Zu Content springen
Deutsch
Anmelden
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

AD-Filter für Gruppenmitgliedschaft

Einrichtung der Verzeichnisverbindung basierend auf Sicherheitsgruppenmitgliedschaft

Für umfangreiche AD/LDAP-Verzeichnisse empfehlen wir, die Verzeichnisverbindung so zu konfigurieren, dass sie auf der Mitgliedschaft in einer Sicherheitsgruppe basiert. Auf diese Weise werden die Benutzer und Rollen des Passwort-Servers automatisch gefiltert und synchronisiert, wobei die vorhandene Gruppenmitgliedschaft in AD/LDAP berücksichtigt wird.

Diese Filter können in den Verzeichniseinstellungen definiert oder für einen einmaligen Import von Benutzern oder Rollen verwendet werden.

Die Filter finden Sie an folgenden Stellen:

  • Verzeichniseinstellungen: Erweiterte Benutzer-/Rollenfilter

  • Import-Seiten: Suchfilter

Schritt 1: Benutzer zu einer Sicherheitsgruppe hinzufügen

Fügen Sie alle AD/LDAP-Benutzerkonten, die Zugriff auf den Passwort-Server haben sollen, dieser Sicherheitsgruppe hinzu.

  • Erstellen Sie eine neue Sicherheitsgruppe oder verwenden Sie eine vorhandene, z. B. PasswordServerUsers

  • Kopieren Sie den Distinguished Name der Gruppe (dieser Wert ist auf der Registerkarte Attribute sichtbar – um diese Registerkarte anzuzeigen, aktivieren Sie Ansicht > Erweitert)

  • Fügen Sie diesen Wert in den Verzeichniseinstellungen ein (siehe Schritt 2)

Benutzerkonten hinzufügen:

  • Benutzer können einzeln zur Sicherheitsgruppe hinzugefügt werden, oder

  • Sie können ganze Benutzergruppen oder Untergruppen hinzufügen (geschachtelte Gruppen)

(Optional) Gruppen zu dieser Sicherheitsgruppe hinzufügen:

Falls Sie Gruppen in den Passwort-Server importieren möchten, können Sie diese ebenfalls mit dieser Methode filtern. Alle Gruppen, die dieser Sicherheitsgruppe hinzugefügt werden, können in den Passwort-Server importiert werden.

Schritt 2: Erweiterten Benutzerfilter hinzufügen

  • Öffnen Sie die Einstellungen (oder eine Import-Seite für Benutzer oder Rollen).

  • Navigieren Sie zu Erweiterte Einstellungen > Suchfilter > Zusätzliche Benutzerfilter.

  • Tragen Sie die Filterwerte in die leeren Eingabefelder ein:

    Ad search filter clause

Beispiele für AD-Suchfilter:

  • memberOf is CN=PasswordServerUsers,OU=Users,DC=Domain,DC=com

    • Dies filtert alle Benutzer, die direkte Mitglieder dieser Gruppe sind.

  • memberOf:1.2.840.113556.1.4.1941: is CN=PasswordServerUsers,OU=Users,DC=Domain,DC=com

    AD filter nested member of staff group

    • Dies filtert sowohl die direkten Mitglieder der Gruppe als auch die Mitglieder aller Untergruppen.

(Optional) Automatischen Import aktivieren

Setzen Sie die Option Auto-Import auf true, sodass Benutzerkonten automatisch erstellt werden, wenn sich ein Benutzer am Passwort-Server anmeldet.

Weitere Erläuterungen finden Sie im Abschnitt Beispiel am Ende der Seite.

Beispiel: Filtern nach Gruppenhierarchie

Wenn Sie mehrere vorhandene Sicherheitsgruppen haben, können Sie nach der Gruppenhierarchie filtern:

  • Alle Benutzer/Rollen einer Gruppe

  • Alle Benutzer/Rollen der Mitgliedsuntergruppen

Beispiel:

  • Der Benutzer Bob ist Mitglied der Gruppe Marketing.

  • Die Gruppe Marketing ist Mitglied der Gruppe Staff.

Filtermöglichkeiten:

  • memberOf enthält nur Marketing → Filtert nur direkte Mitglieder dieser Gruppe.

  • memberOf:1.2.840.113556.1.4.1941: enthält sowohl Marketing als auch Staff → Filtert alle Mitglieder der Gruppe sowie alle Mitglieder der Untergruppen (indirekte Mitgliedschaft).