terça-feira, 5 de janeiro de 2010

Como configurar corretamente uma conta de rede para o Management Agent do Active Directory

Olá!!!
Um ponto abordado quando falamos de contas de serviço para os Management Agents do FIM2010 é o nível de permissões que essas contas precisam ter.
No caso do  uma conta comum é sulficiente.
Quando você configura um ADMA (Active Directory Management Agent) no seu ambiente, você precisa fornecer uma conta que será usada pelo seu agente para se conectar ao Active Directory.
Para o FIM2010, não há necessidade de usar uma conta de usuário do AD que seja membro de grupos de segurança administrativa (Ex.: Domain Admins).

Definido como “Melhores Práticas”, você deve usar uma conta de usuário padrão. No entanto, a conta deve ter direitos suficientes para garantir que informações possam ser trocadas entre o FIM2010 e o AD. Essas informações são trocadas de duas formas distintas:
  • Importaçao de Informações (Import)
  • Exportação de Informações (Export)
Para garantir que uma conta comum tenha as permissões apropriadas para fazer esse sincronismo de informações entre o AD e o FIM2010, basta que a conta tenha permissão de consulta ao DirSync, uma vez que a conta não consultará as OU´s que foram configuradas no seu MA.
A forma de configurar essa permissão, através da guia de segurança do domínio, é permitir “Replicating Directory Changes” para a conta conforme imagem abaixo:
account
Além da permissão dada acima, devemos também dar permissão de “Full Control” em todas as OU´s que o MA precisará gerenciar. Caso você não de a permissão nas OU´s o Synchronization Engine mostrará mensagens de “permission-issue”.
Em breve, mais posts… Até mais!!!

Nenhum comentário:

Postar um comentário