Mostrando postagens com marcador Conta de rede. Mostrar todas as postagens
Mostrando postagens com marcador Conta de rede. Mostrar todas as postagens

quarta-feira, 17 de fevereiro de 2010

userAccountControl: BitAnd e BitOr

userAccountControl é um atributo do tipo inteiro.

Se você quiser usá-lo apenas para habilitar ou desabilitar uma conta, você pode utilizar estas funções: BitAnd e BitOr.

  • BITAND = A função BitAnd muda um bit especifico em um valor para 0.

  • BITOR = A função BitOr muda um bit especifico em um valor para 1.

userAccountControl armazena outras informações sobre o status de uma conta tais como se a senha tem que ser alterada no próximo logon, se uma conta nunca expira.

Por exemplo: uma conta normal tem o valor 512 (1000000000 em binario) e uma conta desabilitada tem o valor 514 (1000000010).

Com as funções BitAnd e BitOr, nós podemos setar o segundo bit do campo userAccountControl conforme precisamos.

Uso da função BitAnd em uma Synchronization Rule

bitAnd

Uso da função BitOr em uma Synchronization Rule

bitOr

Até a próxima!!!

Publicado por Paulo H. Campos em 22:06 0 comentários
Labels: , , ,

terça-feira, 5 de janeiro de 2010

Como configurar corretamente uma conta de rede para o Management Agent do Active Directory

Olá!!!
Um ponto abordado quando falamos de contas de serviço para os Management Agents do FIM2010 é o nível de permissões que essas contas precisam ter.
No caso do  uma conta comum é sulficiente.
Quando você configura um ADMA (Active Directory Management Agent) no seu ambiente, você precisa fornecer uma conta que será usada pelo seu agente para se conectar ao Active Directory.
Para o FIM2010, não há necessidade de usar uma conta de usuário do AD que seja membro de grupos de segurança administrativa (Ex.: Domain Admins).

Definido como “Melhores Práticas”, você deve usar uma conta de usuário padrão. No entanto, a conta deve ter direitos suficientes para garantir que informações possam ser trocadas entre o FIM2010 e o AD. Essas informações são trocadas de duas formas distintas:
  • Importaçao de Informações (Import)
  • Exportação de Informações (Export)
Para garantir que uma conta comum tenha as permissões apropriadas para fazer esse sincronismo de informações entre o AD e o FIM2010, basta que a conta tenha permissão de consulta ao DirSync, uma vez que a conta não consultará as OU´s que foram configuradas no seu MA.
A forma de configurar essa permissão, através da guia de segurança do domínio, é permitir “Replicating Directory Changes” para a conta conforme imagem abaixo:
account
Além da permissão dada acima, devemos também dar permissão de “Full Control” em todas as OU´s que o MA precisará gerenciar. Caso você não de a permissão nas OU´s o Synchronization Engine mostrará mensagens de “permission-issue”.
Em breve, mais posts… Até mais!!!
Publicado por Paulo H. Campos em 15:12 0 comentários
Labels: , , ,
Assinar: Postagens (Atom)