationseinheit existieren. In dieser Situation ist die Priorität der Gruppe höher als die der Organisationseinheit. Beispiel: Eine Remote-Gruppe und eine Technik-Organisationseinheit enthalten Sie das "James"-Benutzerkonto. Das "James-"Benutzerkonto verwendet dann die Gruppenrichtlinie der standortfernen Gruppe.

Synchronisierung mit Active Directory
Importierte Organisationseinheiten sind schreibgeschützt. Daten in der Organisationseinheit können nicht manuell geändert werden. Untergeordnete Organisationseinheiten können nicht gelöscht werden. Jedoch kann die Organisationseinheit als Ganzes manuell aus dem System gelöscht werden, weil dies bei einer Synchronisierung stattfindet. Der Administrator muss entscheiden, welche Organisationseinheiten importiert werden, und wann eine der vorhandenen Organisationseinheiten gelöscht werden muss. Nur die Daten der Organisationseinheit werden mit Active Directory synchronisiert. Das Intervall der Synchronisierung wird im Server-Fenster festgelegt. Beispiel: Wenn eine Organisationseinheit oder ein Benutzer aus "HQ Organizational Unit" gelöscht wird, dann wird diese Maßeinheit nicht während einer Synchronisierung gelöscht. Jedoch wird dieser Benutzer aus der importierten Organisationseinheit in Symantec Endpoint Protection Manager nach einer Weile gelöscht. Die Zugriffsverzögerung ist von dem Intervall der Synchronisierung abhängig. Benutzer in der Gruppe, die aus der Organisationseinheit kopiert wurden, werden nicht automatisch synchronisiert. Beispiel: Der Benutzer "James" aus der Organisationseinheit "Engineering Organizational Unit" wird in die Gruppe "Remote Users" kopiert. Wenn "James" aus dem Active Directory-Server entfernt wird, dann wird der Benutzer "James" auch aus der importierten Organisationseinheit gelöscht, aber nicht automatisch aus der Gruppe "Remote Users" gelöscht. In einigen Fällen, wenn die Clients registriert werden, bevor eine Active Directory-Synchronisierung stattfindet, registrieren sie zur temporären Gruppe. Während der Active Directory-Synchronisierung müssen die Clients in die richtige Gruppe verschoben werden.

Hinzufügen von Organisationseinheiten zu Symantec Endpoint Protection Manager
    • Bevor eine Organisationseinheit importiert werden kann, muss in "Server-Eigenschaften" ein Verzeichnis-Server hinzugefügt werden:
    • Wenn es untergeordnete Domänen und verschachtelte Domänen gibt, muss außerdem ein Verzeichnis-Server für jede dieser Domänen hinzugefügt werden.
    • Sobald der Verzeichnis-Server hinzugefügt worden ist, kann eine Organisationseinheit in jede mögliche Gruppenebene importiert werden.
    • Wählen Sie die gewünschte Organisationseinheit:
    • Um Organisationseinheiten von einer untergeordneten Domäne auszuwählen, verwenden Sie das Pulldown-Menü "Domäne".
    • Nach dem Import erscheint die Organisationseinheit als Gruppe:

Verschieben von Benutzern und Computern
Der Administrator kann einen oder mehrere Benutzer und/oder Computer in einer Gruppe auswählen und in eine andere Gruppe verschieben.
Wenn sich der ausgewählte Benutzer oder Computer in Organisationseinheit befindet, wird er kopiert. Der ausgewählte Benutzer/Computer wird in die Zielgruppe verschoben und Kriterien dieses Benutzers/Computers bleiben in der Organisationseinheit erhalten.

Hinweis: Wenn der Client im rechnergestützten Modus ist, wird durch Verschieben des Computernamen des Clients in eine andere Gruppe der Client gezwungen, zur neuen Gruppe zu wechseln und das neue Profil dieser Gruppe zu erhalten.
Wenn der Agent im benutzerbasierten Modus ist, wechselt der Client durch Verschieben des Anmeldebenutzernamens des Clients in eine andere Gruppe zur neuen Gruppe und erhält das neue Profil.

Priorität von Gruppe und Organisationseinheit
Die Organisationseinheitsstruktur und alle Konten in der Organisationseinheit können von importiert und mit Active Directory synchronisiert werden. Eine Organisationseinheit wird in die Gruppe als Element der Gruppe eingefügt, genauso wie Computer oder Benutzerkonten. Eine Organisationseinheit kann als als ein spezieller Gruppentyp angesehen werden. Gruppenrichtlinienprofile können auf die Organisationseinheit angewendet werden. Der Name der Organisationseinheit und der Computer/das Benutzerkonto innerhalb dieser Einheit können nicht geändert werden. Der Computer/das Benutzerkonto in der Organisationseinheit kann nur kopiert werden. (Duplizieren eines Computers/des Benutzerkonten ist nicht möglich.) Der Computer/das Benutzerkonto kann in einer Gruppe und einer Organisationseinheit gleichzeitig existieren. Da die Gruppe eine höhere Priorität als die Organisationseinheit hat, verwendet der Client das Profil der Gruppe anstelle der Organisationseinheit, wenn der Computer oder der Benutzer des Agenten in der Gruppe und der Organisationseinheit existiert.

Hinweis: Die temporäre Gruppe hat eine niedrigere Priorität als die Organisationseinheit. Dies ist eine Ausnahme.






Legacy ID



20080318103336935


Artikel-URL http://www.symantec.com/docs/TECH102546


Nutzungsbedingungen für diese Informationen finden Sie unter Rechtliche Hinweise