Um ponto abordado quando falamos de contas de serviço para os Management Agents do FIM2010 é o nível de permissões que essas contas precisam ter.
No caso do uma conta comum é sulficiente.
Quando você configura um ADMA (Active Directory Management Agent) no seu ambiente, você precisa fornecer uma conta que será usada pelo seu agente para se conectar ao Active Directory.
Para o FIM2010, não há necessidade de usar uma conta de usuário do AD que seja membro de grupos de segurança administrativa (Ex.: Domain Admins).
Definido como “Melhores Práticas”, você deve usar uma conta de usuário padrão. No entanto, a conta deve ter direitos suficientes para garantir que informações possam ser trocadas entre o FIM2010 e o AD. Essas informações são trocadas de duas formas distintas:
- Importaçao de Informações (Import)
- Exportação de Informações (Export)
A forma de configurar essa permissão, através da guia de segurança do domínio, é permitir “Replicating Directory Changes” para a conta conforme imagem abaixo:
Além da permissão dada acima, devemos também dar permissão de “Full Control” em todas as OU´s que o MA precisará gerenciar. Caso você não de a permissão nas OU´s o Synchronization Engine mostrará mensagens de “permission-issue”.
Em breve, mais posts… Até mais!!!
Nenhum comentário:
Postar um comentário